by Desde la apertura del servidor web al público he estado analizando ciertos Ataques típicos que se suceden de manera habitual.
Como es algo que no me gusta nada, he decidido hacer un script que me revise los logs de apache y que me genere una blacklist y emplearla como a mí me parezca.
El ataque más frecuente que proviene de “zombis” es el “w00t”, deberíais echar un ojo a vuestros logs ;)
Como es algo bastante extendido, pongo aquí mi lista que se irá autoactualizando.
Si alguien quiere mis scripts los publicaré, pero cada cual puede emplear la lista como cada uno quiera :)
Muchas gracias por la lista, hay alguna forma de hacer los cambios sin tener que reiniciar el APF?
Gracias
Tienes una actalización aquí:
http://www.ciberterminal.net/blog/?p=116
No es ni mucho menos tan agresivo como bloquear directamente toda la ip y siempre puedes usar fail2ban.
Sin reiniciar tu firewall… puedes añadir la regla al iptables.
Por ejemplo crear un ruleset:
iptables -A INPUT --target banthis -p tcp --dport 22
iptables -A INPUT -j banthis -p tcp --dport 22
iptables -A test -j RETURN
E ir añadiendo ip’s al ruleset “banthis”:
iptables -D banthis -j RETURN
iptables -A banthis -s 1.2.3.4 -j DROP
iptables -A banthis -j RETURN
Así solo tienes que andar quitando y poniendo la regla de retorno (RETURN) al ruleset “banthis”.
Muchas gracias :)