Automatizálva bannolom is őket a levesbe....
#!bin/sh
#Kikeresi a scannerek IP címét a logból és berakja a dfind.ban és az anti-sec fájlba az iptables stringet
cat /var/log/apache2/access.log | grep "/w00tw00t.at.ISC.SANS.DFind" | egrep -o '([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})' | awk '{print "iptables -I INPUT -s " $1 " -j DROP"}' | sort | uniq > /home/neutr/scripts/dfind.ban
cat /var/log/apache2/access.log | grep "/w00tw00t.at.blackhats.romanian.anti-sec" | egrep -o '([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})' | awk '{print "iptables -I INPUT -s " $1 " -j DROP"}' | sort | uniq > /home/neutr/scripts/anti-sec.ban
#Futtatási jogot ad
chmod +x /home/neutr/scripts/dfind.ban
chmod +x /home/neutr/scripts/anti-sec.ban
#Futtatja
./dfind.ban
./anti-sec.ban
#Törli
rm -f dfind.ban
rm -f anti-sec.ban
Cronban minden éjfélkor lefuttatom:
* 0 * * * root cd /home/neutr/scripts && ./scanner.sh
Biztos van rá szebb megoldás is, de erre futotta. A hibája az, hogy 1 chain-t többször is betesz az iptablesbe. Erre még nem találtam megoldást. Esetleg van ötletetek?
- neutrino blogja
- A hozzászóláshoz be kell jelentkezni
- 118413 megtekintés
Hozzászólások
Az iptables recent modulja a te baratod.
- A hozzászóláshoz be kell jelentkezni
fail2ban
- A hozzászóláshoz be kell jelentkezni
hany soros lett az iptables szabalyod? Btw. hogyan veded azt ki, ha valaki (amugy legitim proxy) mogul szkennelt teged, es igy egy legitim hosztot is kitiltasz?
- A hozzászóláshoz be kell jelentkezni
Eddig 5 sor netto szabály van benne. A proxys is megy a levesbe, ne scanneljen. A fail2ban is ki fogja vágni a proxys scannereket, és ugyanott vagyok, csak az az neki pár próbálkozást mielőtt bebörtönzi.
-------------------------
127.0.0.1 SWEET 127.0.0.1
AMD Athlon X2 245E@3,1 GHz OC, MSI Radeon 6770 1 Gb GDDR5, Seagate Barracuda, Windows 7 Enterprise
- A hozzászóláshoz be kell jelentkezni
lehet, hogy nem ertetted meg, mire celoztam. Adott 1 proxy szerver, amit hasznal 15k ember, akik kozul 1 megszkennelt teged. Te viszont erre a maradek 14,999k-t is kitiltod...
- A hozzászóláshoz be kell jelentkezni
Rendben, akkor Te hogyan oldanád meg, hogy DFind-al ne tudjanak scannelni?
-------------------------
127.0.0.1 SWEET 127.0.0.1
AMD Athlon X2 245E@3,1 GHz OC, MSI Radeon 6770 1 Gb GDDR5, Seagate Barracuda, Windows 7 Enterprise
- A hozzászóláshoz be kell jelentkezni
a dilemma hasonlit ahhoz, mint amikor iptables-ben loggolod a droppolt csomagokat. Mukodik a dolog, de pl. egy udp flood-ot radengedve eleg hamar betelik a /var particiod. Ha meg csak egy /-od van, akkor nagyon tokon lotted magad.
Szoval en onnan fognam meg a dolgot, hogy tenyleg faj-e neked, ha valaki lekerdezi a /w00tw00t... URI-t? Szerintem - mivel valoszinuleg nincs ilyened - ez csak egy 404-es hiba az apache-tol, es kesz.
Ha publikus site-od van, kozerdeku infoval, pl. ceges honlap, akkor nagyon esznel kell lenni, ha cimeket akarsz kitiltani.
Ha meg valamilyen privat dolog, akkor arra ott van pl. a .htaccess vagy ha layer3-on akarod megoldani, akkor egy (a jelenlegi felallashoz kepest) inverz iptables szabalypar (ie. eloszor beengeded, akit kell, majd tiltod a vilagot).
Ennek ellenere lehetseges olyan szituacio, amikor blokkolni kell cimeket, halozatot, whatever, de megegyszer: nagyon esznel kell lenni, nehogy olyanokkal is ki..sszal, akikkel nem kene.
- A hozzászóláshoz be kell jelentkezni
Ezt nem értem. Egy IP-ről lekértek egy oldalt, nincs, 404, te meg kibannolod, mert amit lekertek az egy csűnya url. Gratulálok :)
--
HUPbeszolas FF extension
- A hozzászóláshoz be kell jelentkezni
Itt a woot.woot stringgel rendelkező 404-es hibaüzenetes robotokat baszom ki, mivel ezt egy DFind nevű windowsos scanner használja, ami ismert fájlokat / sebezhetőségeket keres, pl setup.php, config.php.
Tehát az nem megy a levesbe, aki elgépelte az url-t...
-------------------------
127.0.0.1 SWEET 127.0.0.1
AMD Athlon X2 245E@3,1 GHz OC, MSI Radeon 6770 1 Gb GDDR5, Seagate Barracuda, Windows 7 Enterprise
- A hozzászóláshoz be kell jelentkezni
Ezt értem. Azt nem értem, hogy miért baj ha ezeket keresi. Talán félsz? :)
--
HUPbeszolas FF extension
- A hozzászóláshoz be kell jelentkezni
Jobb félni, mint megijedni. Megelőzöm a bajt, hátha valami kint marad véletlen, aminek nem kéne... Meg ne is növelje a logot...
-------------------------
127.0.0.1 SWEET 127.0.0.1
AMD Athlon X2 245E@3,1 GHz OC, MSI Radeon 6770 1 Gb GDDR5, Seagate Barracuda, Windows 7 Enterprise
- A hozzászóláshoz be kell jelentkezni
"Megelőzöm a bajt"
Nem, inkabb okozod. Arra gondoltal mar, hogy mi van, ha valaki kuld egy olyan req-t, hogy "/w00tw00t.at.blackhats.romanian.anti-sec 127.0.0.1" ?
--
"You're NOT paranoid, we really are out to get you!"
- A hozzászóláshoz be kell jelentkezni
Hova kell küldeni :)
--
HUPbeszolas FF extension
- A hozzászóláshoz be kell jelentkezni
ahahhah, made my day :)
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
Jól kibasztál velük.
- A hozzászóláshoz be kell jelentkezni
+1, nagyon durva1144414
- A hozzászóláshoz be kell jelentkezni
pedig ennél aranyosabb mikor csinálsz rá nekik tartalmat:)
Rendszerint natur html, ez belinkelve: http://www.youtube.com/watch?v=blpe_sGnnP4
- A hozzászóláshoz be kell jelentkezni
Az igazi kibaszas a tarpit. :)
- A hozzászóláshoz be kell jelentkezni
+1, Virág elvtárs modja egy helyen a Tanuban: Nem szeretnék most a helyükben lenni! :)
--
Soli Deo Gloria
- A hozzászóláshoz be kell jelentkezni
Először ennyi tudatosult a címből: Scannelnénke ... rosszfiúk. Gondoltam, fordulatokban nem túl gazdag, de tanulságos IT-novella(-próbálkozás) lehet, visszafogott humorral. Aztán végigolvastam a címet, nagyjából meg is értettem, és mondtam: jaah, biztos valami hülye szavazás. Ez sem talált. Scannelnénke viszont érdekes személyiség lehet. Nappal pulcsit kötöget, éjszakánkét pedig betöröget(ne, de ehelyett megy a levesbe (anyólé)).
:)
- A hozzászóláshoz be kell jelentkezni
A pokoli operátorkisasszony :-)
- A hozzászóláshoz be kell jelentkezni
snort
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
turul jol mondja - snort
van egy linkem korabbrol elmentve ami pont ezt firtatja.
http://foxpa.ws/2010/07/14/using-dfind-exe-and-blocking-w00tw00t-at-isc…
http://pierre.linux.edu/2010/06/using-iptables-to-reject-w00tw00t-at-is…
- A hozzászóláshoz be kell jelentkezni
snort, amelyen fennakad a snork.
- A hozzászóláshoz be kell jelentkezni