- Comprometen el foro de ESET, accediendo a credenciales de más de 2700 usuarios. El foro correspondía con el sistema Invision Power Board
- Sara Carbonero la lía al desvelar en su blog las contraseñas de wifi de Mediaset, suponiendo el FAIL de la semana.
- El grupo llamado Red Mundi hackea los servidores de Domino's Pizza de Francia y Bélgica, secuestrando la base de datos de 650,000 clientes, estableciendo un rescate por 30.000€.
- Microsoft publica un parche para su Microsoft Malware Protection Engine (Security Advisory 2974294) tras descubrirse una vulnerabilidad que permitiría una denegación de servicio al analizar un fichero creado de una forma concreta.
- De las muchas teorías conspiranoicas sobre el drama de Truecrypt, Graham Culley en su blog comenta una más acerca de un posible mensaje secreto en el anuncio publicado en la página oficial....
- Los US Marshals meten la pata al enviar un correo para la subasta de Silk Road y se equivocan, utilizando el campo CC en vez de el BCC, mostrando las cuentas de todos los licitadores.
- Entrevista a nuestro compañero Lorenzo en el número 10 del podcast Infosec Táctico de Carlos Pérez.
- Call For Papers para la t2'14 que tendrá lugar el 23 y 24 de Octubre en Helsinki. El proceso finalizará el 4 de Julio, ¡todavía estás a tiempo!
22 junio 2014
Suscribirse a:
Enviar comentarios
(
Atom
)
5 comments :
Hola Daniel,
las opciones de tiempo de IPtables, te permite controlar el tráfico que permites de entrada en la cadena INPUT desde tal hora hasta tal hora. Yo lo que quería era blacklistear la IP "atacante" durante varios días, las 24 horas, y que la regla se elimine "sola" cuando pase el tiempo de baneo... por lo que dices, no tendría el mismo efecto que el que logro con fail2ban.
Gracias igualmente por la sugerencia!
Estaba poniéndolo en practica pero me he dado cuenta que al menos a mi no me funciona la expresión regular. La estoy pronbando de la siguiente forma:
fail2ban-regex ../lib/portsentry/portsentry.history "\/ Port\: 23 TCP Blocked"
cat ../lib/portsentry/portsentry.history
1404055298 - 06/29/2014 17:21:38 Host: 192.168.56.1/192.168.56.1 Port: 23 TCP Blocked
1404056098 - 06/29/2014 17:34:58 Host: 192.168.56.1/192.168.56.1 Port: 23 TCP Blocked
1404056558 - 06/29/2014 17:42:38 Host: 192.168.56.1/192.168.56.1 Port: 23 TCP Blocked
1404057079 - 06/29/2014 17:51:19 Host: 192.168.56.1/192.168.56.1 Port: 23 TCP Blocked
Alguna idea?
Pues a mí me va perfectamente....
fail2ban-regex /usr/local/psionic/portsentry/portsentry.blocked.atcp /etc/fail2ban/filter.d/portsentry.conf
Running tests
=============
Use regex file : /etc/fail2ban/filter.d/portsentry.conf
Use log file : /usr/local/psionic/portsentry/portsentry.blocked.atcp
Results
=======
Failregex: 1335 total
|- #) [# of hits] regular expression
| 1) [1335] \/ Port\: 23 TCP Blocked
`-
Ignoreregex: 0 total
Summary
=======
Addresses found:
[1]
2.142.156.120 (Sun Jun 15 19:35:05 2014)
14.146.31.13 (Sun Jun 15 19:40:31 2014)
218.77.79.43 (Sun Jun 15 19:51:05 2014)
91.225.10.47 (Sun Jun 15 20:20:17 2014)
182.139.29.145 (Sun Jun 15 20:25:00 2014)
110.188.195.176 (Sun Jun 15 20:52:41 2014)
180.142.154.216 (Sun Jun 15 21:02:37 2014)
60.168.134.141 (Sun Jun 15 21:03:51 2014)
Hola, ya he descubierto que ocurre. El problema es que fail2ban necesita que las lineas de los logs comiencen por una fecha-hora y sólo tiene determinados formatos.
En mi caso /var/lib/porsentry/portsentry.blocked.tcp tiene el siguiente:
1404073399 - 06/29/2014 22:23:19 Host: 192.168.43.146/192.168.43.146 Port: 23 TCP Blocked
Es decir, epoch - otroFormatoDeFecha, la verdad que no entiendo porque esta redundancia.
Y aunque fail2ban reconoce el formato de fecha epoch parece entrar en algún conflicto al tener el otro formato después.
Por tanto Lorenzo, soy consciente de que pido mucho pero me sería de gran ayuda si pudieses mostrarnos alguna linea de tu log de portsentry para así confirmar que es esto. Imagino que tendremos versiones distintas. Gracias.
Hola... en mi caso es absolutamente igual que el tuyo,...
1404111340 - 06/30/2014 08:55:40 Host: 182.130.213.236/182.130.213.236 Port: 23 TCP Blocked
Una duda, ¿modificaste el fichero /usr/share/fail2ban/server/datedetector.py para que detecte el formato fecha del log de portsentry?
Publicar un comentario