21869 2009-10-08 02:15:39 +0400 несоответствие формату лога 2009-10-15 00:52:30 +0400 1 1 4 Development Sisyphus sshutout unstable all Linux CLOSED FIXED P3 normal --- 1 cetus mike mike qa-sisyphus oldest_to_newest 101034 0 cetus 2009-10-08 02:15:39 +0400 В случае атаки на sshd в лог сыплется: Aug 2 16:42:57 cetium sshd[8294]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a Aug 2 16:42:57 cetium sshd[8294]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e Aug 2 16:42:57 cetium sshd[8294]: Did not receive identification string from 221.130.128.57 Aug 2 16:47:38 cetium sshd[8322]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a Aug 2 16:47:38 cetium sshd[8322]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e Aug 2 16:47:44 cetium sshd[8322]: UNKNOWN USER from 221.130.128.57 Aug 2 16:47:44 cetium sshd[8325]: input_userauth_request: UNKNOWN USER Предусмотренные в sshutout образцы - "Illegal user" or "Invalid user" никак не кореллируют с UNKNOWN USER. Если я правильно понял назначение и приемы работы sshutout, то этот факт прекрасно объясняет отсутствие видимых результатов. Проверяю на скорую руку сваяный патчик, если поможет - сообщу. В случае удачи возможно, стоит добавить исправление и в конфиг. 101035 1 3970 cetus 2009-10-08 02:19:02 +0400 Created attachment 3970 Добавляет проверку наличия слов "UNKNOWN USER" в логе 101557 2 cetus 2009-10-14 23:55:23 +0400 Похоже, что да, заработало наконец. Машинка старенькая, когда ломают, так жалобно винтом скрипит, как под пилой. Теперь по логу видно, что кого-нибудь блокируют периодически, в iptables правила добавляются, и удаляются по истечении. Oct 14 21:35:24 cetium sshd[12403]: UNKNOWN USER from 61.1.207.29 Oct 14 21:35:24 cetium sshd[12407]: input_userauth_request: UNKNOWN USER Oct 14 21:35:24 cetium sshd[12396]: UNKNOWN USER from 61.1.207.29 Oct 14 21:35:24 cetium sshd[12399]: input_userauth_request: UNKNOWN USER Oct 14 21:35:24 cetium sshd[12407]: Received disconnect from 61.1.207.29: 11: Bye Bye Oct 14 21:35:24 cetium sshd[12399]: Received disconnect from 61.1.207.29: 11: Bye Bye Oct 14 21:35:24 cetium sshd[12408]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a Oct 14 21:35:24 cetium sshd[12408]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e Oct 14 21:35:24 cetium sshd[12411]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a Oct 14 21:35:24 cetium sshd[12411]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e Oct 14 21:35:26 cetium sshutout[5580]: Squelching attack from 61.1.207.29 (30 ssh login attempts) for 36000 seconds. Oct 14 21:35:26 cetium sshd[12408]: UNKNOWN USER from 61.1.207.29 Oct 14 21:35:26 cetium sshd[12411]: UNKNOWN USER from 61.1.207.29 Oct 14 21:35:26 cetium sshd[12415]: input_userauth_request: UNKNOWN USER Oct 14 21:35:26 cetium sshd[12414]: input_userauth_request: UNKNOWN USER 101558 3 repository-robot 2009-10-15 00:52:30 +0400 sshutout-1.0.5-alt3 -> sisyphus: * Wed Oct 14 2009 Michael Shigorin <mike@altlinux> 1.0.5-alt3 - applied patch by A.Kitouwaykin <cetus newmail ru> to add "UNKNOWN USER" pattern recognition (closes: #21869) - minor spec cleanup 3970 2009-10-08 02:19:02 +0400 2009-10-08 02:19:02 +0400 Добавляет проверку наличия слов "UNKNOWN USER" в логе sshutout-1.0.5-alt-UNKNOWN-USER.patch text/plain 622 cetus LS0tIHNzaHV0b3V0LTEuMC41L3NzaHV0b3V0LmN+CTIwMDktMTAtMDggMDE6Mzk6MzIgKzA0MDAK KysrIHNzaHV0b3V0LTEuMC41L3NzaHV0b3V0LmMJMjAwOS0xMC0wOCAwMTo0NDoxOSArMDQwMApA QCAtOTkyLDcgKzk5Miw4IEBACiAgICAgICAgICAgICAgICAgICAgICAgICAvKiBDaGVjayBmb3Ig bG9naW4gZmFpbHVyZSBvciBpbGxlZ2FsL2ludmFsaWQgdXNlciAqLwogICAgICAgICAgICAgICAg ICAgICAgICAgaWYgKHN0cm5jbXAobXNnLCAiRmFpbGVkIiwgNikgJiYKICAgICAgICAgICAgICAg ICAgICAgICAgICAgICAhc3Ryc3RyKG1zZywgImVycm9yOiBQQU06IikgJiYKLQkJCSAgICAoIWls bGVnYWxfdXNlciB8fCAoc3RybmNtcChtc2csICJJbGxlZ2FsIHVzZXIiLCAxMikgJiYgc3RybmNt cChtc2csICJJbnZhbGlkIHVzZXIiLCAxMikpKSkgeyAKKwkJCSAgICAoIWlsbGVnYWxfdXNlciB8 fCAoc3RybmNtcChtc2csICJsbGVnYWwgdXNlciIsIDEyKSAmJiBzdHJuY21wKG1zZywgIkludmFs aWQgdXNlciIsIDEyKSAKKwkJCQkJICAgICAgICYmIHN0cm5jbXAobXNnLCAiVU5LTk9XTiBVU0VS IiwgMTIpKSkpIHsgCiAJCQkJYXR0ZW1wdCA9IDA7CiAJCQkJY29udGludWU7CiAJCQl9Cg==