Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    sarna
    Visitante

    Padrão Proteja a rede de Vírus

    Vários usuários do provedor estavam reclamando de problemas de vírus coisa e tal, então criei essas regras pra dar uma melhor proteção para os usuários, achei muito útil essas regras...

    Pra quem estiver interessado...

    Código :
    iptables -N log_virus
    iptables -A log_virus -j LOG --log-level 1 --log-prefix Virus::
    iptables -A log_virus -j DROP
     
    iptables -N virus
     
    # BO, BO Client, BO2, Bo facil, Bo Whack
    iptables -A virus -p tcp --dport 31336:31337 -j log_virus
     
    # Bagle Virus
    iptables -A virus -p tcp --dport 2745 -j log_virus
    iptables -A virus -p tcp --dport 2535 -j log_virus
     
    # Beagle.B
    iptables -A virus -p tcp --dport 8866 -j log_virus
     
    # Blaster
    iptables -A virus -p tcp --dport 135:139 -j log_virus
    iptables -A virus -p tcp --dport 445 -j log_virus
    iptables -A virus -p udp --dport 445 -j log_virus
     
    # Cichlid
    iptables -A virus -p tcp --dport 1377 -j log_virus
     
    # Dabber.A-B
    iptables -A virus -p tcp --dport 9898 -j log_virus
     
    # Dumaru.Y
    iptables -A virus -p tcp --dport 2283 -j log_virus
    iptables -A virus -p tcp --dport 10000 -j log_virus
     
    # Gaobot, PhatBot, Agobot
    iptables -A virus -p tcp --dport 65503 -j log_virus
     
    # Grafx
    iptables -A virus -p tcp --dport 1373 -j log_virus
     
    # WinCrash
    iptables -A virus -p tcp --dport 2583 -j log_virus
    iptables -A virus -p tcp --dport 3024 -j log_virus
    iptables -A virus -p tcp --dport 5742 -j log_virus
     
    # Worm
    iptables -A virus -p tcp --dport 1433:1434 -j log_virus
    iptables -A virus -p tcp --dport 4444 -j log_virus
    iptables -A virus -p udp --dport 4444 -j log_virus
     
    # Kuang2
    iptables -A virus -p tcp --dport 17300 -j log_virus
     
    # MyDoom
    iptables -A virus -p tcp --dport 1080 -j log_virus
    iptables -A virus -p tcp --dport 3127:3128 -j log_virus
     
    # MyDoom.B
    iptables -A virus -p tcp --dport 10080 --j log_virus
     
    # Messenger Worm
    iptables -A virus -p udp --dport 135:139 -j log_virus
     
    # NetBus
    iptables -A virus -p tcp --dport 12345 -j log_virus
     
    # NetBus Pro
    iptables -A virus -p tcp --dport 20034 -j log_virus
     
    # NDM Requester
    iptables -A virus -p tcp --dport 1364 -j log_virus
     
    # OptixPro
    iptables -A virus -p tcp --dport 3410 -j log_virus
     
    # Sasser
    iptables -A virus -p tcp --dport 5554 -j log_virus
     
    # Screen Cast
    iptables -A virus -p tcp --dport 1368 -j log_virus
     
    # SubSeven
    iptables -A virus -p tcp --dport 27374 -j log_virus
     
    # Outros vírus
    iptables -A virus -p tcp --dport 593 -j log_virus
    iptables -A virus -p tcp --dport 1024:1030 -j log_virus
    iptables -A virus -p tcp --dport 1214 -j log_virus
     
    iptables -A FORWARD -j virus

  2. #2

    Padrão Proteja a rede de Vírus

    tem 2 probleminhas....
    1 - vai enxer teu log de lixo (pode ser que nao xegue a lotar o disco mas vai ter mto lixo)
    2 - nem tudo que trafega pelas portas que vc usou sao virus



  3. #3
    pensador-ce
    Visitante

    Padrão Proteja a rede de Vírus

    fera ele bloqueia ou só cria os logs?

  4. #4

    Padrão Proteja a rede de Vírus

    Concordo com o Ice, mtas portas podem ser de virus, mas existem serviços diversos que tb podem rodar nessas portas, então não eh recomendado aplciar essas regras sem o conhecimento da sua rede, e sem saber exatamente o que esta fazendo, a proposito em vez de barrar tudo isso pq poe o que vc quer abrir e o resto nega(drop)

    falows



  5. #5

    Padrão Proteja a rede de Vírus

    cria log e bloqueia
    Código :
    iptables -N log_virus
    iptables -A log_virus -j LOG --log-level 1 --log-prefix Virus::
    iptables -A log_virus -j DROP

  6. #6

    Padrão Proteja a rede de Vírus

    Citação Postado originalmente por ruyneto
    Concordo com o Ice, mtas portas podem ser de virus, mas existem serviços diversos que tb podem rodar nessas portas, então não eh recomendado aplciar essas regras sem o conhecimento da sua rede, e sem saber exatamente o que esta fazendo, a proposito em vez de barrar tudo isso pq poe o que vc quer abrir e o resto nega(drop)?

    falows
    Concordo, a melhor opçao sempre eh bloquear TUDO e liberar soh oq precisa, assim vc nao corre o risco de esquecer de fechar alguma coisa...
    Se vc esquecer de abrir, e tiver usando essa politica vc vai perceber logo.



  7. #7
    whinston
    Visitante

    Padrão ainda neste papo

    pegando a onda ae..em bloquear tudo e abrir oq precisa
    tem como logar nao oq ta saindo, mas oq ta tentando sair???

    ou o negocio eh abrir provisoriamente, monitorar oq ta saindo (tipo um programa q vc nao sabe a porta q usa e precisa descobrir)e fechar de novo ?

  8. #8

    Padrão Proteja a rede de Vírus

    Como ficaria um FW com tudo fechado e apenas as portas por ex: 80 e 22 abertas...



  9. #9

    Padrão Proteja a rede de Vírus

    Cara eu nunca testei, mas pode tentar por pra logar antes da regra de fechar.

    falows

  10. #10

    Padrão Proteja a rede de Vírus

    Citação Postado originalmente por lacierdias
    Como ficaria um FW com tudo fechado e apenas as portas por ex: 80 e 22 abertas...
    iptables -P INPUT DROP
    iptables -A INPUT -p tcp -d IP_SERVER --dport 80 --syn -j ACCEPT
    iptables -A INPUT -p tcp -d IP_SERVER --dport 22 --syn -j ACCEPT
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


    com isso libera somente a entrada nas portas 80,22 e libera a entrada de pacotes que sejam de conexoes EXISTENTES (ou seja resposta pras conexoes internas)

    Ai eh claro q se vc quiser liberar tudo pra sua rede interna vc adiciona
    iptables -A INPUT -s REDE -i ethX -j ACCEPT



  11. #11
    sarna
    Visitante

    Padrão Proteja a rede de Vírus

    Sim, concordo que a melhor solução seria liberar somente o que é necessário... mas o que acontece é que eu trabalho em um provedor... e não podemos liberar apenas alguns recursos, temos que liberar tudo.

    As portas são de vírus, mas existem programas que utilizam essas mesmas portas, mas prefiro bloquear elas pra evitar vírus coisa e tal...

    Os log´s que também estou pensando em tirar, mas é bom pra você ver a quantidade de porcaria que rola na net, principalmente aqui onde temos em média de 200 usuários on-line o tempo todo!

  12. #12
    whinston
    Visitante

    Padrão ordem

    oh velho, eh primeiro drop,depois accept ? numeh contrario nao?

    Citação Postado originalmente por 1c3_m4n
    Citação Postado originalmente por lacierdias
    Como ficaria um FW com tudo fechado e apenas as portas por ex: 80 e 22 abertas...
    iptables -P INPUT DROP
    iptables -A INPUT -p tcp -d IP_SERVER --dport 80 --syn -j ACCEPT
    iptables -A INPUT -p tcp -d IP_SERVER --dport 22 --syn -j ACCEPT
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


    com isso libera somente a entrada nas portas 80,22 e libera a entrada de pacotes que sejam de conexoes EXISTENTES (ou seja resposta pras conexoes internas)

    Ai eh claro q se vc quiser liberar tudo pra sua rede interna vc adiciona
    iptables -A INPUT -s REDE -i ethX -j ACCEPT



  13. #13

    Padrão Proteja a rede de Vírus

    Entaum pra num logar mto lixo vc poderia adicionar a opcao --limit nos logs, assim vc nao perde espaco em disco a toa e nenhum sacana tenta usar essas suas regras pra tentar travar seu servidor. como ele vai travar?
    Eh soh fazer um programinha em bash mesmo com loop infinito fazendo requisicoes nessas portas, uma hora ou a memoria do teu server vai pro saco ou entaum o disco lota

  14. #14

    Padrão Re: ordem

    Citação Postado originalmente por whinston
    oh velho, eh primeiro drop,depois accept ? numeh contrario nao?
    nao, eh assim mesmo

    Com isso TUDO fica bloqueado e soh libera oq eu quiser. Eh basicamente o contrario que vem como padrao. q eh tudo accept e vc vai bloqueando



  15. #15
    whinston
    Visitante

    Padrão meu problema

    o problema que eu tenho eh o seguinte: cada programa de banco ou receita tem crise de identidade e quer uma porta só pra ele! pq os nego não fazem programas pra webserver, pra gente conseguir filtrar tudo via proxy ? tsc, tsc.. utopia!!!

    mas bem..antigamente eu liberava geral e fechava apenas a 80, forçando peão a usar o proxy. mesmo desmarcando no navegador, não ia, pq tava dando drop na 80 do forward

    agora eu quero fechar tudo! da um drop geral e abrir (accept) soh oq precisa. pra isto, eu fiquei logando qdo o cara vai usar o programa, pra achar exatamente kale o ip de destino e porta. da 1 trabalho do kct!!!

  16. #16
    sarna
    Visitante

    Padrão Proteja a rede de Vírus

    Concordo com você ice, vou tirar esses log´s acho q vou colocar o drop... Agora que você falou eu fui dar uma olhada nos logs, tava com 10 mega já o arquivo... cuisa pra chuchu!

    Seria melhor o DROP ou o REJECT pra regra ?



  17. #17
    whinston
    Visitante

    Padrão Re: ordem

    eu tava com algo na cabeça que no antecessor do iptables era drop primeiro e accept depois e que agora com iptables era o inverso.

    Citação Postado originalmente por 1c3_m4n
    Citação Postado originalmente por whinston
    oh velho, eh primeiro drop,depois accept ? numeh contrario nao?
    nao, eh assim mesmo

    Com isso TUDO fica bloqueado e soh libera oq eu quiser. Eh basicamente o contrario que vem como padrao. q eh tudo accept e vc vai bloqueando

  18. #18

    Padrão Proteja a rede de Vírus

    Citação Postado originalmente por sarna
    Concordo com você ice, vou tirar esses log´s acho q vou colocar o drop... Agora que você falou eu fui dar uma olhada nos logs, tava com 10 mega já o arquivo... cuisa pra chuchu!

    Seria melhor o DROP ou o REJECT pra regra ?
    pra worm tanto faz
    tipo DROP nega e devolve um pacote pra quem enviou falando que foi negado, o REJECT nega e nao avisa que foi bloqueado



  19. #19

    Padrão Re: ordem

    Citação Postado originalmente por whinston
    eu tava com algo na cabeça que no antecessor do iptables era drop primeiro e accept depois e que agora com iptables era o inverso.
    Eh normal esse tipo de confusao, alias nesse ponto o linux em meio "frouxo", dexa tudo liberado por padrao, com FreeBSD e outros jah acontece o contrario, eh tudo bloqueado e vc tem que ir liberando

  20. #20
    sarna
    Visitante

    Padrão Proteja a rede de Vírus

    Então o REJECT é o mais aconselhável, por que evita tráfego na rede hehe