Versão Imprimível
Ola galera tem oercebido que de um tempo pra ca meu link tem ficado muito acima da meidia (no talo), entao começei a monitorar e estou vendo uma msg assim:
"system error critical login failure for user dany from 78.83.108.82 via ftp"
como posso fazer para bloquear esse possivel ataque?
ja rodei algumas regras mais se vcs souberem de mais alguma coisa por favor postem aii
Regras para bloquear ataques.
# Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
# Bloqueando uma maquina pelo endereco MAC
iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP
# Protecao contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Protecao contra port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Bloqueando pacotes fragmentados
iptables -A INPUT -i INTEXT -m unclean -j log_unclean
iptables -A INPUT -f -i INTEXT -j log_fragment
E por fim para bloquear o ip que voce citou (bloqueio pelas portas 80-internet, 20 e 21-FTP)
iptables -t nat -I PREROUTING -p tcp -d 78.83.108.82/32 --dport 80 -j DROP
iptables -I FORWARD -p tcp -d 78.83.108.82/32 --dport 80 -j DROP
iptables -t nat -I PREROUTING -p tcp -d 78.83.108.82/32 --dport 20 -j DROP
iptables -I FORWARD -p tcp -d 78.83.108.82/32 --dport 20 -j DROP
iptables -t nat -I PREROUTING -p tcp -d 78.83.108.82/32 --dport 21 -j DROP
iptables -I FORWARD -p tcp -d 78.83.108.82/32 --dport 21 -j DROP
Boa sorte
Contra ataque bruteforce
/ip firewall filter
add chain=input protocol=tcp dst-port=8291 connection-limit=2,32 connection-state=established action=add-src-to-address-list address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
add chain=input protocol=tcp dst-port=80 connection-limit=2,32 connection-state=established action=add-src-to-address-list address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
add chain=input src-address-list="drop winbox" action=drop comment="" disabled=no
tmb fechar as portas que nao usa, e usar tecnica toc toc caso vc acessar winbox estando fora da sua rede.
Caro Leoservice:
Poderia explicar melhor para nós leigos o que cada uma dessas regras faz?
Obrigado.
Uma pergunta qual o sistema operacional, vc tem usado para que o ftp na sua maquina pelo q vi pela mensagem estao usando um programa de tentativa de conexao a sua porta do ftp, isto ocorre tambem na ssh pode ver que esta assim tambem uma saida e vc trocar as portas por outras portas exemplo a porta ssh=22 usa a 2222 o ftp=21 faz ele escultar na 2120, assim estes programas usados nao acham mais a porta padrao, eu tive isto na meu servidor e troquei as portas e nunca mais ouve estas mensagens
** Tudo que vier para o Roteador "Input" destino porta 8291, tera 2 chances para entrar, se errar a senha 2 vezes o IP do camarada entrará uma addresslist chamada drop winbox com por 12 horas comment="se errar senha por 2 x entra black list"Citação:
Postado originalmente por leoservice
add chain=input protocol=tcp dst-port=80 connection-limit=2,32 connection-state=established action=add-src-to-address-list address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
**Tudo que o destino for o roteador com destino a porta 80 mesma coisa da de cima
add chain=input src-address-list="drop winbox" action=drop comment="" disabled=no
** aqui tudo que vier para roteador que o IP esteja na lista drop winbox Dropa..
tmb fechar as portas que nao usa, e usar tecnica toc toc caso vc acessar winbox e
stando fora da sua rede.
Boa noite, testei essa regra que seria uma boa aqui no meu caso, mais não bloqueou após eu tentar 3x com a senha errada, dai tentei com a certa e ele entrou normal... que no caso era para bloquear... Têm algum macete?Citação:
Postado originalmente por leoservice