مسدود سازی خودکار آی پی های بروت فورس (brute force) دایرکت ادمین

farid

مدیر کل انجمن
عضو کادر مدیریت
مدیر کل انجمن
عضویت
20/5/15
ارسال ها
452
امتیاز
10
وب سایت
faraso.org
سلام
اگر از سرویس مانیتورینگ بروت فورس ( Brute force ) استفاده کرده باشید حتما متوجه اعلام آی پی هایی که سرویس
را مورد حمله قرار داده اند در گزارش های این سرویس شده اید، متاسفانه دایرکت ادمین به تنهایی قادر به مسدود کردن
این آی پی ها در فایروال نمی باشد لذا می توانید با ایجاد اسکریپت هایی این عملیات را خودکار کنید.
برای ایجاد اسکریپت مسدود سازی خودکار حملات بروت فورس در دایرکت ادمین ابتدا وارد مسیر زیر شوید ( با استفاده از دستور زیر وارد مسیر می شوید ) :
کد:
cd /usr/local/directadmin/scripts/custom/
سپس دو فایل با نام های brute_force_notice_ip.sh و block_ip.sh ایجاد کنید و دسترسی این فایل ها را بصورت زیر بر روی 755 تنظیم کنید:
کد:
touch block_ip.sh
touch brute_force_notice_ip.sh
chmod 755 block_ip.sh
chmod 755 brute_force_notice_ip.sh
محتویات این دو فایل را بصورت زیر تنظیم کنید:
brute_force_notice_ip.sh :
کد:
#!/bin/sh
#give your server a name for easy idenfication
SERVER=`hostname -s`

#where you want the email to be sent to
EMAIL=youremail@youremailyouremail.com

echo "IP $value has been blocked for making $count failed login attempts
#
$data
#
'dig -x $value'" | mail -s "$SERVER:  blocked $value for $count failed attempts" $EMAIL

SCRIPT=/usr/local/directadmin/scripts/custom/block_ip.sh
ip=$value $SCRIPT
exit $?;

block_ip.sh :

کد:
#!/bin/sh

/etc/csf/csf.pl -d $ip directadmin brute force detect

exit 0

توجه: این آموزش با در نظر گرفتن این موضوع که شما بر روی سرور خود از فایروال csf استفاده می کنید طراحی شده است. برای آموزش نصب فایروال csf به اینجا مراجعه کنید.
 
آخرین ویرایش توسط مدیر:

AHMAD

ایران وب ادمین
عضو کادر مدیریت
ناظر انجمن
عضویت
28/1/15
ارسال ها
145
امتیاز
6
محل سکونت
Matt Cutts Office
وب سایت
www.rastana.com
سلام
اگر از سرویس مانیتورینگ بروت فورس ( Brute force ) استفاده کرده باشید حتما متوجه اعلام آی پی هایی که سرویس
را مورد حمله قرار داده اند در گزارش های این سرویس شده اید، متاسفانه دایرکت ادمین به تنهایی قادر به مسدود کردن
این آی پی ها در فایروال نمی باشد لذا می توانید با ایجاد اسکریپت هایی این عملیات را خودکار کنید.
برای ایجاد اسکریپت مسدود سازی خودکار حملات بروت فورس در دایرکت ادمین ابتدا وارد مسیر زیر شوید ( با استفاده از دستور زیر وارد مسیر می شوید ) :
کد:
cd /usr/local/directadmin/scripts/custom/
سپس دو فایل با نام های brute_force_notice_ip.sh و block_ip.sh ایجاد کنید و دسترسی این فایل ها را بصورت زیر بر روی 755 تنظیم کنید:
کد:
touch block_ip.sh
touch brute_force_notice_ip.sh
chmod 755 block_ip.sh
chmod 755 brute_force_notice_ip.sh
محتویات این دو فایل را بصورت زیر تنظیم کنید:
brute_force_notice_ip.sh :
کد:
#!/bin/sh

#give your server a name for easy idenfication
SERVER=`hostname -s`

#where you want the email to be sent to
EMAIL=youremail@youremailyouremail.com

echo "IP $value has been blocked for making $count failed login attempts
#
$data
#
'dig -x $value'" | mail -s "$SERVER:  blocked $value for $count failed attempts"                                                                                       $

SCRIPT=/usr/local/directadmin/scripts/custom/block_ip.sh
ip=$value $SCRIPT
exit $?;

block_ip.sh :

کد:
#!/bin/sh

/etc/csf/csf.pl -d $ip directadmin brute force detect

exit 0

توجه: این آموزش با در نظر گرفتن این موضوع که شما بر روی سرور خود از فایروال csf استفاده می کنید طراحی شده است. برای آموزش نصب فایروال csf به اینجا مراجعه کنید.
سلام

بعد از انجام موارد بالا ، csf را ریست کنیم یا نیازی نیست ؟
 
آخرین ویرایش توسط مدیر:

amin

عضو تایید شده
کاربر انجمن
عضویت
29/9/15
ارسال ها
43
امتیاز
1
با تشکر از شما
آیا این اسکریپت گزارشی آی پی های مسدود شده را نیز می دهد.
چه مدت مسدود می مانند؟
اگر اشتباهی رخ داد با csf هماهنگ است؟
 

farid

مدیر کل انجمن
عضو کادر مدیریت
مدیر کل انجمن
عضویت
20/5/15
ارسال ها
452
امتیاز
10
وب سایت
faraso.org
با تشکر از شما
آیا این اسکریپت گزارشی آی پی های مسدود شده را نیز می دهد.
چه مدت مسدود می مانند؟
اگر اشتباهی رخ داد با csf هماهنگ است؟
در تنظیماتش اگر دقت کنید آدرس ایمیل شما را می گیرد لذا به شما ایمیل میزند وقتی آی پی بلاک میشه
بلاک بصورت دائمی است البته میتونید با تغییر در دستور csf -d به دستور مسدود سازی موقت با مدت زمان دلخواه رفتار اسکریپت را مطابق خواسته خود تغییر دهید
در مورد سوال آخر متوجه نشدم
اما از csf استفاده میکنه لذا از خود csf بصورت کامند یا از طریق گرافیک csf میتونید آی پی بن شده را مشاهده و آزاد کنید کنار آی پی بن شده در توضیحات csf مقدار
directadmin brute force detect
درج می شود لذا قابل تشخیص است که آی پی توسط این اسکریپت بن شده است
 

amin

عضو تایید شده
کاربر انجمن
عضویت
29/9/15
ارسال ها
43
امتیاز
1
سلام
توی خط
کد:
'dig -x $value'" | mail -s "$SERVER:  blocked $value for $count failed attempts"                             $
یک دالر سمت راست جا مونده. مربوط به خط بعدی میشه؟
در انتها نیازی به نتغییر دسترسی های 755 نیست؟
 
آخرین ویرایش:

AHMAD

ایران وب ادمین
عضو کادر مدیریت
ناظر انجمن
عضویت
28/1/15
ارسال ها
145
امتیاز
6
محل سکونت
Matt Cutts Office
وب سایت
www.rastana.com
سلام
توی خط
کد:
'dig -x $value'" | mail -s "$SERVER:  blocked $value for $count failed attempts"                             $
یک دالر سمت راست جا مونده. مربوط به خط بعدی میشه؟

سلام

کدوم قسمت رو میفرمایین ؟

کد رو کپی کنید
 

amin

عضو تایید شده
کاربر انجمن
عضویت
29/9/15
ارسال ها
43
امتیاز
1
توی خط
کد:
'dig -x $value'" | mail -s "$SERVER:  blocked $value for $count failed attempts"                             $
یک دالر سمت راست جا مونده. مربوط به خط بعدی میشه؟
در انتها نیازی به تغییر دسترسی های 755 نیست؟
 

farid

مدیر کل انجمن
عضو کادر مدیریت
مدیر کل انجمن
عضویت
20/5/15
ارسال ها
452
امتیاز
10
وب سایت
faraso.org
توی خط
کد:
'dig -x $value'" | mail -s "$SERVER:  blocked $value for $count failed attempts"                             $
یک دالر سمت راست جا مونده. مربوط به خط بعدی میشه؟
در انتها نیازی به تغییر دسترسی های 755 نیست؟
توی متن اصلی چنین دالری نیست اگر زدید حذفش کنید
دسترسی هم گفتیم باید 755 باشد در همون توضیحات
 

amin

عضو تایید شده
کاربر انجمن
عضویت
29/9/15
ارسال ها
43
امتیاز
1
چرا هست! توی پست اول. فقط باید اسکرول رو به راست بکشید.
توی نت گشتم آخرش EMAIL اضافه داشت
کد:
#`dig -x $value`" | mail -s "$SERVER:  blocked $value for $count failed attempts" $EMAIL
 
آخرین ویرایش:

farid

مدیر کل انجمن
عضو کادر مدیریت
مدیر کل انجمن
عضویت
20/5/15
ارسال ها
452
امتیاز
10
وب سایت
faraso.org
چرا هست! توی پست اول. فقط باید اسکرول رو به راست بکشید.
توی نت گشتم آخرش EMAIL اضافه داشت
کد:
#`dig -x $value`" | mail -s "$SERVER:  blocked $value for $count failed attempts" $EMAIL
ضمن پوزش ناقص کپی شده بود اصلاح شد
 

farid

مدیر کل انجمن
عضو کادر مدیریت
مدیر کل انجمن
عضویت
20/5/15
ارسال ها
452
امتیاز
10
وب سایت
faraso.org
ممنون
شما صحت عملکرد این اسکریپت را امتحان کرده اید و تایید می کنید؟
توی این آدرس فایل اول با همین محتوا هست ولی فایل دوم متن داخلش خیلی متفاوته!؟
بله مشکلی در عملکرد ندارد
بنده با استفاده از csf آموزش را نوشتم اونی که شما لینک دادید مستقیم از iptables استفاده کرده است اگر فایروالتون csf است از همین آموزش بنده
استفاده کنید مشکلی نخواهید داشت
 

vahid

عضو تایید شده
کاربر انجمن
عضویت
4/7/16
ارسال ها
7
امتیاز
1
سن
33
سلام. وقت بخیر. ممنون که آموزش قرار دادید.

دوتا سوال دارم:

1- من خواستم طبق این آموزش عمل کنم اما در مسیر cd /usr/local/directadmin/scripts/custom فایل های block_ip.sh و brute_force_notice_ip.sh از قبل وجود داشت.
آیا باید کدها را در انتهای همین فایل ها که از قبل وجود داشته قرار بدم؟

2- با توجه به اینکه این آموزش برای 5 سال قبل است آیا هنوز هم می شود طبق این آموزش عمل کرد؟
 

farid

مدیر کل انجمن
عضو کادر مدیریت
مدیر کل انجمن
عضویت
20/5/15
ارسال ها
452
امتیاز
10
وب سایت
faraso.org
سلام. وقت بخیر. ممنون که آموزش قرار دادید.

دوتا سوال دارم:

1- من خواستم طبق این آموزش عمل کنم اما در مسیر cd /usr/local/directadmin/scripts/custom فایل های block_ip.sh و brute_force_notice_ip.sh از قبل وجود داشت.
آیا باید کدها را در انتهای همین فایل ها که از قبل وجود داشته قرار بدم؟

2- با توجه به اینکه این آموزش برای 5 سال قبل است آیا هنوز هم می شود طبق این آموزش عمل کرد؟
سلام
اگر این دو فایل وجود دارد یعنی این تنظیمات از قبل انجام شده نیاز به کار اضافه تر نیست
و آموزش ها هم تغییری نکرده و همچنان با همان روش انجام می شود
 
بالا