támad kína :(

Linux-security

sziasztok!

kérdésem az lenne, hogy hogyan tudom a 122.225.x.x címtartomyánt teljes egészében tiltani???

fail2ban aktív és fél óránként kb. 5 db próbálkozás jön ebből a tartományból /ssh/... persze fail2ban elkergeti...

van esetleg 5lete valakinek????

előre is köszi!

  • 25826 megtekintés

iptables megy... input részen erre a címtartományra drop van állítva, a fail2ban is odaküldi a címeket...
mégis mindig jön az üzi hogy 122.225.109.5 ről sshn 'kopognak' :(
iptables -S

-A fail2ban-ssh -s 122.225.109.221/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 122.225.109.108/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 122.225.109.105/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 122.225.97.66/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 175.45.48.218/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN

Szintén javasolnék DROP-ot REJECT helyett. Feltételezem a fail2ban csak azokat teszi tiltólistára akik adott paraméterek alapján próbálkoznak. Olyan próbálkozott aki még nem volt felvéve, így engedte, hol itt a probléma? Szóval teljes subnet-et pakold be kézzel, oszt nyálazhatnak.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Attó' függ hogy kié a wget, nálam pl. alapból lábon lövi az összes user scriptet ami futtatná. Szóval semmi jót.

HA előtte létre hoz valaki egy csoportot, _és_ beleteszi a megfelelő felhasználókat, _és_ átállítja a wget csoportját (ami után persze sikoltozni fog az esetleges integritás-ellenőrzés, eheh), _és_ minden releváns frissítés után eljárja az esőtáncot ezzel, akkor kb. ugyanott lesz, csak esetleg lehet hogy pont az az user nincs benne a csoportban amelyikkel törni próbálnak. De persze erre garancia nincs.

Legalább a script kiddie vérpistikék nem tudják nyomni a fixen beégetett scriptet.

Amúgy a statisztikák azt mutatják (legalábbis nálam), hogy mióta elkerült nem standard portra az ssh, töredékére esett vissza a próbálkozások száma.
-------------------------
Dropbox refer: https://db.tt/V3RtXWLl
neut @ présház

( johans | 2014. 11. 06., cs – 10:26 )

Ha csak meghatározott országokban szolgáltatsz, akkor meg lehet próbálni netfilter geoip modullal csak az adott országokból érkező forgalmat beengedni. Akkor nem csak a kínai, de a török, román, és orosz próbálkozókat is kitiltottad.
Persze működik az is, hogy adott országokat kitiltasz geoip-vel, csak nem annyira hatásos.

( pomm v | 2014. 11. 06., cs – 12:29 )

GEOIP, aztán komplett CN mehet a pics@ba
üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

( cala | 2014. 11. 06., cs – 12:49 )

Ezt még ezer éve követtem el hirtelen felindulásból.

#!/bin/bash
ISO="chinacidr2"
IPT=/usr/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep

SPAMLIST="countrydrop"
ZONEROOT="/root/iptables"
DLROOT="http://www.okean.com"

[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT

$IPT -N $SPAMLIST

DB=$ZONEROOT/blocklist.txt

wget -O /root/iptables/chinacidr.txt http://www.okean.com/chinacidr.txt
sed 's/China//g' /root/iptables/chinacidr.txt > /root/iptables/blocklist.txt

SPAMDROPMSG="China Drop"

BADIPS=$(egrep -v "^#|^$" $DB)
for ipblock in $BADIPS
do
$IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
$IPT -A $SPAMLIST -s $ipblock -p tcp --dport 22 -j DROP
done

$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST

exit 0

Az eredeti forrás ötlet a netről van.

( Dwokfur v | 2014. 11. 06., cs – 14:52 )

Nálam is kínaiak kopogtatnak, de a webszerveren. 80-ason.
De ilyen eszetlenül. Hogy állandóan ugyanazt a néhány sebezhetőséget próbálgatja. Nagyon distributed, folyamatosan változó IP-vel, de nem kizárólag csak Kínából.
Mi a fenéért nem tudták megírni azt a szerencsétlen scriptet, hogy eltárolja, ha valamelyik szerveren nincs meg a sebezhetőség? Még script kiddie-nek is amatőr.
De a logokat növeli szépen.
A bejövő kérés hosszabb, mint a válasz - nem DOS-olás a cél.

Az sshguard sajnos nem kezeli az httpd-t. Fail2ban-tól ódzkodok. Nincs kedven egy root python script miatt jogokat adni, hogy hozzá tudjon nyúlni a csomagszűrőhöz. Meg látnia kell az összes logot is. Kínomban írtam egy parse scriptet, ami betölti a blokkoló szabályokat egy iptables chain-be és cronból periodikusan lefut.

Eszem megáll.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( Replaced | 2014. 11. 06., cs – 18:48 )

123.127.0.0/18 pekingi AS volt zavaro multkor, bar nem jellemzo, hogy ilyesmivel foglalkozok, de ok kaptak egy DROP-ot

--
NetBSD - Simplicity is prerequisite for reliability

( Lacyc3 v | 2014. 11. 06., cs – 19:15 )

Az FCKEditorban van valami rondaság, mert a (kínai) scriptek jó része azt célozza.

( bazso | 2014. 11. 06., cs – 22:39 )

ezt nevezem hatékony threadnek :)
(rejtett sub)