Proteja a rede de Vírus

[sarna]

Vários usuários do provedor estavam reclamando de problemas de vírus coisa e tal, então criei essas regras pra dar uma melhor proteção para os usuários, achei muito útil essas regras...

Pra quem estiver interessado...

Código :

iptables -N log_virus
iptables -A log_virus -j LOG --log-level 1 --log-prefix Virus::
iptables -A log_virus -j DROP
 
iptables -N virus
 
# BO, BO Client, BO2, Bo facil, Bo Whack
iptables -A virus -p tcp --dport 31336:31337 -j log_virus
 
# Bagle Virus
iptables -A virus -p tcp --dport 2745 -j log_virus
iptables -A virus -p tcp --dport 2535 -j log_virus
 
# Beagle.B
iptables -A virus -p tcp --dport 8866 -j log_virus
 
# Blaster
iptables -A virus -p tcp --dport 135:139 -j log_virus
iptables -A virus -p tcp --dport 445 -j log_virus
iptables -A virus -p udp --dport 445 -j log_virus
 
# Cichlid
iptables -A virus -p tcp --dport 1377 -j log_virus
 
# Dabber.A-B
iptables -A virus -p tcp --dport 9898 -j log_virus
 
# Dumaru.Y
iptables -A virus -p tcp --dport 2283 -j log_virus
iptables -A virus -p tcp --dport 10000 -j log_virus
 
# Gaobot, PhatBot, Agobot
iptables -A virus -p tcp --dport 65503 -j log_virus
 
# Grafx
iptables -A virus -p tcp --dport 1373 -j log_virus
 
# WinCrash
iptables -A virus -p tcp --dport 2583 -j log_virus
iptables -A virus -p tcp --dport 3024 -j log_virus
iptables -A virus -p tcp --dport 5742 -j log_virus
 
# Worm
iptables -A virus -p tcp --dport 1433:1434 -j log_virus
iptables -A virus -p tcp --dport 4444 -j log_virus
iptables -A virus -p udp --dport 4444 -j log_virus
 
# Kuang2
iptables -A virus -p tcp --dport 17300 -j log_virus
 
# MyDoom
iptables -A virus -p tcp --dport 1080 -j log_virus
iptables -A virus -p tcp --dport 3127:3128 -j log_virus
 
# MyDoom.B
iptables -A virus -p tcp --dport 10080 --j log_virus
 
# Messenger Worm
iptables -A virus -p udp --dport 135:139 -j log_virus
 
# NetBus
iptables -A virus -p tcp --dport 12345 -j log_virus
 
# NetBus Pro
iptables -A virus -p tcp --dport 20034 -j log_virus
 
# NDM Requester
iptables -A virus -p tcp --dport 1364 -j log_virus
 
# OptixPro
iptables -A virus -p tcp --dport 3410 -j log_virus
 
# Sasser
iptables -A virus -p tcp --dport 5554 -j log_virus
 
# Screen Cast
iptables -A virus -p tcp --dport 1368 -j log_virus
 
# SubSeven
iptables -A virus -p tcp --dport 27374 -j log_virus
 
# Outros vírus
iptables -A virus -p tcp --dport 593 -j log_virus
iptables -A virus -p tcp --dport 1024:1030 -j log_virus
iptables -A virus -p tcp --dport 1214 -j log_virus
 
iptables -A FORWARD -j virus

[1c3m4n]

tem 2 probleminhas....
1 - vai enxer teu log de lixo (pode ser que nao xegue a lotar o disco mas vai ter mto lixo)
2 - nem tudo que trafega pelas portas que vc usou sao virus

[pensador-ce]

fera ele bloqueia ou só cria os logs?

[ruyneto]

Concordo com o Ice, mtas portas podem ser de virus, mas existem serviços diversos que tb podem rodar nessas portas, então não eh recomendado aplciar essas regras sem o conhecimento da sua rede, e sem saber exatamente o que esta fazendo, a proposito em vez de barrar tudo isso pq poe o que vc quer abrir e o resto nega(drop)

falows

[1c3m4n]

cria log e bloqueia

Código :

iptables -N log_virus
iptables -A log_virus -j LOG --log-level 1 --log-prefix Virus::
iptables -A log_virus -j DROP

[1c3m4n]

Concordo com o Ice, mtas portas podem ser de virus, mas existem serviços diversos que tb podem rodar nessas portas, então não eh recomendado aplciar essas regras sem o conhecimento da sua rede, e sem saber exatamente o que esta fazendo, a proposito em vez de barrar tudo isso pq poe o que vc quer abrir e o resto nega(drop)?

falows

Concordo, a melhor opçao sempre eh bloquear TUDO e liberar soh oq precisa, assim vc nao corre o risco de esquecer de fechar alguma coisa...
Se vc esquecer de abrir, e tiver usando essa politica vc vai perceber logo.

[whinston]

pegando a onda ae..em bloquear tudo e abrir oq precisa
tem como logar nao oq ta saindo, mas oq ta tentando sair???

ou o negocio eh abrir provisoriamente, monitorar oq ta saindo (tipo um programa q vc nao sabe a porta q usa e precisa descobrir)e fechar de novo ?

[lacierdias]

Como ficaria um FW com tudo fechado e apenas as portas por ex: 80 e 22 abertas...

[ruyneto]

Cara eu nunca testei, mas pode tentar por pra logar antes da regra de fechar.

falows

[1c3m4n]

Como ficaria um FW com tudo fechado e apenas as portas por ex: 80 e 22 abertas...

iptables -P INPUT DROP
iptables -A INPUT -p tcp -d IP_SERVER --dport 80 --syn -j ACCEPT
iptables -A INPUT -p tcp -d IP_SERVER --dport 22 --syn -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


com isso libera somente a entrada nas portas 80,22 e libera a entrada de pacotes que sejam de conexoes EXISTENTES (ou seja resposta pras conexoes internas)

Ai eh claro q se vc quiser liberar tudo pra sua rede interna vc adiciona
iptables -A INPUT -s REDE -i ethX -j ACCEPT

[sarna]

Sim, concordo que a melhor solução seria liberar somente o que é necessário... mas o que acontece é que eu trabalho em um provedor... e não podemos liberar apenas alguns recursos, temos que liberar tudo.

As portas são de vírus, mas existem programas que utilizam essas mesmas portas, mas prefiro bloquear elas pra evitar vírus coisa e tal...

Os log´s que também estou pensando em tirar, mas é bom pra você ver a quantidade de porcaria que rola na net, principalmente aqui onde temos em média de 200 usuários on-line o tempo todo!

[whinston]

oh velho, eh primeiro drop,depois accept ? numeh contrario nao?

Como ficaria um FW com tudo fechado e apenas as portas por ex: 80 e 22 abertas...

iptables -P INPUT DROP
iptables -A INPUT -p tcp -d IP_SERVER --dport 80 --syn -j ACCEPT
iptables -A INPUT -p tcp -d IP_SERVER --dport 22 --syn -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


com isso libera somente a entrada nas portas 80,22 e libera a entrada de pacotes que sejam de conexoes EXISTENTES (ou seja resposta pras conexoes internas)

Ai eh claro q se vc quiser liberar tudo pra sua rede interna vc adiciona
iptables -A INPUT -s REDE -i ethX -j ACCEPT

[1c3m4n]

Entaum pra num logar mto lixo vc poderia adicionar a opcao --limit nos logs, assim vc nao perde espaco em disco a toa e nenhum sacana tenta usar essas suas regras pra tentar travar seu servidor. como ele vai travar?
Eh soh fazer um programinha em bash mesmo com loop infinito fazendo requisicoes nessas portas, uma hora ou a memoria do teu server vai pro saco ou entaum o disco lota

[1c3m4n]

oh velho, eh primeiro drop,depois accept ? numeh contrario nao?

nao, eh assim mesmo

Com isso TUDO fica bloqueado e soh libera oq eu quiser. Eh basicamente o contrario que vem como padrao. q eh tudo accept e vc vai bloqueando

[whinston]

o problema que eu tenho eh o seguinte: cada programa de banco ou receita tem crise de identidade e quer uma porta só pra ele! pq os nego não fazem programas pra webserver, pra gente conseguir filtrar tudo via proxy ? tsc, tsc.. utopia!!!

mas bem..antigamente eu liberava geral e fechava apenas a 80, forçando peão a usar o proxy. mesmo desmarcando no navegador, não ia, pq tava dando drop na 80 do forward

agora eu quero fechar tudo! da um drop geral e abrir (accept) soh oq precisa. pra isto, eu fiquei logando qdo o cara vai usar o programa, pra achar exatamente kale o ip de destino e porta. da 1 trabalho do kct!!!

[sarna]

Concordo com você ice, vou tirar esses log´s acho q vou colocar o drop... Agora que você falou eu fui dar uma olhada nos logs, tava com 10 mega já o arquivo... cuisa pra chuchu!

Seria melhor o DROP ou o REJECT pra regra ?

[whinston]

eu tava com algo na cabeça que no antecessor do iptables era drop primeiro e accept depois e que agora com iptables era o inverso.

oh velho, eh primeiro drop,depois accept ? numeh contrario nao?

nao, eh assim mesmo

Com isso TUDO fica bloqueado e soh libera oq eu quiser. Eh basicamente o contrario que vem como padrao. q eh tudo accept e vc vai bloqueando

[1c3m4n]

Concordo com você ice, vou tirar esses log´s acho q vou colocar o drop... Agora que você falou eu fui dar uma olhada nos logs, tava com 10 mega já o arquivo... cuisa pra chuchu!

Seria melhor o DROP ou o REJECT pra regra ?

pra worm tanto faz
tipo DROP nega e devolve um pacote pra quem enviou falando que foi negado, o REJECT nega e nao avisa que foi bloqueado

[1c3m4n]

eu tava com algo na cabeça que no antecessor do iptables era drop primeiro e accept depois e que agora com iptables era o inverso.

Eh normal esse tipo de confusao, alias nesse ponto o linux em meio "frouxo", dexa tudo liberado por padrao, com FreeBSD e outros jah acontece o contrario, eh tudo bloqueado e vc tem que ir liberando

[sarna]

Então o REJECT é o mais aconselhável, por que evita tráfego na rede hehe