[Eisfair] BruteForceBlocking: banner exchange Fehler

[Olaf Jaehrling]

Nochmal Hallo,

der Suchstring wäre auch schon fertig.

Olaf Jaehrling schrieb am 11.04.22 um 22:51:
> Hallo Marcus,
> 
> Marcus Röckrath schrieb am 11.04.22 um 19:12:
>> Hallo Olaf,
>>
>> würde BFB auch
>>
>> sshd[29869]: error: kex_exchange_identification: banner line contains
>> invalid characters
>> sshd[29869]: error: send_error: write: Connection reset by peer
>> sshd[29869]: banner exchange: Connection from 185.156.72.3 port 61975:
>> invalid format
>>
>> als Blockkandidaten erkennen?
> 
> Bisher noch nicht. Kommt die Meldung bei Dir öfter?
> Bei mir im gesamten Monat auf allen Servern insgesamt nur 29 mal 
> (Syslogserver).
> Direkt darunter mit der selben PID dann der reset bzw close mit ip Adresse.
> Wäre also machbar.

bei ipv4 und ipv6:
sed -n '/kex_exchange_identification/{n;p;}' </var/log/messages |awk 
-F"by|from" {'print $2'}|grep -Eo 
'([0-9\.]+\.+)+[0-9]+|([a-f0-9:]+:+)+[a-f0-9]+'
92.255.85.10
165.227.132.139
141.98.10.42
159.89.26.176
141.98.10.42
159.89.26.176
46.101.151.25
159.89.26.176
141.98.10.42
77.42.251.228
159.89.6.202
77.42.251.228
159.89.6.202
172.104.159.48
172.104.159.48
172.104.159.48
94.102.61.44
88.214.26.10
88.214.26.10
92.205.58.11
94.232.41.25
94.232.41.25
94.232.41.25
94.232.41.25
138.68.86.12
104.152.52.151
104.152.52.147
188.166.165.113
188.166.165.113

Wie man allerdings sieht würde mit den default-Einstellung keine 
Blockierung stattfinden, da es jeweils zu wenig Versuche sind.
Mit rein nehmen kann ich es aber. Vllt auch mit einer kürzeren 
Schlagzahl oder mit bei der "Slow"-Erkennung.

Gruß

Olaf



-- 
Paketserver: https://ojaehrling.de/eis/index.txt