Skocz do zawartości
Forbidden

Ataki na mój serwer.

Polecane posty

Witam,

 

Dzisiejszej nocy ktoś zaczął atakować mój serwer. Niżej wysyłam logi:

 

01:20:31.408733 IP 193.104.56.25.58357 > ks384278.kimsufi.com.0: . win 512

01:20:31.408741 IP 193.104.56.25.58358 > ks384278.kimsufi.com.0: . win 512

01:20:31.408751 IP 193.104.56.25.58359 > ks384278.kimsufi.com.0: . win 512

01:20:31.408759 IP 193.104.56.25.58360 > ks384278.kimsufi.com.0: . win 512

01:20:31.408764 IP 193.104.56.25.58361 > ks384278.kimsufi.com.0: . win 512

01:20:31.408769 IP 193.104.56.25.58363 > ks384278.kimsufi.com.0: . win 512

01:20:31.408775 IP 193.104.56.25.58364 > ks384278.kimsufi.com.0: . win 512

01:20:31.408781 IP 193.104.56.25.58365 > ks384278.kimsufi.com.0: . win 512

01:20:31.408786 IP 193.104.56.25.58366 > ks384278.kimsufi.com.0: . win 512

01:20:31.408793 IP 193.104.56.25.58375 > ks384278.kimsufi.com.0: . win 512

01:20:31.408799 IP 193.104.56.25.58373 > ks384278.kimsufi.com.0: . win 512

01:20:31.408805 IP 193.104.56.25.58374 > ks384278.kimsufi.com.0: . win 512

01:20:31.408811 IP 193.104.56.25.58376 > ks384278.kimsufi.com.0: . win 512

01:20:31.408817 IP 193.104.56.25.58377 > ks384278.kimsufi.com.0: . win 512

01:20:31.408823 IP 193.104.56.25.58378 > ks384278.kimsufi.com.0: . win 512

01:20:31.408829 IP 193.104.56.25.58379 > ks384278.kimsufi.com.0: . win 512

01:20:31.408836 IP 193.104.56.25.58380 > ks384278.kimsufi.com.0: . win 512

01:20:31.408842 IP 193.104.56.25.58381 > ks384278.kimsufi.com.0: . win 512

01:20:31.408850 IP 193.104.56.25.58382 > ks384278.kimsufi.com.0: . win 512

01:20:31.408857 IP 193.104.56.25.58383 > ks384278.kimsufi.com.0: . win 512

01:20:31.408861 IP 193.104.56.25.58385 > ks384278.kimsufi.com.0: . win 512

01:20:31.408865 IP 193.104.56.25.58384 > ks384278.kimsufi.com.0: . win 512

01:20:31.408870 IP 193.104.56.25.58387 > ks384278.kimsufi.com.0: . win 512

01:20:31.408875 IP 193.104.56.25.58388 > ks384278.kimsufi.com.0: . win 512

01:20:31.408881 IP 193.104.56.25.58389 > ks384278.kimsufi.com.0: . win 512

01:20:31.408885 IP 193.104.56.25.58394 > ks384278.kimsufi.com.0: . win 512

 

Co każdy wysłany pakiet zmieniał się port osoby atakującej a port, który

stał się celem to jak widać 0. IP pochodzi z Francjii. Nazwa sieci to:

Level network i jest ono chyba powiązane z OVH. W jaki sposób oprócz

blokady IP w iptables mogę się zabezpieczyć? Chociażby ten port 0?

 

Z góry dzękuję... Jeżeli napisałem w złym dziale to proszę o przeniesienie.

 

Pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wyslij abuse do operatora, oraz dodatkowo poinformuj o tym OVH. Do tego czasu dropuj wszystkie pakiety via iptables.

 

Pod portem 0 bodajze domyslnie nie dziala zadna aplikacja, zatem nie jest to atak na dana usluge, tylko proba zuzycia lacza.

 

PS. Pewnie kogoś zbanowaliście i się mści ;)

Edytowano przez xorg (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam,

 

Dzięki za szybką odpowiedź. Niewiem czy ktoś się mści czy nie, ale to pewno dlatego, że ja i paru znajomych posiadamy najwiekszy serwer TeamSpeak3 w Polsce, gdzie na samej webserverliscie pokazuję nas jako Francja. Ataki były dwa po drugim ataku na serwerze pojawiła się osoba z Francji z takim ip: 193.104.56.31 czyli niewiele różni się od tego co podałem w poście

wyżej. Osoba z tym IP została przypadkowo zauważona przez jednego z adminów a kiedy chcieliśmy z nim pogadać to odrazu wyszedł z serwera. Operator został już powiadomiony lecz nie ma żadnej możliwości zabezpieczyć ten port 0?

 

Wiemy też, że na tej scenie nie jesteśmy sami. Konkurencja tak jak wszędzie, ale co do naszego serwera Francuzom to niewiem..

Być może była to przypadkowa osoba, której zachciało się bawić lecz dziwnym trafem ataki zostały wykonane odrazu po tym jak nasz główny administrator/technik poszedł na tzw: AFK'a. PORTY TCP(10011) jak i UDP(9987) zostały zabezpieczone, ale jak widać ktoś jest na tyle cwany, że uderzył w port 0 i co w takiej sytuacji możemy zrobić? Z góry dziękuje za dalsze odpowiedzi.

Edytowano przez Forbidden (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
ale co do naszego serwera Francuzom to niewiem..

 

Albo się jakiś nudzi, albo to nasz krajowiec Cię nie lubi i ma tam kupiony serwer :) Chociażby najtańszy kimsufi

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
lecz nie ma żadnej możliwości zabezpieczyć ten port 0?

Możesz sobie za "drobną" opłatą zakupić w ovh firewall, który ci to będzie wycinał.

Co każdy wysłany pakiet zmieniał się port osoby atakującej

To, że source port się zmienia, to rzecz normalna - tak to działają równolegle prowadzone połączenia TCP :)

ale co do naszego serwera Francuzom to niewiem

To, że ip wygląda na FR, to wcale nie znaczy, że to nie jest jakiś vps zarządzany przez Polaka.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@Kafi - Dziękuję za konkretną odpowiedź. Byłbym Ci bardzo wdzięczny jakbyś podał mi link, gdzie będę mógł wyczytać jakieś

informacje o tym firewallu a mianowicie jak działa dokładnie i ile dokładnie kosztuje(tym z OVH).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie jest tanio, ale bardzo dobra oferta napewno wezmę ją pod uwagę. A jakieś darmowe "dobre" firewalle mógłbym gdzieś pobrać?

Byłbym bardzo wdzięczny za pomco w podaniu nazw takich firewalli ew. linków do nich. I może też można gdzieś dorwać coś na podobę NetFlowa tylko, żeby właśnie dodatkowo blokowało taki adres atakującego. Oczywiście różne inne darmowe zabawki tego typu będą mile widziane. Z góry dziękuje za pomoc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

iptables / netfilter to NIE JEST, wbrew potocznemu nazywaniu, firewall!

To narzędzie, którym modyfikuje się tablice filtrów pakietowych kernela. A to wbrew pozorom NIE jest to samo.

Hint: jak zablokuje komunikację z jakimś adresem IP używając polecenia route (dodanie trasy z gatewayem 127.0.0.1) to też polecenie route można zacząć nazywać firewallem?

Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

tzw null route jest to jedna z metod zabezpieczenia sieci przed dostępem niepowołanych osób.

 

Dlatego uważam że trzeba by zdefiniować czym jest firewall.

 

W Twoim przykładzie polecenie route zostało użyte w sposób skuteczny by zapobiec atakowi.

 

Hint: zamknięte drzwi vs drzwi a za nimi ściana. Przez jedno i przez drugie się nie przejdzie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Polecenie route zostało użyte do modyfikacji tablicy routingu. I tylko tego.

Tak samo iptables modyfikuje tablicę filtrowania pakietów kernela. I tylko tyle.

A to, że w konsekwencji kernel reaguje na niektóre pakiety bardziej alergicznie, niż domyślnie, to druga sprawa.

Jedno i drugie narzędzie bezpośrednio nie robi się przez to firewallem.

Kolejny przykład - nazwiesz regedit firewallem/narzędziem kontroli rodzicielskiej, bo pozwoli zmieniając pewien klucz rejestru uaktywnić ficzer IE blokujący strony po frazach kluczowych?

 

Ogólnie zapora ogniowa / ten firewall to tak naprawdę zespół mechanizmów powodujących w konsekwencji zabezpieczenie czegoś od ataków sieciowych. Czyli jakiś analizator ruchu/IDS + skrypty analizujące coś niecoś przepływające przez sieć, współpracujące z systemowym filtrem pakietów (w uniksach netfilter, w windowsach np. doinstalowywany po to winpcap) do optymalnego zarządzania ruchem (tym porządanym, jak i nieporządanym). Natomiast nazwanie tym mianem narzędzi do modyfikacji parametrów kernela jest lekkim nadpowiedzeniem (aczkolwiek potocznie bardzo często stosowanym).

 

A odnośnie meritum - może połączenie owego iptables ze snortem + fail2banem?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Przecież to jest ala iptables, a na tego temat doskonale wypowiedział się Kafi.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

iptables / netfilter to NIE JEST, wbrew potocznemu nazywaniu, firewall!

To narzędzie, którym modyfikuje się tablice filtrów pakietowych kernela. A to wbrew pozorom NIE jest to samo.

Hint: jak zablokuje komunikację z jakimś adresem IP używając polecenia route (dodanie trasy z gatewayem 127.0.0.1) to też polecenie route można zacząć nazywać firewallem?

Nie żebym się na siłę czepiał, ale ile dziesiąt K PLN netto kosztuje firewall, który wykonuje to w pełni sprzętowo?

Z takimi stwierdzeniami to idź na ccie.pl...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tu nie chodzi o to, żeby wykonywać to sprzętowo.

Ale o to, że binarka modyfikująca ustawienia kernela to nie jest firewall.

Dla ostatecznego efektu: wykonaj sobie iptables dodające reject dest-portu 80.

Potem wykonaj rm /sbin/iptables

Jak to jest, że nadal nie można się połączyć z portem 80, skoro owego programu-firewalla nie ma na dysku, w pamięci pod ps aux też nie jest widoczny ;) ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale bez sensu piszesz..

 

To. że usuniesz iptables jako binarkę to nic nie zmienia bo wiadomo, że cała konfiguracja jest w pamięci.

Ale jest przyjęte, że iptables to firewall tak samo jak ipchains czy ipfw.

I nic tego nie zmieni.

 

 

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No ale w CZYJEJ pamięci jest ta konfiguracja zapisywana? Procesu iptables?

Przecież go (procesu iptables) w przestrzeni procesowej NIE MA.

Powtórzę się - windowsowego regedita też nazwiesz firewallem, bo da się nim włączyć klasyfikator zawartości IE?

Polecenie route też (bo pozwala wyciąć kogoś przez nullrouting)?

 

Weźmy dla przykładu takiego fail2bana, którego już można uznać mianem firewalla.

Jest on DAEMONEM. Analizuje sobie jakieś tam snapshoty systemu (w jego przypadku logi).

Podejmuje na ich podstawie decyzje - że ten delikwent jest niepożądany.

Wdraża mechanizmy, aby go zablokować. Czy to przez użycie iptables, czy to przez nullrouting, czy to przez dłubanie w /proc/

Jak go wyrzucimy z przestrzeni procesów i usuniemy binarkę, to wykrywać intruzów przestaje.

Nie widać różnicy?

 

 

Ale jest przyjęte, że iptables to firewall tak samo jak ipchains czy ipfw.

I nic tego nie zmieni.

Jest przyjęte, bo ktoś tak kiedyś to w uproszczeniu nazwał, i młotki to powtarzają.

Jak i wiele innych ciekawych teorii. Chociażby pretensje, że ktoś chciał 10mb, dostał 10 milibitów, a mu się wydawało, że to przecież 10 megabajtów...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No ale w CZYJEJ pamięci jest ta konfiguracja zapisywana? Procesu iptables?

Przecież go (procesu iptables) w przestrzeni procesowej NIE MA.

Powtórzę się - windowsowego regedita też nazwiesz firewallem, bo da się nim włączyć klasyfikator zawartości IE?

Polecenie route też (bo pozwala wyciąć kogoś przez nullrouting)?

 

Weźmy dla przykładu takiego fail2bana, którego już można uznać mianem firewalla.

Jest on DAEMONEM. Analizuje sobie jakieś tam snapshoty systemu (w jego przypadku logi).

Podejmuje na ich podstawie decyzje - że ten delikwent jest niepożądany.

Wdraża mechanizmy, aby go zablokować. Czy to przez użycie iptables, czy to przez nullrouting, czy to przez dłubanie w /proc/

Jak go wyrzucimy z przestrzeni procesów i usuniemy binarkę, to wykrywać intruzów przestaje.

Nie widać różnicy?

 

 

 

Jest przyjęte, bo ktoś tak kiedyś to w uproszczeniu nazwał, i młotki to powtarzają.

Jak i wiele innych ciekawych teorii. Chociażby pretensje, że ktoś chciał 10mb, dostał 10 milibitów, a mu się wydawało, że to przecież 10 megabajtów...

 

Uważasz mnie za młotka?

A skoro już cytujesz wikipedie to tam też zostało to nazwane jak? "głównie używanym jako zapora sieciowa" inaczej jak? FIREWALL.

Dziękuje

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×