Extra Systems Ban Software (ESBANS)

Автор: Юрий Павленко
Компания: Extra Systems
Год разработки: 2026
Контакты: esbans@extrasystems.biz

Введение

Проблема безопасности серверов в Интернете была актуальна вчера, актуальна сегодня и также будет актуальна и завтра. В первую очередь важно иметь на сервере надежные компоненты и вовремя применять обновления безопасности, а также не допускать ошибок в конфигурации. Но даже если все это и было вами сделано, все равно полчища хакеров ежеминутно атакуют вашу систему — например, с целью подобрать пароль к той или иной службе. Плюс к тому, подобные атаки отнимают ресурсы сервера и заставляют его тратить усилия на обработку этих ненужных запросов.

Поэтому были разработаны системы, которые банят злоумышленников на основании определенных признаков хакерской активности. На этом сайте описывается использование для подобной цели широко известного компонента для Linux серверов под названием fail2ban (с нашими дополнительными модулями, существенно повышающими эффективность его работы), а также созданной нами оригинальной системы для защиты порта RDP у серверов Windows под названием ES-RDP.

Компоненты системы ESBANS

Система ESBANS включает в себя наши оригинальные фильтры для fail2ban (которые демонстрируют на практике намного большую эффективность, чем стандартные фильтры fail2ban того же назначения), систему ES-RDP для защиты порта RDP на Windows Server и компоненты для мониторинга работы всей этой системы через web-интерфейс.

Фильтры для fail2ban

Для fail2ban (который мы сегодня считаем системой класса "must have" для серверов на базе Linux) нами были разработаны следующие оригинальные фильтры высокой эффективности для подавления хакеров:

• es-nginx-access - фильтр для нейтрализации хакеров в WEB-сервере nginx
• es-nginx-errors - фильтр для нейтрализации хакеров в WEB-сервере nginx
• es-bind-errors - фильтр для нейтрализации хакеров в DNS-сервере bind
• es-postfix - фильтр для нейтрализации хакеров в mail-сервере postfix
• es-phpBB - фильтр для нейтрализации хакеров на форуме phpBB
• es-wordpress - фильтр для нейтрализации хакеров на хостинге WordPress

Все эти фильтры также используют при своей работе стандартные настройки fail2ban из секции [DEFAULT] которая имеет у нас следующий вид:

[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.0.0/24
port     = all
maxretry = 3
findtime = 6h
bantime  = 1d

ES-RDP — система защиты удаленного рабочего стола Windows Server

ES-RDP — это комплексное решение для защиты службы удаленного рабочего стола (Remote Desktop Protocol) в среде Windows Server. Система ориентирована на автоматизацию процесса обнаружения угроз и динамическое управление правилами доступа.

На жестком диске каталог системы ES-RDP выглядит у нас следующим образом:

20.04.2026  11:48             2 073 common.ps1
17.04.2026  09:47               136 rdp-run.bat
17.04.2026  17:55             2 415 rdp-run.ps1
14.04.2026  18:11               120 rdp_log.bat
16.04.2026  22:40             1 165 rdp_log.php
20.04.2026  12:14             6 535 rdp_log.ps1
09.04.2026  11:24               403 set_log_size.bat
30.03.2026  14:58                55 stat_all.bat
23.04.2026  09:23            12 208 stat_all.ps1
               9 файлов         25 110 байт

Наша оригинальная система защиты порта RDP для сервера Windows состоит из таких элементов:

• common - общий файл настроек системы, который используется всеми ее главными и дополнительными элементами
• rdp-run - главный активный элемент системы, который обнаруживает злоумышленников и производит их первичную блокировку
• rdp_log - дополнительный активный элемент системы, который обеспечивает разблокировку хостов и сетей, для которых срок наказания уже истек, а также занимается поиском рецедивистов и адресных блоков ботнета с целью их последующей вторичной блокировки
• rdp_ban - база данных MySQL, необходимая для работы всей системы
• stat_all - главный пассивный элемент системы, обеспечивающий по запросу администратора вывод на консоль полного состояния системы защиты
• set_log_size - вспомогательный элемент, обеспечивающий изменение предельного размера лог-файла

ES-RDP была разработана нами и успешно применена на Windows Server 2012 R2. К сожалению, на данный момент, мы не располагаем никакой достоверной информацией о ее совместимости с другими версиями Windows Server. В то же время, поскольку наш код не использует никаких недокументированных возможностей, разумно было бы предположить, что он будет также работать и в последующих версиях этой операционной системы.

Блок мониторинга состояния системы защиты сервера

Наблюдение за состоянием системы ESBANS производится администратором через простой web-интерфейс. Для этого нужно на своем сервере Linux создать в nginx специальный сайт, либо же создать на существующем сайте специальный каталог. Специальный скрипт, который запускается через cron каждый час, будет формировать в соответствующем каталоге файл esbans_stat.htm, который можно изучать на своей рабочей станции через любой интернет-браузер. В этом html-файле в виде диаграмм изображена активность модулей fail2ban и ES-RDP за некоторое количество последних дней (этот параметр можно настроить под свои нужды самостоятельно).

Кроме того, еще одним средством мониторинга (но только ES-RDP, а не всего ESBANS) является упомянутый выше модуль stat_all.

Заключение

Представленная здесь вашему вниманию, разработанная нами система защиты интернет-серверов на базе Linux и Windows уже показала отличные результаты работы в нашей сети, и мы надеемся, что результаты ее применения в ваших сетях также будут приносить большое удовлетворение вашим системным администраторам. Мы также надеемся, что после применения вами ESBANS хакеры и спамеры будут также обходить все ваши серверы десятой дорогой, как это уже давно происходит с нашими.

Компания Extra Systems сохраняет за собой все права на весь опубликованный на этом сайте код. В то же время мы даем разрешение любому лицу использовать его на своих серверах без всяких ограничений, а также изменять и дополнять его. Продажа нашего кода, в том числе модифицированного кем-либо, не допускается. Распространение оригинального или модифицированного кода разрешается только при наличии ссылки на первоисточник.

Для обсуждения этого проекта нами создан специальный форум, на который мы приглашаем всех желающих.

© Extra Systems, 2026