Мелкие пакостники или как пытаются взломать мой FTP-сервер :-)

На своей VPS-ке я использую надежный и легко настраиваемый FTP-сервер ProFTPD

Этот же сервер использует, например, такой известный сайт как SourceForge.
Журнал этого сервера располагается в стандартном месте:
/var/log/proftpd/proftpd.log
Просмотр этого журнала очень увлекателен. Откуда только и какими только способами не щемятся любители подсмотреть чужие секреты или совершить какую-нибудь пакость:

некто из Ярославля пытается зайти под логином admin :
FTP session opened.
… (pppoe-94.136.198.158.ttel.ru[94.136.198.158]): USER admin: no such user found …
FTP session closed.
более изобретательный негодяй из Витебска пытается залогиниться как Alex :
FTP session opened.
… (mm-127-139-212-37.vitebsk.dynamic.pppoe.byfly.by[37.212.139.127]): USER Alex: no such user found …
FTP session closed.
а вот и знаток SQL (из самого Palo Alto, USA):

пытается эксплуатировать уязвимость 2003 года 🙂 CVE-2003-0500 «ProFTPd 1.2.9RC1 — ‘mod_sql’ SQL Injection»
FTP session opened.
… (15.211.195.254[15.211.195.254]): USER ‘)UNION SELECT’u’,’p’,1002,1002,’/tmp’,’/bin/bash’WHERE(»=’: no such user found …
FTP session closed.

Как же пресечь эти поползновения?
Натравим монитор fail2ban на этих негодников…

Копируем (если это не было сделано ранее) файл настроек защиты fail2ban:

Файл настроек /etc/fail2ban/jail.local содержит отдельные секции — «изоляторы» (jails) для защищаемых сервисов.
Редактируем секцию [proftpd] :

3 попытки и бан на час…

Перезапускаем монитор fail2ban:

Перезапускаем сервер ProFTPD :

Voila! Как говорится, попытка — не пытка 😉

Работа монитора fail2ban отражается в файле журнала /var/log/fail2ban.log .
Например, вот так отражается блокировка и последующая разблокировка при атаке с IP-адреса 15.211.195.254:

2017-01-30 09:49:39,077 fail2ban.actions: WARNING [proftpd] Ban 15.211.195.254

2017-01-30 10:49:39,604 fail2ban.actions: WARNING [proftpd] Unban 15.211.195.254

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *