Problema com ataques

[alanrichardjeronimo]

Olá, espero que vcs fossam me ajudar..

Eu tenho um cloud server na uolhost. E lá eu hospedo um server de half-life. è a mesma coisa que o CS é apenas o modo de jogo. Mais isso não importa, vamos dizer que é um server de CS!!!

Eu uso linux (ubunto) mais quero mudar para o CENTOS...

Vamos lá, meu server esta sendo atacado, isso geralmente ocorre anoite, e eu sei que é ataques, por q quando eles ataques elem mudam o nick "hacker"; vo te derruba; posso ficar tentando a noite toda, bye bye etc...

Quando eu bloquei o ip dele, depois de uns minutois eles voltam, com outros IPs, e a faixa de ips geralmente é de fora, 83....;72...;187.....

quando eles atacam, Não sei como, mais eles derrubam a internet de lá, tipo, primeiro ela começa a falhar (ex: se eu começar a pingar, ele fica falhando,) e se eu deixo o server on ainda, a internet toda para, aí eu tenho q espera 1 dia ou mais pra voltar sozinhu.Só volta mais rapido quando entro em contato com o suporte da uol e eles arrumam pra mim, aí ela volta em menos de 1 dia...

O problema tambem não é lá na uolhost..Porque eu tinha um server em casa, e acontecia a mesma coisa, a internet parava, eu ficava com tudo certo, IP, gateway, dns, TUDO..Mas a internet não dava acesso..Por isso o problema não é com eles..é ATAQUE MESMO..


Gostaria que me ajudassem, a configurar o IP tables para meu server, para ele ficar monitorando certinha e não deixarem derrubar minha internet..

Um jeito eu sei que tem, porq tem mais pessoas q tem server e o deles Não caem..


Alguem pode me ajudar ?? Se precisar de mais explicações me avisem...


espero que possam me ajudar a conf. pra não ter mais este problema

Obrigado..

[luizbe]

você já avisou eles que você ta tendo um ataque DDoS?
acredito que é a uol que tem que barrar isso.

o que acontece é que esse Cloud seu deve ter no máximo 10mbps, um cara com uma shell qualquer já pacota teu server.

[alanrichardjeronimo]

Eu tenho 2Mbits dedicado;

Então, eles falaram q eu q tenho q INSTALAR UM FIREWALL.. Mais eq não sei como configurar o IP tables para barrar isto..

Pode me ajudar ??

[Danusio]

já consegui fazer este tipo de bloqueio usando uma rb, pois o atacante usava a propria porta http, usava toda a banda do link dedicado tornando se impossível a navegação.

lhe recomendo comprar uma rb 333 ou rb433

[alanrichardjeronimo]

Então, eq não tem como eu instalar um rb433 , porq o cloud fica na UOILhoST...Precisava conf. o IPTABLES,ou algo q funcione. Alguem pode me ajudar ??

[Danusio]

Estes links abaixo poderá te ajudar a solucionar estes ataques

Bloqueios de requisições na porta 443Linux: Bloqueio de Ultrasurf usando apenas Iptables [Dica]

Bloqueio de ataque DDOS
Linux: DDOS utilizando hubs p2p [Dica]

[luandotto]

Tenta essas regras...

# Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP

# Bloqueando uma maquina pelo endereco MAC
#iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP


# Protecao contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Protecao contra port scanners ocultos
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Bloqueando pacotes fragmentados
#iptables -A INPUT -i INTEXT -m unclean -j log_unclean
#iptables -A INPUT -f -i INTEXT -j log_fragment

# Protecao contra ping da morte
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

acho que isso ja deve resolver.

[demattos]

Olha amigo ja tive isto em um servidor meu, ocorreia o ataque e logo em seguida derrubava minha conexao e verificando eles estavam consumindo 90% do upload, eu bloqueava e logo em seguida estavam com outro ip e assim de lugares diferentes do planeta, analizado pude observar que o ataca ocorreia na porta 80 do meu servidor, e ainda no /tmp tinha varios arquivos ativos podendo ser visto pelo comando ps do linux, resolvir atualizando a versao do meu Apache e acresentando regras ao meu iptables. Vai a dica verifica as portas q vc esta usanod e as que vc nao esta usando e os servicos de sua maquina q estao rodando sem necessidade e so deixa o que vc realmente vai usar.

[alanrichardjeronimo]

Ok, pessoal, vô testa e volta pra flar se deu certo.

Obrigado a todos..

[alanrichardjeronimo]

Pessoal, não funciono.. Mas consegui descobri mais uma coisa..


Quando isso acontece, MEU CONSUMO de DOWNLOAD FICA EM PRATICAMENTE 100%, Como se eu divesse fazendo um download no server (mais Não estou)..

Aí pra ver o trafego da rede eu dei um tcpdump -i eth0 e ele mostro oq tava consumindo net e é o IP 64.120.224.228..

Mais o problema q não é nada no SERVER, porq pra testa eu reinstalei o S.O e fico a mesma coisa, consumindo minha BANDA TODA...e Ainda esta mostrando esse IP mandando alguma coisa pra mim..Já tentei bloquear mais N deu certo.. Tambem n sei se fiz certo... "iptables -A INPUT -s 64.120.224.228 -j DROP".

Mais N adianto NADA

Upei uma foto pra vcs veem.. Imageshack - ataquer.png

Algum save oq tah acontecendo ??????

[demattos]

amigo como te falei, tem ja um arquivo dentro da sua maquina que esta sendo acessado, verifica os teus Tmp.

[alanrichardjeronimo]

Aí eq esta..Eu reinstalei o S.O e na hora q termino a instalação ainda estava a mesma coisa com a net.. Por isso disse q não é algo na makina.. O sistema tah limpo SEM NADA, ZERADO...

[alanrichardjeronimo]

Tem alguma sugestão ??

[alanrichardjeronimo]

Alguem tem alguma sugestão ?

[alanrichardjeronimo]

Alguem tem alguma coisa que possa me ajudar ???

[luandotto]

Pessoal, não funciono.. Mas consegui descobri mais uma coisa..


Quando isso acontece, MEU CONSUMO de DOWNLOAD FICA EM PRATICAMENTE 100%, Como se eu divesse fazendo um download no server (mais Não estou)..

Aí pra ver o trafego da rede eu dei um tcpdump -i eth0 e ele mostro oq tava consumindo net e é o IP 64.120.224.228..

Mais o problema q não é nada no SERVER, porq pra testa eu reinstalei o S.O e fico a mesma coisa, consumindo minha BANDA TODA...e Ainda esta mostrando esse IP mandando alguma coisa pra mim..Já tentei bloquear mais N deu certo.. Tambem n sei se fiz certo... "iptables -A INPUT -s 64.120.224.228 -j DROP".

Mais N adianto NADA

Upei uma foto pra vcs veem.. Imageshack - ataquer.png

Algum save oq tah acontecendo ??????

Companheiro voce habilitou todas as regras descritas acima?
A regra que voce fez esta errada para bloquear o ip mostrado na imagem faça:

Código :

iptables -A FORWARD -s (IP) -j DROP

Para bloquear as portas utilizadas por ele:

Código :

iptables -A OUTPUT -p tcp --dport (PORTA) -j DROP
iptables -A INPUT -p tcp --sport (POQRTA) -j DROP
iptables -A OUTPUT -p udp --dport (PORTA) -j DROP
iptables -A INPUT -p udp --sport (PORTA -j DROP

Isso juntamente com as regras que lhe passei acima tem que resolver!!!

[demattos]

Aí eq esta..Eu reinstalei o S.O e na hora q termino a instalação ainda estava a mesma coisa com a net.. Por isso disse q não é algo na makina.. O sistema tah limpo SEM NADA, ZERADO...

entao tem alguma maquina na sua rede que esta passando esta banda toda, so nao entendo o que esta maquina esta fazendo se ela esta zera limpa, ela controla o que na verdade....

[alanrichardjeronimo]

Olá, pessoal, desculpe a demora para responder, Eq pensei q tinha desistido do meu caso


Vô tenta fazer oq o luandotto falo..Aí volto pra fala....

[alanrichardjeronimo]

Voltei apenas para agradecer a vocês..Porq deu certo..Já faz um tempo que tah tudo certo..Nem nenhum ataque.


Demorei pra responder pra ter certeza..Muito obrigado a todos.

[alanrichardjeronimo]

Olá, eu pensei que tinhamos resolvido o problema, mas não deu certo não. Ele fico funcionanod por 2 semanas, depois volto a mesma coisa. Tentei buscar outras solução mais ate agora nada. E por isso voltei pra ver se alguem ainda tem alguma sugestão.

Só vÕ da uma resumida novamente..


Tenho um servidor de um jogo, é a mesma coisa que CS. Depois de um tempo que o SV esta on. Alguma coisa começa a consumir TODA A BANDA DO CLOUD. Como se eu tivesse fazendo varios download ate esgotar o LINK de internet de 4 MEGAS. Isso só acontece com o DOWNLOAD o UPLOAD fica normal.


O IP atacante que é "64.120.224.228" não tem como bloquear, já tentei farias regras de bloqueios e outros firewall. "É como se ele não fizesse conexão com o servidor, e por isso não bloqueia." Já tentei usar um LIMITADOR DE INTERNET pra linux, eu escolho o tanto que a ETH0 vai poder usar, pra vc verem, coloquei q a ETH0 só podia usar 30 KB de DOWNLOAD e mesmo assim, depois de um tempo COMEÇA A ESGOTAR O LINK os 490 KB de Download.

O engraçado, é que mesmo se eu FORMATAR o CLOUD, "trocar o S.0 ou reistalar. Na hora que eu ligo o cloud, tah a mesma coisa, consumindo os 4 megas de DOWNLOAD. Mesmo se eu não instalar nada!

Estou mandando uma foto pra vcs terem uma IDEIA>>> ImageShack


Isso só acontece na porta do SV "27015"

Olha, já não sei o que fazer.. Só espero que alguém possa me ajudar...


Obrigado a todos