Autor Téma: Attack server UDP & SSH & Postfix  (Přečteno 1969 krát)

Offline Branislav Dohoda

  • Člen týmu
  • Uživatel
  • *****
  • Příspěvků: 191
    • Zobrazit profil
  • Jabber: valsin@jabbim.sk
Attack server UDP & SSH & Postfix
« kdy: 29. 10. 2015, 22:26:11 »
Ahojte, 3 tyzdne mi neustale utocia na UDP porty a skusaju login shh root. SSH som poriesil vypol som login roota a nasadil fail2ban ktory som nastavil na permanent ban kazdu IP co zlyha ssh login root.

Viac ma ale trapi toto:
Citace
Oct 29 15:57:19 oldogs kernel: [82466.456648] UDP: bad checksum. From 188.72.63.99:27005 to MOJAIPADRESS:27015 ulen 60
Oct 29 18:27:56 oldogs kernel: [91503.656863] UDP: bad checksum. From 180.253.39.254:27005 to MOJAIPADRESS:27015 ulen 52
Oct 29 19:07:44 oldogs kernel: [93891.386151] UDP: bad checksum. From 87.13.74.228:65535 to MOJAIPADRESS:27015 ulen 33
Oct 29 19:07:48 oldogs kernel: [93895.758803] UDP: bad checksum. From 87.13.74.228:65535 to MOJAIPADRESS:27015 ulen 33
Oct 29 19:08:01 oldogs kernel: [93908.201017] UDP: bad checksum. From 87.13.74.228:65535 to MOJAIPADRESS:27015 ulen 33
Oct 29 19:08:22 oldogs kernel: [93929.447242] UDP: bad checksum. From 79.16.191.84:65535 to MOJAIPADRESS:27015 ulen 33
Oct 29 21:53:04 oldogs kernel: [103811.454779] UDP: bad checksum. From 187.39.111.236:37894 to MOJAIPADRESS:27015 ulen 73

To som poriesil iptables ale chcem sa opitat ci to mam dobre lebo toto je len priklad za par sekund na port 27015 ale skusaju aj ine porty, sice server mi uz nepadol 3 dni od kedy som to tam dal ale tak poviem pravdu to som len vygooglil a neviem presne co to roby presne tie prikazy IPTables kedze eng nie je moja silna stranka. Predpokladam ze ze dropne IP adresu ked asi skusi poslat packet 10x za sebou v 60 sekundach.

Neda sa ten fail2ban nastavit aj na tie UDP porty aby to banovalo hned tie IP adresy ?
Keby niekto mi to objasnil a mozno aj poradil ako sa to da lepsie bol by som rad, Dakujem za kazdu odpoved,....

Citace
iptables -I INPUT -p udp --dport 27015 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p udp --dport 27015 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
iptables-save >/etc/iptables.up.rules
Debian 8 'Jessie' Backports
- - - - - - - - - - - - - - -
[diakritika off]
- - - - - - - - - - - - - - -
Bug Tracker pre novú tému Wheezy VDW: report bug
Bug Tracker pre novú tému Jessie VDJ: report bug

Offline petrbian

  • Začátečník
  • **
  • Příspěvků: 67
    • Zobrazit profil
Re:Attack server UDP & SSH & Postfix
« Odpověď #1 kdy: 23. 11. 2015, 19:46:30 »
1. Pokud máš jeden PC, můžeš změnit SSH port na nějaký jiný, ulehčí to trochu firewallu a logům, bezpečnost to nezlepší. Klidně používej na přihlašování root, ale přihlašuj se pomocí klíčů, ne hesla.

2. Místo fail2ban můžeš nasadit stejné pravidlo, které jsi uvedl, pro SSH.

To pravidlo pro iptables ti zablokuje přístup konkrétní IP adresy, tak jak jsi správně napsal, stejné používám třeba pro icmp.

Offline Branislav Dohoda

  • Člen týmu
  • Uživatel
  • *****
  • Příspěvků: 191
    • Zobrazit profil
  • Jabber: valsin@jabbim.sk
Re:Attack server UDP & SSH & Postfix
« Odpověď #2 kdy: 23. 11. 2015, 21:34:30 »
Tak port zmeneny a pouzivam RSA, dufam ze to si mal na mysli, ak hej ta pomohlo to.

Nahradil som fail2ban za CSF, na skusku troska komplikovanejsie ale zda sa mi ze asi aj lepsie mam na mysli konkretne toto (http://configserver.com/cp/csf.html) zatial server nepadol a utoky to odraza celkom spolahlivo len nastavit to bola fuska.
Debian 8 'Jessie' Backports
- - - - - - - - - - - - - - -
[diakritika off]
- - - - - - - - - - - - - - -
Bug Tracker pre novú tému Wheezy VDW: report bug
Bug Tracker pre novú tému Jessie VDJ: report bug