Jak wykry

fnmirk · Post autor: **fnmirk** » 12 grudnia 2010, 17:48

shyte, masz sklejone cztery tematy dotyczące serwera bo zbytnio się zacząłeś rozdrabniać.

piroaa · Post autor: **piroaa** » 12 grudnia 2010, 17:54

I tak ma być zmiany w iptables nie są zapisywane na stałe. Jeśli mają zostać zapisane musisz reguły wrzucić do skryptu który to będziesz sobie uruchamiał za każdym startem systemu.
Pozdrawiam.

shyte · Post autor: **shyte** » 12 grudnia 2010, 18:27

A skąd mogę takowy skrypt pobrać?
I musi on być ustawiony w cronie?

piroaa · Post autor: **piroaa** » 12 grudnia 2010, 19:07

Do skryptu wpisujesz np :

Kod: Zaznacz cały

#!/bin/bash

# czyszczenie
iptables -F INPUT
iptables -P INPUT ACCEPT
iptables -F OUTPUT
iptables -P INPUT ACCEPT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -X -t filter 

# domyślna polityka 
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

# www
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

zapisujesz to np jako :

Kod: Zaznacz cały

 /etc/firewal.sh

i nadajesz prawa do wykonania o tak :

Kod: Zaznacz cały

chmod 700 /etc/firewal.sh

a do pliku

Kod: Zaznacz cały

/etc/rc.local

dopisujesz

Kod: Zaznacz cały

/etc/firewal.sh

ma to wyglądać tak :

Kod: Zaznacz cały

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
/etc/firewal.sh
exit 0

i to wszystko.

Bastian · Post autor: **Bastian** » 12 grudnia 2010, 19:59

Kod: Zaznacz cały

iptables -A INPUT -i eth0 -p tcp -j ACCEPT -m state --state NEW -d ipmojegoserwera --destination-port 21

Kolego. Proponuję Ci poczytać swietny tekst i iptables autorstwa grześka na tym portalu. Chcesz administrować serwerem na Linuksie to musisz to mieć obcykane.

shyte · Post autor: **shyte** » 12 grudnia 2010, 20:09

No to dałem zawartość:

Kod: Zaznacz cały

/etc/firewal.sh

Kod: Zaznacz cały

#!/bin/bash

# czyszczenie
iptables -F INPUT
iptables -P INPUT ACCEPT
iptables -F OUTPUT
iptables -P INPUT ACCEPT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -X -t filter 

# domyślna polityka 
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

# www
iptables -A INPUT -p TCP --dport 53 -j DROP 
iptables -A INPUT -p TCP --dport 106 -j DROP 
iptables -A INPUT -p TCP --dport 139 -j DROP 
iptables -A INPUT -p TCP --dport 143 -j DROP
iptables -A INPUT -p TCP --dport 445 -j DROP 
iptables -A INPUT -p TCP --dport 993 -j DROP
iptables -A INPUT -p TCP --dport 465 -j DROP

oraz

Kod: Zaznacz cały

/etc/rc.local

Tak jak napisałeś i restart serwera, po czym nie działa serwer, muszę przez konsole ratunkową usuwać to co wykonałem i ponownie restart.

Bastian · Post autor: **Bastian** » 12 grudnia 2010, 20:23

Te regułki są dziwaczne w paru miejscach. Jak już to:

Kod: Zaznacz cały

#!/bin/bash
# czyszczenie

iptables -F
iptables -X

# domyślna polityka 

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

# www
iptables -A INPUT -p TCP --dport 53 -j DROP 
iptables -A INPUT -p TCP --dport 106 -j DROP 
iptables -A INPUT -p TCP --dport 139 -j DROP 
iptables -A INPUT -p TCP --dport 143 -j DROP
iptables -A INPUT -p TCP --dport 445 -j DROP 
iptables -A INPUT -p TCP --dport 993 -j DROP
iptables -A INPUT -p TCP --dport 465 -j DROP

Serwer ci "nie działał" bo sobie zaaplikowałeś domyślnie politykę drop po raz drugi. Przeczytaj mojego posta wyżej

shyte · Post autor: **shyte** » 12 grudnia 2010, 23:08

Próby włamania na ftp?

Tak sobie przeglądam plik z logami:

Kod: Zaznacz cały

/var/log/auth.log

I o to co mam:

Kod: Zaznacz cały

Dec 12 20:40:39 h1765292 proftpd[5932]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:40 h1765292 proftpd[5947]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsppl: no such user found from 218.57.179.186 [218.57.17$
Dec 12 20:40:41 h1765292 proftpd[5947]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:42 h1765292 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd5948 ruser=filmypsp rhost=218.57.179.186  user=fil$
Dec 12 20:40:44 h1765292 proftpd[5948]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsp (Login failed): Incorrect password.
Dec 12 20:40:44 h1765292 proftpd[5948]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:46 h1765292 proftpd[5964]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsppl: no such user found from 218.57.179.186 [218.57.17$
Dec 12 20:40:46 h1765292 proftpd[5964]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:47 h1765292 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd5981 ruser=filmypsp rhost=218.57.179.186  user=fil$
Dec 12 20:40:49 h1765292 proftpd[5981]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsp (Login failed): Incorrect password
Dec 12 20:40:49 h1765292 proftpd[5981]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:51 h1765292 proftpd[5982]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsppl: no such user found from 218.57.179.186 [218.57.17$
Dec 12 20:40:51 h1765292 proftpd[5982]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:52 h1765292 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd5983 ruser=filmypsp rhost=218.57.179.186  user=fil$
Dec 12 20:40:54 h1765292 proftpd[5983]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsp (Login failed): Incorrect password.
Dec 12 20:40:54 h1765292 proftpd[5983]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:56 h1765292 proftpd[5991]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsppl: no such user found from 218.57.179.186 [218.57.17$
Dec 12 20:40:56 h1765292 proftpd[5991]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:57 h1765292 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd6000 ruser=filmypsp rhost=218.57.179.186  user=fil$
Dec 12 20:40:59 h1765292 proftpd[6000]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsp (Login failed): Incorrect password.
Dec 12 20:40:59 h1765292 proftpd[6000]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:41:01 h1765292 proftpd[6001]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsppl: no such user found from 218.57.179.186 [218.57.17$
Dec 12 20:41:01 h1765292 proftpd[6001]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.

Ktoś próbuje się dobić mi na ftp, na pewno to boty.
Jest tego o wile więcej mam w denyhosts ustawione ze błędne próby logowania np na ssh blokują tez możliwość logowania na inne usługi.

Jeszcze jakieś rady?

Bastian · Post autor: **Bastian** » 13 grudnia 2010, 08:16

Poczytaj o ips grzeska. Wdrozylem u siebie dziala bezblednie. Ew. Fail2ban