iptables logban találtam

Linux-security

Sziasztok,

a legtöbb bejegyzés világos, de ezekkel a címekkel nem tudom mit tegyek, kell-e foglalkozni velük?

27.112.70.58 (icmp)
71.6.216.56 (SYN; invalid packets)
158.130.6.191 (SYN)
139.162.111.147 (SYN)

  • 1583 megtekintés

( flatline | 2017. 04. 25., k – 11:57 )

Ahogy néztem pár abuse listás közülük, több helyen írták, hogy napi szinten próbálkoznak portscannel, meg VPN-nel csatlakozni a szervereikhez.

Akkor drop a /24-re?

Szerk:
Erre gondoltál?
https://www.abuseipdb.com/
Hány jelentéstől kell komolyan venni vagy tiltani a tartományt?

----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Lehet akár drop is a komplett indonéz (lásd első ip) tartománynak. Vagy csak ennek: 27.112.70.0/22
Ahonnan nincs látogató/ügyfél, mi minden kapcsolódást droppolunk a cégnél (szép nagy lista).
Jelenteni érdemes, mellékelt loggal.
Hogy mennyitől kell komolyan venni vagy tiltani, az jó kérdés, szerintem a generált forgalomtól/próbálkozások számától és gyakoriságától függ.

( Jason v | 2017. 04. 25., k – 12:51 )

whois-zal nezd meg.
Elso egy indonez ISP range-e.
Masodik ez: https://sonar.labs.rapid7.com/
Harmadik: http://research-scan.cis.upenn.edu/ Eleve igy kezdodik: "Why am I receiving connection attempts from this machine?"
Negyedik linode-os VPS

Ha megsem ez volt a kerdes, akkor az implikalt kerdesre valaszolva: kozepso kettot beken hagynam, es a masik kettore figyelnek alaposabban.

iskola vagyunk talán a sulinet végez(tet) biztonsági tesztet? (a középső kettőre gondolok)
A két szélső kuka, ahogy fenntebb írtam, ha jó így.

----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

( zeller | 2017. 04. 25., k – 14:14 )

Én az invalid csomagokra nagyjából ilyesmit használok:

...
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j BADFLAGS
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j BADFLAGS
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j BADFLAGS
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j BADFLAGS
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j BADFLAGS
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j BADFLAGS
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j BADFLAGS
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j BADFLAGS
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j BADFLAGS
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j BADFLAGS
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j BADFLAGS
-A BADFLAGS -j DROP
...

Hasonló van nálam is..
Érdemes log nélkül eldobálni, ahogy Te is teszed?
(igaz, valamely könyvben én is olvastam, hogy a szerver nem logolásra való, de másutt meg azt, hogy eldobás előtt érdemes..)

----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.