Attack server UDP & SSH & Postfix

Založil Brano Dohoda, 29. 10. 2015, 22:26:11

Předchozí téma - Další téma

Brano Dohoda

Ahojte, 3 tyzdne mi neustale utocia na UDP porty a skusaju login shh root. SSH som poriesil vypol som login roota a nasadil fail2ban ktory som nastavil na permanent ban kazdu IP co zlyha ssh login root.

Viac ma ale trapi toto:
CitaceOct 29 15:57:19 oldogs kernel: [82466.456648] UDP: bad checksum. From 188.72.63.99:27005 to MOJAIPADRESS:27015 ulen 60
Oct 29 18:27:56 oldogs kernel: [91503.656863] UDP: bad checksum. From 180.253.39.254:27005 to MOJAIPADRESS:27015 ulen 52
Oct 29 19:07:44 oldogs kernel: [93891.386151] UDP: bad checksum. From 87.13.74.228:65535 to MOJAIPADRESS:27015 ulen 33
Oct 29 19:07:48 oldogs kernel: [93895.758803] UDP: bad checksum. From 87.13.74.228:65535 to MOJAIPADRESS:27015 ulen 33
Oct 29 19:08:01 oldogs kernel: [93908.201017] UDP: bad checksum. From 87.13.74.228:65535 to MOJAIPADRESS:27015 ulen 33
Oct 29 19:08:22 oldogs kernel: [93929.447242] UDP: bad checksum. From 79.16.191.84:65535 to MOJAIPADRESS:27015 ulen 33
Oct 29 21:53:04 oldogs kernel: [103811.454779] UDP: bad checksum. From 187.39.111.236:37894 to MOJAIPADRESS:27015 ulen 73

To som poriesil iptables ale chcem sa opitat ci to mam dobre lebo toto je len priklad za par sekund na port 27015 ale skusaju aj ine porty, sice server mi uz nepadol 3 dni od kedy som to tam dal ale tak poviem pravdu to som len vygooglil a neviem presne co to roby presne tie prikazy IPTables kedze eng nie je moja silna stranka. Predpokladam ze ze dropne IP adresu ked asi skusi poslat packet 10x za sebou v 60 sekundach.

Neda sa ten fail2ban nastavit aj na tie UDP porty aby to banovalo hned tie IP adresy ?
Keby niekto mi to objasnil a mozno aj poradil ako sa to da lepsie bol by som rad, Dakujem za kazdu odpoved,....

Citaceiptables -I INPUT -p udp --dport 27015 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p udp --dport 27015 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
iptables-save >/etc/iptables.up.rules
Debian 11 "bullseye" released + KDE Plasma
- - - - - - - - - - - - - - - - - - - - - - - -
[diakritika off]
- - - - - - - - - - - - - - - - - - - - - - - -
* CPU: Intel i3-8130U 2.2GHz Turbo Boost 3.4GHz
* GPU: Intel UHD620 + Nvidia MX130 2GB VRam
* RAM: DDR4 12GB @ 2133MHz

petrbian

1. Pokud máš jeden PC, můžeš změnit SSH port na nějaký jiný, ulehčí to trochu firewallu a logům, bezpečnost to nezlepší. Klidně používej na přihlašování root, ale přihlašuj se pomocí klíčů, ne hesla.

2. Místo fail2ban můžeš nasadit stejné pravidlo, které jsi uvedl, pro SSH.

To pravidlo pro iptables ti zablokuje přístup konkrétní IP adresy, tak jak jsi správně napsal, stejné používám třeba pro icmp.

Brano Dohoda

Tak port zmeneny a pouzivam RSA, dufam ze to si mal na mysli, ak hej ta pomohlo to.

Nahradil som fail2ban za CSF, na skusku troska komplikovanejsie ale zda sa mi ze asi aj lepsie mam na mysli konkretne toto (http://configserver.com/cp/csf.html) zatial server nepadol a utoky to odraza celkom spolahlivo len nastavit to bola fuska.
Debian 11 "bullseye" released + KDE Plasma
- - - - - - - - - - - - - - - - - - - - - - - -
[diakritika off]
- - - - - - - - - - - - - - - - - - - - - - - -
* CPU: Intel i3-8130U 2.2GHz Turbo Boost 3.4GHz
* GPU: Intel UHD620 + Nvidia MX130 2GB VRam
* RAM: DDR4 12GB @ 2133MHz