rimedio contro attacco robotico su ssh: dopo due tentativi sbagliati di login ecco che per tre minuti vengono bloccate le comunicazioni dirette verso la porta 22 (ssh). l’output e’ generato con iptables-save, occorre utilizzare iptable-restore per caricare le impostazioni.

#################################

# Generated by iptables-save v1.3.8 on Thu Nov  5 20:41:45 2009
*filter
:INPUT ACCEPT [116:13806]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [138:16265]
:SSHSCAN – [0:0]
-A INPUT -p tcp -m tcp –dport 22 -m state –state NEW -j SSHSCAN
-A SSHSCAN -m recent –set –name SSH –rsource
-A SSHSCAN -m recent –update –seconds 300 –hitcount 3 –name SSH –rsource -j DROP
COMMIT
# Completed on Thu Nov  5 20:41:45 2009

#################################

logga i ping. attenzione! sulla mia fidata slackware ecco che i log non finiscono in /var/log/messages, come io mi aspettavo, ma finiscono in /var/log/syslog

iptables -t filter -A INPUT -i eth+ -p icmp –icmp-type echo-request  -j LOG –log-level alert –log-prefix SCANSIONE_IP