Antiscan - выявление и блокировка подозрительных IP

Solomon555 · Воскресенье в 15:08

27 минут назад, FLK сказал:

А вы устанавливали все по инструкции?

Да. Какой пункт в инструкции отключает логи от crond?

dimon27254 · Воскресенье в 15:23

2 часа назад, Solomon555 сказал:

Удаления аргумента -s из конфига запуска cron не помогает.

После удаления -s вы перезапускали cron?

У себя проверил, после удаления и перезапуска какие-либо записи от cron перестают появляться.

Solomon555 · Воскресенье в 16:07

44 минуты назад, dimon27254 сказал:

После удаления -s вы перезапускали cron?

Думал, что перезапускал. Но ошибся. После команды "/opt/etc/init.d/S10cron restart" сервис перезапустился и сообщений в логах больше нет. Спасибо большое за помощь.

Изменено Воскресенье в 16:08 пользователем Solomon555

dimon27254 · Воскресенье в 16:13

Новая версия 1.5.3.

Исправления:

1) При вызове команды antiscan flush и отключенной геоблокировке отображалось излишнее сообщение о необходимости перезапуска Antiscan.

В заголовке темы версия пакета была обновлена до 1.5.3.
Предыдущие версии доступны на GitHub.

Изменено Воскресенье в 16:13 пользователем dimon27254

AwesomeWork · Понедельник в 16:58

Добрый вечер.

Наружу сейчас торчат порты 22, 80, 443 и еще пару десятков.

Есть ли смысл эти порты защищать данной тулзой или роутер их напрямую пробрасывает до устройства и тулза их не увидит?

FLK · Понедельник в 17:09

В 16.06.2025 в 20:58, AwesomeWork сказал:

Добрый вечер.

Наружу сейчас торчат порты 22, 80, 443 и еще пару десятков.

Есть ли смысл эти порты защищать данной тулзой или роутер их напрямую пробрасывает до устройства и тулза их не увидит?

Если я правильно понял вопрос, то:
Защита устройств, подключенных к роутеру и использующих перенаправление портов (предложено @avn и @kaguyashaa).
Обратите внимание: в "PORTS" необходимо будет указать номер порта устройства (поле "направлять на порт" в веб-интерфейсе), на который направляется трафик, а не номер, который "смотрит" в интернет ("открыть порт").

Изменено вчера в 05:44 пользователем FLK

MDP · 1 час назад

продолжаем продолжать?

Есть предложение..

Возможно ли организовать каким-либо методом, и читать накопленное в lockout-policy (http ftp ssh ) негодяев, которых наловил сам kinetic за брутфорсинг (естественно на непродолжительное время, у меня они до разбанивания 60 минут там хранятся).

Вот, вы их читаете и добавляете в отдельный ipset и их можно перманентно банить, или с таймаутом длинным..как угодно...

Лучше именно отдельным списком их "оформлять" не путать со сканировщиками.

Изменено 44 минуты назад пользователем MDP

dimon27254 · 41 минута назад

22 минуты назад, MDP сказал:

продолжаем продолжать?

Есть предложение..

Возможно ли организовать каким-либо методом, и читать накопленное в lockout-policy (http ftp ssh ) негодяев, которых наловил сам kinetic за брутфорсинг (естественно на непродолжительное время, у меня они до разбанивания 60 минут там хранятся).

Вот, вы их читаете и добавляете в отдельный ipset и их можно перманентно банить, или с таймаутом длинным..как угодно...

Интересное предложение, спасибо!

Думаю, что это реализуемо. Однако, какой смысл заводить для них именно отдельный ipset?
Можно скопировать накопленные адреса в уже имеющийся ascn_ips, чтобы применить к ним всю работающую логику Antiscan.

Antiscan будет только считывать адреса из системных списков. Их очисткой займется система самостоятельно в соответствии с установленными правилами в lockout-policy.

Изменено 40 минут назад пользователем dimon27254

MDP · 19 минут назад

32 минуты назад, dimon27254 сказал:

Antiscan будет только считывать адреса из системных списков. Их очисткой займется система самостоятельно в соответствии с установленными правилами в lockout-policy.

~~Хотелось бы их отличать))) ...да и так полезно статистику посмотреть, кто за что и как~~

некоторые есть ответственные пользователи, но по сути настойчивые рукожопы, которые пароль ввести не могут с 3-х попыток. Что-бы оперативно можно их разбанить.

Но с другой стороны, есть же список исключения!!!

з.ы.

Да, похоже Вы правы, наверное необязательно делать отдельный список. Для оперативности добавляем в исключение...а потом уже можно руками подрихтовать из общего списка.

Изменено 6 минут назад пользователем MDP

dimon27254 · 4 минуты назад

16 минут назад, MDP сказал:

Хотелось бы их отличать)))

некоторые есть ответственные пользователи, но по сути настойчивые рукожопы, которые пароль ввести не могут с 3-х попыток. Что-бы оперативно можно их разбанить.

В таком случае, задачей Antiscan будет просто скопировать записи из системных списков в отдельный ipset, и в соответствии с ним производить блокировку. Повторюсь, очищаться системные списки Antiscan'ом не будут - это работа системы, и вмешиваться в неё я не буду.

Соответственно, если, например, адрес 1.1.1.1 заблокирован по lockout-policy, и затем он же попадает в отдельный ipset, то вам нужно будет его не только вручную удалить из отдельного ipset, но и дождаться, пока "отпустит" система из своих списков.

Функционал чтения системных списков будет по умолчанию выключен.
В ascn.conf сможете его включить, а также установить нужный таймаут - будут отдельные параметры.
Сохранение будет производиться в отдельный файл, располагающийся рядом с ipset_ascn_ips, ipset_ascn_candidates и т.д.

Изменено 3 минуты назад пользователем dimon27254

Войти

Antiscan - выявление и блокировка подозрительных IP

Рекомендуемые сообщения

Solomon555

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

dimon27254

dimon27254

dimon27254

Изображения в теме

dimon27254

Solomon555

dimon27254

AwesomeWork

FLK

MDP

dimon27254

MDP

dimon27254

Присоединяйтесь к обсуждению

Последние посетители 3 пользователя онлайн

dimon27254

dimon27254

dimon27254

Обзор

Активность

Магазин

My Details

Важная информация