Меня-таки достали постоянные брутфосы на ssh, проводимые с зомбоящиков. Раньше я замечал эти атаки благодаря logcheck, который присылал мне на почту все аномалии, и затем блокировал адреса руками в файрволе. И меня даже раздражало не то, что приходится что-то делать самому (в конце концов, говорить “iptables -A INPUT -s чего-нибудь -j DROP” даже приятно 🙂 ), сколько то, что заблокировать можно было бы прямо вначале атаки, а я это делал или уже после, или где-то в середине.
Upd: найдено более универсальное средство, см. ниже.
Continue reading “IDS своими руками”