Portsentry

Aus FisiWiki
Wechseln zu: Navigation, Suche

Portsentry über wacht folgenden Ports:

TCP_PORTS="1,11,15,79,111,119,144,540,635,1080,1524,2000,5742,6667,12344,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321"

Wenn sich eine IPNr durch einen Portscann mit dem Rechner: fisicloud.de verbindet wird er via routing table geblockt. Zusättzlich wird ein Eintrag in der MySql Datenbank:portsentry Table: ip_port gemacht um den Angriff zu protokollieren. Dies wird mit dem externel CMD welches ein script started gemacht. Hier der entsprechennde Abschnit aus der portsentry.conf Datei:

KILL_RUN_CMD="/root/bin/insertip.sh


Hier das bash script welches den eintrag macht:

<source lang="bash">

  1. !/bin/bash
  2. datum: Di 26. Jan 08:41:56 CET 2016
  3. desc:
  4. -----------------------------------
  5. Portsentry script welches IPNr in DB schreibt

mysql -uport -p"geheim" -e"INSERT INTO ip_port(ip) VALUES ('$1')" portsentry; echo "Scan detect from $1" >> /var/log/portsentry.log;

exit 0; </source>

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Navigation
Werkzeuge