Ataki na mój serwer.

[Forbidden 0]

Witam,

 

Dzisiejszej nocy ktoś zaczął atakować mój serwer. Niżej wysyłam logi:

 

01:20:31.408733 IP 193.104.56.25.58357 > ks384278.kimsufi.com.0: . win 512

01:20:31.408741 IP 193.104.56.25.58358 > ks384278.kimsufi.com.0: . win 512

01:20:31.408751 IP 193.104.56.25.58359 > ks384278.kimsufi.com.0: . win 512

01:20:31.408759 IP 193.104.56.25.58360 > ks384278.kimsufi.com.0: . win 512

01:20:31.408764 IP 193.104.56.25.58361 > ks384278.kimsufi.com.0: . win 512

01:20:31.408769 IP 193.104.56.25.58363 > ks384278.kimsufi.com.0: . win 512

01:20:31.408775 IP 193.104.56.25.58364 > ks384278.kimsufi.com.0: . win 512

01:20:31.408781 IP 193.104.56.25.58365 > ks384278.kimsufi.com.0: . win 512

01:20:31.408786 IP 193.104.56.25.58366 > ks384278.kimsufi.com.0: . win 512

01:20:31.408793 IP 193.104.56.25.58375 > ks384278.kimsufi.com.0: . win 512

01:20:31.408799 IP 193.104.56.25.58373 > ks384278.kimsufi.com.0: . win 512

01:20:31.408805 IP 193.104.56.25.58374 > ks384278.kimsufi.com.0: . win 512

01:20:31.408811 IP 193.104.56.25.58376 > ks384278.kimsufi.com.0: . win 512

01:20:31.408817 IP 193.104.56.25.58377 > ks384278.kimsufi.com.0: . win 512

01:20:31.408823 IP 193.104.56.25.58378 > ks384278.kimsufi.com.0: . win 512

01:20:31.408829 IP 193.104.56.25.58379 > ks384278.kimsufi.com.0: . win 512

01:20:31.408836 IP 193.104.56.25.58380 > ks384278.kimsufi.com.0: . win 512

01:20:31.408842 IP 193.104.56.25.58381 > ks384278.kimsufi.com.0: . win 512

01:20:31.408850 IP 193.104.56.25.58382 > ks384278.kimsufi.com.0: . win 512

01:20:31.408857 IP 193.104.56.25.58383 > ks384278.kimsufi.com.0: . win 512

01:20:31.408861 IP 193.104.56.25.58385 > ks384278.kimsufi.com.0: . win 512

01:20:31.408865 IP 193.104.56.25.58384 > ks384278.kimsufi.com.0: . win 512

01:20:31.408870 IP 193.104.56.25.58387 > ks384278.kimsufi.com.0: . win 512

01:20:31.408875 IP 193.104.56.25.58388 > ks384278.kimsufi.com.0: . win 512

01:20:31.408881 IP 193.104.56.25.58389 > ks384278.kimsufi.com.0: . win 512

01:20:31.408885 IP 193.104.56.25.58394 > ks384278.kimsufi.com.0: . win 512

 

Co każdy wysłany pakiet zmieniał się port osoby atakującej a port, który

stał się celem to jak widać 0. IP pochodzi z Francjii. Nazwa sieci to:

Level network i jest ono chyba powiązane z OVH. W jaki sposób oprócz

blokady IP w iptables mogę się zabezpieczyć? Chociażby ten port 0?

 

Z góry dzękuję... Jeżeli napisałem w złym dziale to proszę o przeniesienie.

 

Pozdrawiam.

[xorg 693]

Wyslij abuse do operatora, oraz dodatkowo poinformuj o tym OVH. Do tego czasu dropuj wszystkie pakiety via iptables.

 

Pod portem 0 bodajze domyslnie nie dziala zadna aplikacja, zatem nie jest to atak na dana usluge, tylko proba zuzycia lacza.

 

PS. Pewnie kogoś zbanowaliście i się mści

Edytowano Wrzesień 19, 2011 przez xorg (zobacz historię edycji)

[Forbidden 0]

Witam,

 

Dzięki za szybką odpowiedź. Niewiem czy ktoś się mści czy nie, ale to pewno dlatego, że ja i paru znajomych posiadamy najwiekszy serwer TeamSpeak3 w Polsce, gdzie na samej webserverliscie pokazuję nas jako Francja. Ataki były dwa po drugim ataku na serwerze pojawiła się osoba z Francji z takim ip: 193.104.56.31 czyli niewiele różni się od tego co podałem w poście

wyżej. Osoba z tym IP została przypadkowo zauważona przez jednego z adminów a kiedy chcieliśmy z nim pogadać to odrazu wyszedł z serwera. Operator został już powiadomiony lecz nie ma żadnej możliwości zabezpieczyć ten port 0?

 

Wiemy też, że na tej scenie nie jesteśmy sami. Konkurencja tak jak wszędzie, ale co do naszego serwera Francuzom to niewiem..

Być może była to przypadkowa osoba, której zachciało się bawić lecz dziwnym trafem ataki zostały wykonane odrazu po tym jak nasz główny administrator/technik poszedł na tzw: AFK'a. PORTY TCP(10011) jak i UDP(9987) zostały zabezpieczone, ale jak widać ktoś jest na tyle cwany, że uderzył w port 0 i co w takiej sytuacji możemy zrobić? Z góry dziękuje za dalsze odpowiedzi.

Edytowano Wrzesień 19, 2011 przez Forbidden (zobacz historię edycji)

[Łukasz Ostrowski 593]

ale co do naszego serwera Francuzom to niewiem..

 

Albo się jakiś nudzi, albo to nasz krajowiec Cię nie lubi i ma tam kupiony serwer Chociażby najtańszy kimsufi

 

 

[kafi 2425]

lecz nie ma żadnej możliwości zabezpieczyć ten port 0?

Możesz sobie za "drobną" opłatą zakupić w ovh firewall, który ci to będzie wycinał.

Co każdy wysłany pakiet zmieniał się port osoby atakującej

To, że source port się zmienia, to rzecz normalna - tak to działają równolegle prowadzone połączenia TCP

ale co do naszego serwera Francuzom to niewiem

To, że ip wygląda na FR, to wcale nie znaczy, że to nie jest jakiś vps zarządzany przez Polaka.

[Forbidden 0]

@Kafi - Dziękuję za konkretną odpowiedź. Byłbym Ci bardzo wdzięczny jakbyś podał mi link, gdzie będę mógł wyczytać jakieś

informacje o tym firewallu a mianowicie jak działa dokładnie i ile dokładnie kosztuje(tym z OVH).

[Pienio69 4]

http://www.ovh.pl/jednostki/firewall_serwery_dedykowane.xml

[Forbidden 0]

Nie jest tanio, ale bardzo dobra oferta napewno wezmę ją pod uwagę. A jakieś darmowe "dobre" firewalle mógłbym gdzieś pobrać?

Byłbym bardzo wdzięczny za pomco w podaniu nazw takich firewalli ew. linków do nich. I może też można gdzieś dorwać coś na podobę NetFlowa tylko, żeby właśnie dodatkowo blokowało taki adres atakującego. Oczywiście różne inne darmowe zabawki tego typu będą mile widziane. Z góry dziękuje za pomoc.

[crazyluki 114]

iptables to darmowy firewall.

[kafi 2425]

iptables / netfilter to NIE JEST, wbrew potocznemu nazywaniu, firewall!

To narzędzie, którym modyfikuje się tablice filtrów pakietowych kernela. A to wbrew pozorom NIE jest to samo.

Hint: jak zablokuje komunikację z jakimś adresem IP używając polecenia route (dodanie trasy z gatewayem 127.0.0.1) to też polecenie route można zacząć nazywać firewallem?

Edytowano Wrzesień 19, 2011 przez kafi (zobacz historię edycji)

[crazyluki 114]

tzw null route jest to jedna z metod zabezpieczenia sieci przed dostępem niepowołanych osób.

 

Dlatego uważam że trzeba by zdefiniować czym jest firewall.

 

W Twoim przykładzie polecenie route zostało użyte w sposób skuteczny by zapobiec atakowi.

 

Hint: zamknięte drzwi vs drzwi a za nimi ściana. Przez jedno i przez drugie się nie przejdzie.

[kafi 2425]

Polecenie route zostało użyte do modyfikacji tablicy routingu. I tylko tego.

Tak samo iptables modyfikuje tablicę filtrowania pakietów kernela. I tylko tyle.

A to, że w konsekwencji kernel reaguje na niektóre pakiety bardziej alergicznie, niż domyślnie, to druga sprawa.

Jedno i drugie narzędzie bezpośrednio nie robi się przez to firewallem.

Kolejny przykład - nazwiesz regedit firewallem/narzędziem kontroli rodzicielskiej, bo pozwoli zmieniając pewien klucz rejestru uaktywnić ficzer IE blokujący strony po frazach kluczowych?

 

Ogólnie zapora ogniowa / ten firewall to tak naprawdę zespół mechanizmów powodujących w konsekwencji zabezpieczenie czegoś od ataków sieciowych. Czyli jakiś analizator ruchu/IDS + skrypty analizujące coś niecoś przepływające przez sieć, współpracujące z systemowym filtrem pakietów (w uniksach netfilter, w windowsach np. doinstalowywany po to winpcap) do optymalnego zarządzania ruchem (tym porządanym, jak i nieporządanym). Natomiast nazwanie tym mianem narzędzi do modyfikacji parametrów kernela jest lekkim nadpowiedzeniem (aczkolwiek potocznie bardzo często stosowanym).

 

A odnośnie meritum - może połączenie owego iptables ze snortem + fail2banem?

[Forbidden 0]

Dzisiaj zmontowaliśmy takiego o to firewalla: "Advanced Policy Firewall" co powiedziecie na jego temat? Póki co jest wszystko OK.

[xorg 693]

Przecież to jest ala iptables, a na tego temat doskonale wypowiedział się Kafi.

[beliq 442]

iptables / netfilter to NIE JEST, wbrew potocznemu nazywaniu, firewall!

To narzędzie, którym modyfikuje się tablice filtrów pakietowych kernela. A to wbrew pozorom NIE jest to samo.

Hint: jak zablokuje komunikację z jakimś adresem IP używając polecenia route (dodanie trasy z gatewayem 127.0.0.1) to też polecenie route można zacząć nazywać firewallem?

Nie żebym się na siłę czepiał, ale ile dziesiąt K PLN netto kosztuje firewall, który wykonuje to w pełni sprzętowo?

Z takimi stwierdzeniami to idź na ccie.pl...

[kafi 2425]

Tu nie chodzi o to, żeby wykonywać to sprzętowo.

Ale o to, że binarka modyfikująca ustawienia kernela to nie jest firewall.

Dla ostatecznego efektu: wykonaj sobie iptables dodające reject dest-portu 80.

Potem wykonaj rm /sbin/iptables

Jak to jest, że nadal nie można się połączyć z portem 80, skoro owego programu-firewalla nie ma na dysku, w pamięci pod ps aux też nie jest widoczny ?

[furek 37]

Ale bez sensu piszesz..

 

To. że usuniesz iptables jako binarkę to nic nie zmienia bo wiadomo, że cała konfiguracja jest w pamięci.

Ale jest przyjęte, że iptables to firewall tak samo jak ipchains czy ipfw.

I nic tego nie zmieni.

 

 

 

 

[kafi 2425]

No ale w CZYJEJ pamięci jest ta konfiguracja zapisywana? Procesu iptables?

Przecież go (procesu iptables) w przestrzeni procesowej NIE MA.

Powtórzę się - windowsowego regedita też nazwiesz firewallem, bo da się nim włączyć klasyfikator zawartości IE?

Polecenie route też (bo pozwala wyciąć kogoś przez nullrouting)?

 

Weźmy dla przykładu takiego fail2bana, którego już można uznać mianem firewalla.

Jest on DAEMONEM. Analizuje sobie jakieś tam snapshoty systemu (w jego przypadku logi).

Podejmuje na ich podstawie decyzje - że ten delikwent jest niepożądany.

Wdraża mechanizmy, aby go zablokować. Czy to przez użycie iptables, czy to przez nullrouting, czy to przez dłubanie w /proc/

Jak go wyrzucimy z przestrzeni procesów i usuniemy binarkę, to wykrywać intruzów przestaje.

Nie widać różnicy?

 

 

Ale jest przyjęte, że iptables to firewall tak samo jak ipchains czy ipfw.

I nic tego nie zmieni.

Jest przyjęte, bo ktoś tak kiedyś to w uproszczeniu nazwał, i młotki to powtarzają.

Jak i wiele innych ciekawych teorii. Chociażby pretensje, że ktoś chciał 10mb, dostał 10 milibitów, a mu się wydawało, że to przecież 10 megabajtów...

[furek 37]

No ale w CZYJEJ pamięci jest ta konfiguracja zapisywana? Procesu iptables?

Przecież go (procesu iptables) w przestrzeni procesowej NIE MA.

Powtórzę się - windowsowego regedita też nazwiesz firewallem, bo da się nim włączyć klasyfikator zawartości IE?

Polecenie route też (bo pozwala wyciąć kogoś przez nullrouting)?

 

Weźmy dla przykładu takiego fail2bana, którego już można uznać mianem firewalla.

Jest on DAEMONEM. Analizuje sobie jakieś tam snapshoty systemu (w jego przypadku logi).

Podejmuje na ich podstawie decyzje - że ten delikwent jest niepożądany.

Wdraża mechanizmy, aby go zablokować. Czy to przez użycie iptables, czy to przez nullrouting, czy to przez dłubanie w /proc/

Jak go wyrzucimy z przestrzeni procesów i usuniemy binarkę, to wykrywać intruzów przestaje.

Nie widać różnicy?

 

 

 

Jest przyjęte, bo ktoś tak kiedyś to w uproszczeniu nazwał, i młotki to powtarzają.

Jak i wiele innych ciekawych teorii. Chociażby pretensje, że ktoś chciał 10mb, dostał 10 milibitów, a mu się wydawało, że to przecież 10 megabajtów...

 

Uważasz mnie za młotka?

A skoro już cytujesz wikipedie to tam też zostało to nazwane jak? "głównie używanym jako zapora sieciowa" inaczej jak? FIREWALL.

Dziękuje