+ Responder ao Tópico



  1. #56
    maverick_cba
    Galera, fiz o seguinte dei uma revisada nas minhas regras e percebi que tinha uma regra que tava abrindo uma brecha permitindo conexões de fora:

    iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT

    Removi essa e outras regras parecidas e dai parece ter resolvido o problema. Tb mandei fazer log de todas as conexões com destino a porta 22 com exceção do ip que liberei.

    iptables -A INPUT -p tcp -i eth0 -s ! 200.xxx.xxx.xxx -m limit --limit 20/hour --dport 22 -j LOG --log-prefix="Acesso nao Autorizado"

    Instalei o SNORT, removi usuários desnecessários do sistema e tirei acesso ao shell aos demais.

    Agora me respondam uma coisa, essa regra estava liberando o acesso creio eu por ser genérica. Como posso fazer com que essa regra seja encaixada sem afetar as outras. Já me falaram para criar outra CHAIN mas não consegui entender bem.

  2. Como eu nao sou adepto ao linux e sim ao bsd, deixa eu ver se consigo entender..



    iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT

    o iptables aceita conexoes entrantes com as flags SYN, ack, fin, rst, com o limite de 1 pacote por segundo....

    acho q essa regra deixaria qualquer porta aberta nao acha?
    se estiver errado, coloquem a resolucao pra todos please..

    6)



  3. -------------------------------

    Apaguei tudo, pois o desatento aqui pegou o bonde andando, e ainda quis ir na janela.

    Não tinha nada a ver com o assunto mais.

  4. #59
    maverick_cba
    Olha pessoal, fiz os procedimentos conforme descrito no meu posta anterior e agora tá tudo na santa paz.

    O iptables está gerando os logs e as tentativas estão sendo barradas.

    Agora um fato importante, fui consultar outros amigos que gerenciam firewalls e isso está acontecendo tb com todos eles, portanto acho que está sendo um tipo de ataque geral por brute force num range de ips, pois está afetando vários servidores.

    Agora um pergunta, tem como denucniar isso para que alguem possa agir? Onde posso fazer isso?



  5. Log de tentativa eu geralmente tenho uns 10 por dia, vindo de vários cantos do mundo.

    Aug 25 18:55:27 boss kernel: SSH Tentativa externo IN=eth1 OUT= MAC=00:0a:e6:b1:97:86:00:04:16:02:0f:9d:08:00 SRC=67.167.12.227 DST=192.168.1.3 LEN=60 TOS=0x00 PREC=0x20 TTL=46 ID=28583 DF PROTO=TCP SPT=2577 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

    Note que os cara geralmente tentam na 22 (não vi nenhum log de alguem tentando na minha porta SSH).

    O meu iptables está da seguinte forma:

    Como padrão eu bloquiei tudo

    Código :
    #Bloqueando toda a entrada
    iptables -t filter -P INPUT DROP
     
    #Bloqueando o redirecionamento
    iptables -t filter -P FORWARD DROP
     
    #A saida por padrão será liberada
    iptables -t filter -P OUTPUT ACCEPT
     
    #Bloquando POSTROUTING
    iptables -t nat -P POSTROUTING DROP
     
    #Bloqueando PREROUTING
    iptables -t nat -P PREROUTING DROP

    Agora para poder liberar conexões eu preciso liberar tanto o INPUT, FORWARD e o PREROUTING. Se não ele não deixa acessar.

    Um exemplo interessante é que eu defini quais seriam os DNS que seriam acessados pela minha rede, permitindo acesso somente a eles.
    E a volta, somente se for deles.

    Não sei se é possível no seu caso, mas no meu eu só permito acesso a um servidor de e-mail (o da empresa, que é externo).

    SSH eu mudei de porta, dei permissão a somente um usuário, e este não tem permissão pra nada (nem diretório ele tem).

    Também editei uma configuração no SSH para ele limitar as conexões e começar a negar a partir de um tanto, por ex:
    Código :
    MaxStartups 5:50:10
    Ou seja ele aceita no máximo 10 conexões simultanes, negando 50% quando acima de 5.

    E log por todo firewall, se o cara espirrar na frente do computador, eu to sabendo que ele tá tentando passar vírus.

    A sim, minhas regras são restritivas, tanto pra fora, quanto pra dentro da rede.

    Para mim todo usuário é mau.






Tópicos Similares

  1. Invasão - Resposta
    Por AndrewAmorimdaSilva no fórum Servidores de Rede
    Respostas: 21
    Último Post: 18-03-2003, 15:56
  2. Livro - Hackers Crashdown
    Por fabiorenno no fórum Servidores de Rede
    Respostas: 0
    Último Post: 12-03-2003, 15:46
  3. Tentativa de invasão ???/ Como agir ??
    Por adcorp no fórum Segurança
    Respostas: 10
    Último Post: 06-12-2002, 08:50
  4. INVASÃO
    Por Solver no fórum Segurança
    Respostas: 2
    Último Post: 18-10-2002, 07:07
  5. invasao???
    Por 1c3m4n no fórum Segurança
    Respostas: 4
    Último Post: 16-10-2002, 10:59

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L