Forbidden 0 Zgłoś post Napisano Wrzesień 19, 2011 Witam, Dzisiejszej nocy ktoś zaczął atakować mój serwer. Niżej wysyłam logi: 01:20:31.408733 IP 193.104.56.25.58357 > ks384278.kimsufi.com.0: . win 512 01:20:31.408741 IP 193.104.56.25.58358 > ks384278.kimsufi.com.0: . win 512 01:20:31.408751 IP 193.104.56.25.58359 > ks384278.kimsufi.com.0: . win 512 01:20:31.408759 IP 193.104.56.25.58360 > ks384278.kimsufi.com.0: . win 512 01:20:31.408764 IP 193.104.56.25.58361 > ks384278.kimsufi.com.0: . win 512 01:20:31.408769 IP 193.104.56.25.58363 > ks384278.kimsufi.com.0: . win 512 01:20:31.408775 IP 193.104.56.25.58364 > ks384278.kimsufi.com.0: . win 512 01:20:31.408781 IP 193.104.56.25.58365 > ks384278.kimsufi.com.0: . win 512 01:20:31.408786 IP 193.104.56.25.58366 > ks384278.kimsufi.com.0: . win 512 01:20:31.408793 IP 193.104.56.25.58375 > ks384278.kimsufi.com.0: . win 512 01:20:31.408799 IP 193.104.56.25.58373 > ks384278.kimsufi.com.0: . win 512 01:20:31.408805 IP 193.104.56.25.58374 > ks384278.kimsufi.com.0: . win 512 01:20:31.408811 IP 193.104.56.25.58376 > ks384278.kimsufi.com.0: . win 512 01:20:31.408817 IP 193.104.56.25.58377 > ks384278.kimsufi.com.0: . win 512 01:20:31.408823 IP 193.104.56.25.58378 > ks384278.kimsufi.com.0: . win 512 01:20:31.408829 IP 193.104.56.25.58379 > ks384278.kimsufi.com.0: . win 512 01:20:31.408836 IP 193.104.56.25.58380 > ks384278.kimsufi.com.0: . win 512 01:20:31.408842 IP 193.104.56.25.58381 > ks384278.kimsufi.com.0: . win 512 01:20:31.408850 IP 193.104.56.25.58382 > ks384278.kimsufi.com.0: . win 512 01:20:31.408857 IP 193.104.56.25.58383 > ks384278.kimsufi.com.0: . win 512 01:20:31.408861 IP 193.104.56.25.58385 > ks384278.kimsufi.com.0: . win 512 01:20:31.408865 IP 193.104.56.25.58384 > ks384278.kimsufi.com.0: . win 512 01:20:31.408870 IP 193.104.56.25.58387 > ks384278.kimsufi.com.0: . win 512 01:20:31.408875 IP 193.104.56.25.58388 > ks384278.kimsufi.com.0: . win 512 01:20:31.408881 IP 193.104.56.25.58389 > ks384278.kimsufi.com.0: . win 512 01:20:31.408885 IP 193.104.56.25.58394 > ks384278.kimsufi.com.0: . win 512 Co każdy wysłany pakiet zmieniał się port osoby atakującej a port, który stał się celem to jak widać 0. IP pochodzi z Francjii. Nazwa sieci to: Level network i jest ono chyba powiązane z OVH. W jaki sposób oprócz blokady IP w iptables mogę się zabezpieczyć? Chociażby ten port 0? Z góry dzękuję... Jeżeli napisałem w złym dziale to proszę o przeniesienie. Pozdrawiam. Udostępnij ten post Link to postu Udostępnij na innych stronach
xorg 693 Zgłoś post Napisano Wrzesień 19, 2011 (edytowany) Wyslij abuse do operatora, oraz dodatkowo poinformuj o tym OVH. Do tego czasu dropuj wszystkie pakiety via iptables. Pod portem 0 bodajze domyslnie nie dziala zadna aplikacja, zatem nie jest to atak na dana usluge, tylko proba zuzycia lacza. PS. Pewnie kogoś zbanowaliście i się mści Edytowano Wrzesień 19, 2011 przez xorg (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Forbidden 0 Zgłoś post Napisano Wrzesień 19, 2011 (edytowany) Witam, Dzięki za szybką odpowiedź. Niewiem czy ktoś się mści czy nie, ale to pewno dlatego, że ja i paru znajomych posiadamy najwiekszy serwer TeamSpeak3 w Polsce, gdzie na samej webserverliscie pokazuję nas jako Francja. Ataki były dwa po drugim ataku na serwerze pojawiła się osoba z Francji z takim ip: 193.104.56.31 czyli niewiele różni się od tego co podałem w poście wyżej. Osoba z tym IP została przypadkowo zauważona przez jednego z adminów a kiedy chcieliśmy z nim pogadać to odrazu wyszedł z serwera. Operator został już powiadomiony lecz nie ma żadnej możliwości zabezpieczyć ten port 0? Wiemy też, że na tej scenie nie jesteśmy sami. Konkurencja tak jak wszędzie, ale co do naszego serwera Francuzom to niewiem.. Być może była to przypadkowa osoba, której zachciało się bawić lecz dziwnym trafem ataki zostały wykonane odrazu po tym jak nasz główny administrator/technik poszedł na tzw: AFK'a. PORTY TCP(10011) jak i UDP(9987) zostały zabezpieczone, ale jak widać ktoś jest na tyle cwany, że uderzył w port 0 i co w takiej sytuacji możemy zrobić? Z góry dziękuje za dalsze odpowiedzi. Edytowano Wrzesień 19, 2011 przez Forbidden (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Łukasz Ostrowski 593 Zgłoś post Napisano Wrzesień 19, 2011 ale co do naszego serwera Francuzom to niewiem.. Albo się jakiś nudzi, albo to nasz krajowiec Cię nie lubi i ma tam kupiony serwer Chociażby najtańszy kimsufi Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Wrzesień 19, 2011 lecz nie ma żadnej możliwości zabezpieczyć ten port 0? Możesz sobie za "drobną" opłatą zakupić w ovh firewall, który ci to będzie wycinał. Co każdy wysłany pakiet zmieniał się port osoby atakującej To, że source port się zmienia, to rzecz normalna - tak to działają równolegle prowadzone połączenia TCP ale co do naszego serwera Francuzom to niewiem To, że ip wygląda na FR, to wcale nie znaczy, że to nie jest jakiś vps zarządzany przez Polaka. Udostępnij ten post Link to postu Udostępnij na innych stronach
Forbidden 0 Zgłoś post Napisano Wrzesień 19, 2011 @Kafi - Dziękuję za konkretną odpowiedź. Byłbym Ci bardzo wdzięczny jakbyś podał mi link, gdzie będę mógł wyczytać jakieś informacje o tym firewallu a mianowicie jak działa dokładnie i ile dokładnie kosztuje(tym z OVH). Udostępnij ten post Link to postu Udostępnij na innych stronach
Pienio69 4 Zgłoś post Napisano Wrzesień 19, 2011 http://www.ovh.pl/jednostki/firewall_serwery_dedykowane.xml Udostępnij ten post Link to postu Udostępnij na innych stronach
Forbidden 0 Zgłoś post Napisano Wrzesień 19, 2011 Nie jest tanio, ale bardzo dobra oferta napewno wezmę ją pod uwagę. A jakieś darmowe "dobre" firewalle mógłbym gdzieś pobrać? Byłbym bardzo wdzięczny za pomco w podaniu nazw takich firewalli ew. linków do nich. I może też można gdzieś dorwać coś na podobę NetFlowa tylko, żeby właśnie dodatkowo blokowało taki adres atakującego. Oczywiście różne inne darmowe zabawki tego typu będą mile widziane. Z góry dziękuje za pomoc. Udostępnij ten post Link to postu Udostępnij na innych stronach
crazyluki 114 Zgłoś post Napisano Wrzesień 19, 2011 iptables to darmowy firewall. Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Wrzesień 19, 2011 (edytowany) iptables / netfilter to NIE JEST, wbrew potocznemu nazywaniu, firewall! To narzędzie, którym modyfikuje się tablice filtrów pakietowych kernela. A to wbrew pozorom NIE jest to samo. Hint: jak zablokuje komunikację z jakimś adresem IP używając polecenia route (dodanie trasy z gatewayem 127.0.0.1) to też polecenie route można zacząć nazywać firewallem? Edytowano Wrzesień 19, 2011 przez kafi (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
crazyluki 114 Zgłoś post Napisano Wrzesień 19, 2011 tzw null route jest to jedna z metod zabezpieczenia sieci przed dostępem niepowołanych osób. Dlatego uważam że trzeba by zdefiniować czym jest firewall. W Twoim przykładzie polecenie route zostało użyte w sposób skuteczny by zapobiec atakowi. Hint: zamknięte drzwi vs drzwi a za nimi ściana. Przez jedno i przez drugie się nie przejdzie. Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Wrzesień 20, 2011 Polecenie route zostało użyte do modyfikacji tablicy routingu. I tylko tego. Tak samo iptables modyfikuje tablicę filtrowania pakietów kernela. I tylko tyle. A to, że w konsekwencji kernel reaguje na niektóre pakiety bardziej alergicznie, niż domyślnie, to druga sprawa. Jedno i drugie narzędzie bezpośrednio nie robi się przez to firewallem. Kolejny przykład - nazwiesz regedit firewallem/narzędziem kontroli rodzicielskiej, bo pozwoli zmieniając pewien klucz rejestru uaktywnić ficzer IE blokujący strony po frazach kluczowych? Ogólnie zapora ogniowa / ten firewall to tak naprawdę zespół mechanizmów powodujących w konsekwencji zabezpieczenie czegoś od ataków sieciowych. Czyli jakiś analizator ruchu/IDS + skrypty analizujące coś niecoś przepływające przez sieć, współpracujące z systemowym filtrem pakietów (w uniksach netfilter, w windowsach np. doinstalowywany po to winpcap) do optymalnego zarządzania ruchem (tym porządanym, jak i nieporządanym). Natomiast nazwanie tym mianem narzędzi do modyfikacji parametrów kernela jest lekkim nadpowiedzeniem (aczkolwiek potocznie bardzo często stosowanym). A odnośnie meritum - może połączenie owego iptables ze snortem + fail2banem? Udostępnij ten post Link to postu Udostępnij na innych stronach
Forbidden 0 Zgłoś post Napisano Wrzesień 20, 2011 Dzisiaj zmontowaliśmy takiego o to firewalla: "Advanced Policy Firewall" co powiedziecie na jego temat? Póki co jest wszystko OK. Udostępnij ten post Link to postu Udostępnij na innych stronach
xorg 693 Zgłoś post Napisano Wrzesień 21, 2011 Przecież to jest ala iptables, a na tego temat doskonale wypowiedział się Kafi. Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Wrzesień 21, 2011 iptables / netfilter to NIE JEST, wbrew potocznemu nazywaniu, firewall! To narzędzie, którym modyfikuje się tablice filtrów pakietowych kernela. A to wbrew pozorom NIE jest to samo. Hint: jak zablokuje komunikację z jakimś adresem IP używając polecenia route (dodanie trasy z gatewayem 127.0.0.1) to też polecenie route można zacząć nazywać firewallem? Nie żebym się na siłę czepiał, ale ile dziesiąt K PLN netto kosztuje firewall, który wykonuje to w pełni sprzętowo? Z takimi stwierdzeniami to idź na ccie.pl... Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Wrzesień 21, 2011 Tu nie chodzi o to, żeby wykonywać to sprzętowo. Ale o to, że binarka modyfikująca ustawienia kernela to nie jest firewall. Dla ostatecznego efektu: wykonaj sobie iptables dodające reject dest-portu 80. Potem wykonaj rm /sbin/iptables Jak to jest, że nadal nie można się połączyć z portem 80, skoro owego programu-firewalla nie ma na dysku, w pamięci pod ps aux też nie jest widoczny ? Udostępnij ten post Link to postu Udostępnij na innych stronach
furek 37 Zgłoś post Napisano Wrzesień 22, 2011 Ale bez sensu piszesz.. To. że usuniesz iptables jako binarkę to nic nie zmienia bo wiadomo, że cała konfiguracja jest w pamięci. Ale jest przyjęte, że iptables to firewall tak samo jak ipchains czy ipfw. I nic tego nie zmieni. Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Wrzesień 22, 2011 No ale w CZYJEJ pamięci jest ta konfiguracja zapisywana? Procesu iptables? Przecież go (procesu iptables) w przestrzeni procesowej NIE MA. Powtórzę się - windowsowego regedita też nazwiesz firewallem, bo da się nim włączyć klasyfikator zawartości IE? Polecenie route też (bo pozwala wyciąć kogoś przez nullrouting)? Weźmy dla przykładu takiego fail2bana, którego już można uznać mianem firewalla. Jest on DAEMONEM. Analizuje sobie jakieś tam snapshoty systemu (w jego przypadku logi). Podejmuje na ich podstawie decyzje - że ten delikwent jest niepożądany. Wdraża mechanizmy, aby go zablokować. Czy to przez użycie iptables, czy to przez nullrouting, czy to przez dłubanie w /proc/ Jak go wyrzucimy z przestrzeni procesów i usuniemy binarkę, to wykrywać intruzów przestaje. Nie widać różnicy? Ale jest przyjęte, że iptables to firewall tak samo jak ipchains czy ipfw. I nic tego nie zmieni. Jest przyjęte, bo ktoś tak kiedyś to w uproszczeniu nazwał, i młotki to powtarzają. Jak i wiele innych ciekawych teorii. Chociażby pretensje, że ktoś chciał 10mb, dostał 10 milibitów, a mu się wydawało, że to przecież 10 megabajtów... Udostępnij ten post Link to postu Udostępnij na innych stronach
furek 37 Zgłoś post Napisano Wrzesień 23, 2011 No ale w CZYJEJ pamięci jest ta konfiguracja zapisywana? Procesu iptables? Przecież go (procesu iptables) w przestrzeni procesowej NIE MA. Powtórzę się - windowsowego regedita też nazwiesz firewallem, bo da się nim włączyć klasyfikator zawartości IE? Polecenie route też (bo pozwala wyciąć kogoś przez nullrouting)? Weźmy dla przykładu takiego fail2bana, którego już można uznać mianem firewalla. Jest on DAEMONEM. Analizuje sobie jakieś tam snapshoty systemu (w jego przypadku logi). Podejmuje na ich podstawie decyzje - że ten delikwent jest niepożądany. Wdraża mechanizmy, aby go zablokować. Czy to przez użycie iptables, czy to przez nullrouting, czy to przez dłubanie w /proc/ Jak go wyrzucimy z przestrzeni procesów i usuniemy binarkę, to wykrywać intruzów przestaje. Nie widać różnicy? Jest przyjęte, bo ktoś tak kiedyś to w uproszczeniu nazwał, i młotki to powtarzają. Jak i wiele innych ciekawych teorii. Chociażby pretensje, że ktoś chciał 10mb, dostał 10 milibitów, a mu się wydawało, że to przecież 10 megabajtów... Uważasz mnie za młotka? A skoro już cytujesz wikipedie to tam też zostało to nazwane jak? "głównie używanym jako zapora sieciowa" inaczej jak? FIREWALL. Dziękuje Udostępnij ten post Link to postu Udostępnij na innych stronach