1. Форумы
  2. Imunify360
  3. Imunify360 и датчик Imunify
  1. ImanGM
  2. Суббота, 15 декабря 2018
  3. Подписка по электронной почте
Привет,

Проверяя страницу инцидентов, я заметил, что у меня так много попыток входа в WordPress или сбоя аутентификации Postfix SASL из стран, что я уверен, что у нас там нет клиента.

Возможно ли, что у нас есть возможность немедленно занести в черный список IP-адреса из определенных стран, которые делают определенные вещи, такие как попытки доступа к странице входа в WordPress или попытки аутентификации на почтовом сервере или ...?

Спасибо
Иман
Оценить этот пост:
  1. 15.12.2018 19:12:12
  2. # 1
Грег Земсков Принято ответа
Сообщений: 28
Присоединился: 16.11.2018
0
Голосов
расстегивать
Привет Иман,
Спасибо за запрос функции.
В настоящее время вы можете занести черный список трафика из определенной страны, используя следующую команду в CLI:

 Черный список imunify360-агента - by-country-code <код страны> 


Например, блокировать запросы из Боливии:

 imunify360-агент черный список - по коду страны BO 


Но будьте осторожны с этой опцией, поскольку вы должны быть уверены, что 100% не имеет законного трафика из этой страны.

Позже мы добавим полное управление черным списком, включая запрашиваемую вами функцию.
Благодаря!
  1. 18.12.2018 08:12:59
  2. # 2
ImanGM Принято ответа
Сообщений: 10
Присоединился: 08.12.2018
0
Голосов
расстегивать
Привет

Да, я знаю о функции страновых блоков, и она работает нормально. Но я искал что-то, чтобы посетители из некоторых стран не могли проходить аутентификацию или ... Например, у меня есть несколько посетителей из Китая, и это нормально. Но между тем у меня так много попыток взлома и из Китая. Я не хочу блокировать их все, но блокирую тех, кто пытается войти в WordPress или пытается пройти аутентификацию на почтовом сервере и ...

Это было бы замечательно, если бы у нас была такая функция в новых версиях Imunify360.

Спасибо,
Иман
  1. 18.12.2018 11:12:02
  2. # 3
Грег Земсков Принято ответа
Сообщений: 28
Присоединился: 16.11.2018
0
Голосов
расстегивать
Привет Иман,
Хорошо понял. Вы хотите иметь составное правило: «посетители из определенной страны» и «посетитель, запрашивающий определенный URL».
Записано как запрос функции. Спасибо!
  1. 21.12.2018 07:12:29
  2. # 4
Hostking Принято ответа
Сообщений: 38
Присоединился: 07.11.2012
0
Голосов
расстегивать
Или почему бы не сделать это посетителям из страны, использующей определенный порт или тип приложения.
  1. 22.12.2018 15:12:54
  2. # 5
ImanGM Принято ответа
Сообщений: 10
Присоединился: 08.12.2018
0
Голосов
расстегивать
Привет Иман,
Хорошо понял. Вы хотите иметь составное правило: «посетители из определенной страны» и «посетитель, запрашивающий определенный URL».
Записано как запрос функции. Спасибо!



Да! Спасибо :)
  1. 29.12.2018 11:12:19
  2. # 6
ImanGM Принято ответа
Сообщений: 10
Присоединился: 08.12.2018
0
Голосов
расстегивать
Здравствуйте,

Я только что создал простой сценарий оболочки для работы с интерфейсом командной строки Imunify360-agent, который сканирует инциденты Imunify360 и перемещает IP-адреса в черный список на основе некоторых правил, которые пользователь может указать. Например, заблокируйте любые попытки войти в WordPress из определенных стран или даже заблокируйте любые попытки, которые не находятся в списке разрешенных стран.

Я сделал это так, чтобы пользователь мог определять разные правила для разных стран и инцидентов.

Как это использовать:

1. Подключитесь к вашему серверу через SSH

2. Создайте каталог, например, в вашем домашнем каталоге и назовите его ccprotect
 mkdir / home / myuser / ccprotect 


3. Загрузите прикрепленный файл и разархивируйте его в этом каталоге.

4. Перейдите в каталог правил и отредактируйте файлы так, как вам нужно. Вам нужен как минимум один файл .rule, и если вам не нужны другие, вы можете удалить их. Я поместил файл с именем custom_rule.temp, который вы можете использовать в качестве пустого шаблона для ваших правил:
 cp custom_rule.temp my_own_rule.rule 


5. В каждом правиле есть переменные 5, которые вам нужно заполнить:

RULE_NAME: Просто название для вашего правила.

CMDS: Возьмите часть происшествия и поместите его здесь. Например: «Попытка входа в WordPress» или если вы хотите использовать более одного инцидента для проверки, используйте его следующим образом: «Попытка входа в WordPress | Атака грубой силы Dovecot | Попытка входа в систему с использованием несуществующего пользователя», Обратите внимание, что вы должны поставить | знак между инцидентами, и он работает как ИЛИ побитовый оператор.

DENY_COUNTRIES: Список стран, которые проверены на наличие инцидентов. Если IP-адрес принадлежит этому списку, он будет немедленно добавлен в черный список. Коды стран должны быть введены в двухсимвольном формате, полный список которого вы можете найти здесь:

https://www.nationsonline.org/oneworld/country_code_list.htm

ALLOW_COUNTRIES: Список стран, которые не будут проверены на наличие инцидентов. Если IP-адрес не принадлежит этому списку, он будет немедленно заблокирован.

РЕЖИМ: разрешить или запретить «разрешить» означает, что ALLOW_COUNTRIES находится в действии (более ограничительно), и отрицать означает, что правила будут применяться только к списку DENY_COUNTRIES.

6. Когда вы закончите работу с файлами правил, запустите файл scan.sh один раз, чтобы увидеть, работает ли он нормально или нет. Он будет читать инциденты последних минут 10 и применять к ним правила.

7. Если сработало успешно, нужно идтиPlesk> Инструменты и настройки> Запланированные задачи"затем добавьте новую задачу. Тип задачи должен быть" Выполнить команду ".
Команда должна быть "/home/iman/ccprotect/scan.sh" (обязательно замените путь на путь, по которому вы загрузили скрипт).
Run должен иметь "Cron style" и значение "* / 2 * * * *"
Поставьте описание для себя и установите уведомление об ошибках только сначала. После успешного запуска вы можете отредактировать его и установить для него значение «Не уведомлять», поскольку оно будет отправлять вам электронные письма каждые две минуты.

Надеюсь, это поможет. Это было очень полезно для меня. Но учтите, что вам необходимо тщательно проверить файл правил и убедиться, что вы не блокируете себя. Пожалуйста, используйте это на свой страх и риск.

Благодаря,
Иман
Вложения (1)
  1. 30.12.2018 17:12:47
  2. # 7
Грег Земсков Принято ответа
Сообщений: 28
Присоединился: 16.11.2018
0
Голосов
расстегивать
ImanGM, отлично выглядит! Я передал это нашей аналитической команде.
Спасибо, что поделились сценарием!
  1. 31.12.2018 15:12:03
  2. # 8
ImanGM Принято ответа
Сообщений: 10
Присоединился: 08.12.2018
0
Голосов
расстегивать
ImanGM, отлично выглядит! Я передал это нашей аналитической команде.
Спасибо, что поделились сценарием!


Добро пожаловать. Это работает нормально для меня. Если команда аналитиков примет то, что я сделал, как временное решение, я думаю, было бы легко отслеживать другие журналы, такие как MySQL и ..., выявлять атаки методом перебора или другие виды атак и блокировать их с помощью Imunify360. агент ...

ура
Иман
  1. 15.07.2019 08:07:08
  2. # 9
Eugeniu Принято ответа
Сообщений: 0
Присоединился: 22.02.2020
0
Голосов
расстегивать
Для оптимизации использования ресурсов после увеличения черного списка (по IP-адресам 12k) мы используем блокировку с истечением срока действия.
 BLACKLIST_CMD = $ (echo imunify360-agent черный список ip add "$ IP360" --expiration $ (date '+% s' --date = '2 day') --comment \ "Автоблокировка с ограниченным доступом по сценарию \") 

Надеюсь, что это будет полезно для других участников ;)
  1. 15.07.2019 09:07:05
  2. # 10
ImanGM Принято ответа
Сообщений: 10
Присоединился: 08.12.2018
0
Голосов
расстегивать
Привет Евгениу,

Да уж! Это очень хорошее улучшение. Мой список сейчас заполнен IP-адресами 20,000, и это определенно очень большое количество. Я использовал ваше улучшение и изменил свой файл scan.sh, чтобы истечь срок действия заблокированных IP-адресов в дни 14, поскольку мне нужна более ограниченная политика.

Спасибо, что поделились этим.
Иман
  1. 15.07.2019 09:07:45
  2. # 11
Eugeniu Принято ответа
Сообщений: 0
Присоединился: 22.02.2020
0
Голосов
расстегивать
Привет, ImanGM, также я могу поделиться командами, чтобы очистить список IP-адресов Imunify из черного списка с вашим комментарием.
Я использовал его для нескольких серверов, все работает хорошо :)
 systemctl stop imunify360  echo "удалить из iplist, где comment = 'Автоблокировка страны с ограниченным доступом по сценарию';" | / opt / alt / sqlite / usr / bin / sqlite3 /var/imunify360/imunify360.db  эхо "вакуум"; | / opt / alt / sqlite / usr / bin / sqlite3 /var/imunify360/imunify360.db  systemctl перезапустить wsshdict  systemctl начать imunify360 


PS Спасибо команде поддержки Imunify360 за это решение
  • Страница:
  • 1


Там нет ответов, сделанные на этот пост пока нет.
Будьте одним из первых, чтобы ответить на этот пост!
гость
Отправить Ваш ответ
Загрузить файлы или изображения для обсуждения этого вопроса, нажав на кнопку загрузки ниже. опоры GIF, JPG, PNG, ZIP, RAR, PDF
• Вставить • Удалить Загрузка файлов (Максимальный размер файла: 2 MB)
Защитный код
Чтобы защитить сайт от ботов и несанкционированных сценариев, мы требуем, чтобы вы ввели коды капчи ниже, прежде чем отправить свой вопрос.