重複したsyslogエントリに対してコマンドを実行できるツールは何ですか?

重複したsyslogエントリに対してコマンドを実行できるツールは何ですか?

場合によっては、VPS IコントロールがPOP3ログイン試行で攻撃を受けることがあります。どちらも失敗しましたが、生成された多数のプロセスとアクティブな接続はDoS攻撃とほぼ同じでした。

これが起こると、通常はiptablesに入り、問題のIPアドレスを手動でブロックします。欲しいものsyslog(または他の適切な場所)を監視するプロセスをサーバー上で実行し、特定のパターンと一致する重複ログエントリがある場合は、それをコマンドに渡して関連部分(リモートホストIPアドレス)を抽出します。この場合、コマンドを実行します(iptablesにDROPルールを追加)。例えば、同じメッセージ部分を含むログエントリが1分以内に5回記録されると実行されます。

VPSは役に立つ場合に備えてsyslog-ngを実行します。私はiptablesに速度制限を設定しました。これは役に立ちますが、確かに完璧ではありません。攻撃者の接続試行をブロックするだけに、自分自身の接続試行もブロックするからです(接続が確立された人は幸運です)。接続する必要があるクライアントは動的ブロックのIPアドレスを持っているため、速度制限なしで上書きルールを追加することは困難です。

VPSはVirtuozzoで実行されているため、ゲストからrootアクセス権がありますが、カスタムカーネルモジュールまたはカスタムカーネルをロードできません。したがって、ユーザー空間で実行する必要があります。

どのソフトウェアが私に役立ちますか?

答え1

おすすめしたい失敗2禁止

Fail2banは、無差別ログイン試行ログを監視するように設計されたソフトウェアです。これらの試みが見つかると、iptablesを介して攻撃者のIPをブロックします。十分な時間が経過すると、fall2banは自動的にブロックを削除します。

Fail2banはカスタマイズ可能で、ほぼすべてのタイプのインターネットサービスデーモンで使用できます。 pop3デーモンに関する特定のドキュメントもあります。観光ガイドピジョンロフトキューメール

答え2

私はOSSEC(http://www.ossec.net/)を使用しています。ログ分析を実行しますが、最小限の設定で事前対応オプション(iptablesおよびホスト、拒否エントリを動的に追加および削除)も提供します。これにはいくつかの基本的な規則がありますが、直接追加することもできます。私はそれをテストし、CentOS、Ubuntu、およびSlackwareマシン(物理的およびVPS)のプロダクションで使用しました。

インストールは非常に簡単です。主に特定のルールを無視するように設定するチューニングには時間がかかります。これを使用して事前対応機能を有効にする場合、通常はデフォルト値で十分です。

デフォルトのブロック時間(数分)をそのままにして、IP(またはあなたのIPが固定されておらず、サーバーがあなたをブロックする場合に備えて、あなたが信頼している他のサーバーのIP)を含むホワイトリストを追加することをお勧めします。

さらに、より洗練されたブロック管理が必要な場合は、実際のアクティブブロックを実行する前にbashスクリプトを使用してIPアドレスを調べて処理するようにOSSECを構成できます。

関連情報