Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

Jak wykry

https://593930.wb34atkl.asia/viewtopic.php?t=21093

Strona 2 z 2

: 12 grudnia 2010, 17:48
autor: fnmirk
shyte, masz sklejone cztery tematy dotyczące serwera bo zbytnio się zacząłeś rozdrabniać.

: 12 grudnia 2010, 17:54
autor: piroaa
I tak ma być zmiany w iptables nie są zapisywane na stałe. Jeśli mają zostać zapisane musisz reguły wrzucić do skryptu który to będziesz sobie uruchamiał za każdym startem systemu.
Pozdrawiam.

: 12 grudnia 2010, 18:27
autor: shyte
A skąd mogę takowy skrypt pobrać?
I musi on być ustawiony w cronie?

: 12 grudnia 2010, 19:07
autor: piroaa
Do skryptu wpisujesz np :

Kod: Zaznacz cały

#!/bin/bash

# czyszczenie
iptables -F INPUT
iptables -P INPUT ACCEPT
iptables -F OUTPUT
iptables -P INPUT ACCEPT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -X -t filter 

# domyślna polityka 
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

# www
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
zapisujesz to np jako :

Kod: Zaznacz cały

 /etc/firewal.sh
i nadajesz prawa do wykonania o tak :

Kod: Zaznacz cały

chmod 700 /etc/firewal.sh
a do pliku

Kod: Zaznacz cały

/etc/rc.local
dopisujesz

Kod: Zaznacz cały

/etc/firewal.sh
ma to wyglądać tak :

Kod: Zaznacz cały

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
/etc/firewal.sh
exit 0
i to wszystko.

: 12 grudnia 2010, 19:59
autor: Bastian

Kod: Zaznacz cały

iptables -A INPUT -i eth0 -p tcp -j ACCEPT -m state --state NEW -d ipmojegoserwera --destination-port 21
Kolego. Proponuję Ci poczytać swietny tekst i iptables autorstwa grześka na tym portalu. Chcesz administrować serwerem na Linuksie to musisz to mieć obcykane.

: 12 grudnia 2010, 20:09
autor: shyte
No to dałem zawartość:

Kod: Zaznacz cały

/etc/firewal.sh

Kod: Zaznacz cały

#!/bin/bash

# czyszczenie
iptables -F INPUT
iptables -P INPUT ACCEPT
iptables -F OUTPUT
iptables -P INPUT ACCEPT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -X -t filter 

# domyślna polityka 
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

# www
iptables -A INPUT -p TCP --dport 53 -j DROP 
iptables -A INPUT -p TCP --dport 106 -j DROP 
iptables -A INPUT -p TCP --dport 139 -j DROP 
iptables -A INPUT -p TCP --dport 143 -j DROP
iptables -A INPUT -p TCP --dport 445 -j DROP 
iptables -A INPUT -p TCP --dport 993 -j DROP
iptables -A INPUT -p TCP --dport 465 -j DROP
oraz

Kod: Zaznacz cały

/etc/rc.local
Tak jak napisałeś i restart serwera, po czym nie działa serwer, muszę przez konsole ratunkową usuwać to co wykonałem i ponownie restart.

: 12 grudnia 2010, 20:23
autor: Bastian
Te regułki są dziwaczne w paru miejscach. Jak już to:

Kod: Zaznacz cały

#!/bin/bash
# czyszczenie

iptables -F
iptables -X

# domyślna polityka 

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

# www
iptables -A INPUT -p TCP --dport 53 -j DROP 
iptables -A INPUT -p TCP --dport 106 -j DROP 
iptables -A INPUT -p TCP --dport 139 -j DROP 
iptables -A INPUT -p TCP --dport 143 -j DROP
iptables -A INPUT -p TCP --dport 445 -j DROP 
iptables -A INPUT -p TCP --dport 993 -j DROP
iptables -A INPUT -p TCP --dport 465 -j DROP
Serwer ci "nie działał" bo sobie zaaplikowałeś domyślnie politykę drop po raz drugi. Przeczytaj mojego posta wyżej

: 12 grudnia 2010, 23:08
autor: shyte
Próby włamania na ftp?

Tak sobie przeglądam plik z logami:

Kod: Zaznacz cały

/var/log/auth.log
I o to co mam:

Kod: Zaznacz cały

Dec 12 20:40:39 h1765292 proftpd[5932]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:40 h1765292 proftpd[5947]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsppl: no such user found from 218.57.179.186 [218.57.17$
Dec 12 20:40:41 h1765292 proftpd[5947]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:42 h1765292 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd5948 ruser=filmypsp rhost=218.57.179.186  user=fil$
Dec 12 20:40:44 h1765292 proftpd[5948]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsp (Login failed): Incorrect password.
Dec 12 20:40:44 h1765292 proftpd[5948]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:46 h1765292 proftpd[5964]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsppl: no such user found from 218.57.179.186 [218.57.17$
Dec 12 20:40:46 h1765292 proftpd[5964]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:47 h1765292 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd5981 ruser=filmypsp rhost=218.57.179.186  user=fil$
Dec 12 20:40:49 h1765292 proftpd[5981]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsp (Login failed): Incorrect password
Dec 12 20:40:49 h1765292 proftpd[5981]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:51 h1765292 proftpd[5982]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsppl: no such user found from 218.57.179.186 [218.57.17$
Dec 12 20:40:51 h1765292 proftpd[5982]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:52 h1765292 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd5983 ruser=filmypsp rhost=218.57.179.186  user=fil$
Dec 12 20:40:54 h1765292 proftpd[5983]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsp (Login failed): Incorrect password.
Dec 12 20:40:54 h1765292 proftpd[5983]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:56 h1765292 proftpd[5991]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsppl: no such user found from 218.57.179.186 [218.57.17$
Dec 12 20:40:56 h1765292 proftpd[5991]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:40:57 h1765292 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd6000 ruser=filmypsp rhost=218.57.179.186  user=fil$
Dec 12 20:40:59 h1765292 proftpd[6000]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsp (Login failed): Incorrect password.
Dec 12 20:40:59 h1765292 proftpd[6000]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Dec 12 20:41:01 h1765292 proftpd[6001]: h1765292 (218.57.179.186[218.57.179.186]) - USER filmypsppl: no such user found from 218.57.179.186 [218.57.17$
Dec 12 20:41:01 h1765292 proftpd[6001]: h1765292 (218.57.179.186[218.57.179.186]) - FTP session closed.
Ktoś próbuje się dobić mi na ftp, na pewno to boty.
Jest tego o wile więcej mam w denyhosts ustawione ze błędne próby logowania np na ssh blokują tez możliwość logowania na inne usługi.

Jeszcze jakieś rady?

: 13 grudnia 2010, 08:16
autor: Bastian
Poczytaj o ips grzeska. Wdrozylem u siebie dziala bezblednie. Ew. Fail2ban
Strefa czasowa UTC+01:00
Strona 2 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl