Home » FreeBSD » FreeBSD Brute Force Attack Counter Tool (No. 2) (Tag: )

FreeBSD Brute Force Attack Counter Tool (No. 1) の続きです。

ハッシュリファレンスを多用しています。理解している前提で書いているので予めご了承ください。

処理概要

  • 毎分 /var/log/auth.log (sshd), /var/log/poplog (popd) に出力した Failed password の行から IP アドレスを抽出し、
  • 所定の場所 ($item->{target0}, $item->{target1}) に記録、
  • 一定回数 $item->{mistime} を超えた場合は
  • ipfw add 00101 deny ip from [ipaddr] to any で遮断し
  • 一定時間 $item->{expire} を経過後解放。

所定の場所に出力されるサンプルは以下の通りです。実際の出力から 1, 2 オクテットのみプライベート IP アドレスに変更していますが、ニュアンスは伝わるでしょう。

last_line               2267195
2012/10/02 19:20:04     10.10.59.71    7       -
2012/10/02 19:20:04     10.10.75.90    8       -
2012/10/02 19:20:04     10.10.246.33   2       -
2012/10/02 19:20:04     10.10.121.198  2       -
2012/10/02 19:22:02     10.10.75.90    9       -
2012/10/02 19:44:01     10.10.75.90    10      add
2012/10/02 20:14:01     10.10.75.90    0       expire
2012/10/02 20:28:01     10.10.75.90    1       -
2012/10/02 20:30:01     10.10.207.240  1       -
2012/10/02 20:34:01     10.10.75.90    2       -
2012/10/02 20:43:02     10.10.75.90    3       -
2012/10/02 20:56:01     10.10.75.90    4       -
2012/10/02 21:02:01     10.10.75.90    5       -
2012/10/02 21:04:01     10.10.75.90    6       -
2012/10/02 21:10:01     10.10.75.90    7       -
2012/10/02 22:40:01     10.10.139.161  2       -
2012/10/02 23:15:03     10.10.248.211  972     add
2012/10/02 23:24:02     10.10.98.192   1       -
2012/10/02 23:27:02     10.10.207.240  3       -
2012/10/02 23:29:01     10.10.207.240  4       -
2012/10/02 23:30:02     10.10.207.240  6       -
2012/10/02 23:46:02     10.10.248.211  0       expire

10.10.75.90 は正規のユーザが "おっかしいな。。" と言いながら何度か試している可能性はありますが、10.10.248.211 のケースが総当たり攻撃の典型です。

popd 改修

今回は FreeBSD の ports に収録されている /usr/ports/mail/popd/ を、 sshd 同様 poplog に Failed password の行が出力する様に修正する点がポイントです。

これにより、大半のサブルーチンは兼用することが出来ます。今回は引数なしで実行すれば sshd (/var/log/auth.log) を、-p 付きで実行する場合は popd (/var/log/poplog) を監査する様にしました。

実際 bfcheck.pl 側を sshd だけでなく popd に対応させる修正は、$item の target0, target1 や dir0, dir1 とログファイルや監査結果の出力先ディレクトリの分岐と、71 – 81 行目の分岐でほぼ終了です。

popd 側の修正はまだ完全とは言えない可能性があるので、ポイントのみ。

  • popd.c の終端の switch 文で、case FALSE, case QUIT の場合に syslog(facility, “Failed password for null from %s”, inet_ntoa(addr.sin_addr)); の様に追記。IPv6 に対応する場合は case TRUE の分岐を参考に。
  • 必須ではないが、authenticate.c の終端 case PASS: で if (counter == 4) の 4 を sshd_config の MaxAuthTries と揃えて変更。

これで、sshd の場合と同じ条件で認証し、失敗時の出力も 340 行目の様になり、sshd か popd のみの違いとなります。

当初は ipfw でなく /etc/hosts.allow で

当初は /etc/hosts.allow に deny で追加・解放していましたが、この場合では懲りずに通信を続ける場合は負荷を避けることが出来ないことが分かりました。

ipfw と違いルール番号を気にしなくて良いので、手軽に始めたことがきっかけですが、Refused … と出ていても通信を止めないクライアントが結構多いのです。

そのため、ipfw で遮断する方針に切り替えました。効果はてきめんです。

ルール番号と登録ポリシーや、ipfw でなく pf に変更等応用は効くと思いますが、cron で実行する場合には工夫も必要です。

cron からはラッパースクリプトで直列起動

当初 crontab -e で

*/1 * * * * /home/tools/bfcheck.pl 2>/dev/null
*/1 * * * * /home/tools/bfcheck.pl -p 2>/dev/null

の様に登録しましたが、ipfw のルール変更で実に不思議な動きをしました。正常に消す場合と、消すはずの IP アドレスが消えずに増え続ける場合があるのです。

同じルール番号を用いていたので、sshd と popd の場合でルール番号を分けることでも対処は可能でしょうが、今回は bfcheck.sh を以下の内容で用意し、crontab -e では単に

*/1 * * * * /home/tools/bfcheck.sh 2>/dev/null

とだけ呼ぶ様にしました。

#!/bin/sh

    /home/tools/bfcheck.pl 2>/dev/null
    /home/tools/bfcheck.pl -p 2>/dev/null

まだ運用開始してい間もないので、経過観察は続けてみます。そのうち、ftpd や sendmail 向けの機能拡張も必要となる気はしています。

Random Select

Herb
未だにプロダクトアウトではなくサービスインで商品開発すべきという話を聞くこともあります。私はマーケティングが専門でもなく言葉の意味合いを知っている程度ですが、この言葉だけを聞くと違和感を感じざるを得ま
からあげ弁当 (3)
自分の中では "御茶ノ水" 扱いしていますが、東京オフィス "神田錦町" のそばに、知る限りでは 14 年以上続いているお弁当屋 びっく・もっく があります。日
パーラー島風 (6)
銀座わしたショップ 2014/06/13 (コンビーフハッシュ) の続きです。銀座わしたショップ 2013/07/05 (パーラー島風 ソフトクリーム) 以来ほぼ 1 年ぶりに訪れましたが、雰囲気が少
豚骨醤油 青ネギラーメン + カレー
哲麺 (豚骨野菜 辛味噌ラーメン + まかない丼) から日を空けずして再び訪れました。3 月も替玉無料が継続するか分からないので、前回のまかない丼や今回の半ライス + カレーかけ放題の様に、全体で食べ
あらびき牛肉メンチカツ
休日のお昼ご飯はご飯だけ自宅で炊いて、駅前のイトーヨーカドーや 東急ストア の惣菜を買って済ませるパターンもあります。真夏以外はみそ汁も作ります。セブンイレブン (おつまみセット) でご紹介した通り、
Gala 青い海 (7)
去年の 2 月になりますが、景色 (Gala 青い海 2010) 以来約 3 年ぶりに Gala 青い海 をゆっくり訪れる時間がありました。2 月の 14 時頃でこの明るさと海の色です。これは 3 年
タコライス 材料 (OLD EL PASO タコ・シーズニング)
自宅 de タコライス (OLD EL PASO タコ・シーズニング Part 2) の続きです。沖縄本島 (No. 42 – 払い戻し) で年内最後の沖縄旅行が中止となったので、久しぶり
沖縄食彩 てぃ?だかんかん (2)
沖縄食彩 てぃ?だかんかん (Part 1) の続きです。乾杯で喉を潤した後は、早速おつまみミーティング開始です。鮮度の良い状態で入荷していると聞いた海ぶどうに、1 人 2 皿は行こうねと半分本気で事
与那国島ビーフカレー (6)
銀座わしたショップ 2015/02/19 (いちばん桜) の際に購入した 与那国島ビーフカレー | 崎元酒造所 をいよいよ試すことにしました。2014/12/02 に新発売した様です。2 月の時点で東
牛カルビ丼 大盛 (1)
吉野家 (ロース豚丼 十勝仕立て) で数回豚丼を試しつつも、同じくらいに気になる 牛カルビ丼 もコツコツ試しました。最寄駅そばの吉野家はあまり見かけない先会計タイプで、会計・商品受け渡し・下げ台が 1
Valid HTML5 Valid CSS3 Another HTML Lint