BruteForceAttack

家に帰ってくるとなにやらルータのランプがちかちかしてるので、なんかいやと調べてみたら、216.100.44.* のだれぞがブルートフォースアタックの真っ最中だった。

普段からこの手の攻撃は毎日500から1000位はある。
たまたま目の前でやってる現場に遭遇したので、どんなアカウントでアタックしかけてきてるのか覗いてたらなんかムカついてきたので、さっくり制限かけることにした。

で、BruteForceBlocker。
http://danger.rulez.sk/projects/bruteforceblocker/

syslogd から出力される auth.info を取り込んで、ブルートフォースアタックと判断したら、ファイルに書出して、pfで其のファイルを元にアクセス制限をしている様子。

さらに検出されたブルーとフォースアタックを仕掛けてきているIPアドレスをプロジェクトサイトに報告して、そのリストを共有する仕組もある。 自分はそこまでする気はないので、とりあえずその機能は無効にしたけど。

とりあえず INSTALL マニュアルに書いてある通り syslog.conf と pf.rules を書き換えて、syslogd と pf 再起動したら、延々と出力されていたアタックがピタリと止った。 すばらしい。

でも sshd.log に出力されなくなっただけで、ルータのランプは点滅し続けて、それからしばらくは攻撃を続けていた様子。

BruteForceBlocker のほかにも、maxlogins とか、pam_af とかもあるようで、pam_af は RHL とかでも使えるようだし、仕事先とかで導入してみようかな。