Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Linux hack+iptables

Pagina: 1
Acties:

zondag 17 juli 2005 18:04

Acties:

Verwijderd

Topicstarter
Op dit moment is er iets of iemand lustig bezig om mijn sshlogin account te raden:

code:
1
2
3
4

Jul 17 14:52:44 linux sshd[32183]: Illegal user hans from ::ffff:213.115.192.62
Jul 17 14:52:45 linux sshd[32185]: Illegal user hanspete from ::ffff:213.115.192.62
Jul 17 14:52:45 linux sshd[32187]: Illegal user hao from ::ffff:213.115.192.62
Jul 17 14:52:46 linux sshd[32189]: Illegal user hard from ::ffff:213.115.192.62


Dit lijstje gaat nog een eind verder en een aantal dagen terug. Zo weet de hacker/worm 2 tot 3 accounts per seconde te proberen. Dat is een beetje veel van het goede vandaar dat ik het volgende in mijn iptables heb gezet:

iptables -N port22
iptables -A port22 -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j port22
iptables -A port22 -p tcp -m limit --limit 2/min --limit-burst 1 -j DROP
iptables-save

Mijn locale netwerkip's beginnen allemaal met 10.0.0.X vandaar 10.0.0.0/24. Als ik vervolgens het commando: iptables -L geef, krijg ik keurig het volgende overzicht:

Chain INPUT (policy ACCEPT)
target prot opt source destination
port22 tcp -- anywhere anywhere tcp dpt:ssh state NEW

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain port22 (1 references)
target prot opt source destination
ACCEPT all -- 10.0.0.0/24 anywhere
DROP tcp -- anywhere anywhere limit: avg 2/min burst 1

Toch slaagt de hacker/worm er nog steeds in om meerdere inlogverzoeken per sec te versturen (zie log bovenaan). Heb ik iets fout gedaan? Moet ik die iptables nog saven of mijn systeem herstarten voor dat deze nieuwe regels van kracht zijn?

zondag 17 juli 2005 18:09

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Ik gebruik zelf een gewijzigde iptables (netfiler, Minislack), maar heb ik het juist als je betrokken policies op 'ACCEPT' staan? Of vergis ik mij?

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zondag 17 juli 2005 18:12

Acties:
  • skr
  • Registratie: Juli 2003
  • Laatst online: 03-09 21:04

skr

Waarom zo ingewikkeld, doe gewoon:

iptables -A INPUT -s 213.115.192.62 -j REJECT

En dan vervolgens een abuse report sturen naar abuse@bredband.com
(doe maar eens een whois 213.115.192.62)

zondag 17 juli 2005 18:16

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

skr schreef op zondag 17 juli 2005 @ 18:12:
Waarom zo ingewikkeld, doe gewoon:

iptables -A INPUT -s 213.115.192.62 -j REJECT

En dan vervolgens een abuse report sturen naar abuse@bredband.com
(doe maar eens een whois 213.115.192.62)
Hij zit blijkbaar ergens in Zweden :)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag

% Information related to '213.112.0.0 - 213.115.255.255'

inetnum:      213.112.0.0 - 213.115.255.255
org:          ORG-BA31-RIPE
netname:      SE-CYBER-20000314
descr:        Provider Local Registry
country:      SE
admin-c:      BR3045-RIPE
tech-c:       BR3045-RIPE
status:       ALLOCATED PA
mnt-by:       RIPE-NCC-HM-MNT
mnt-lower:    B2-MNT
mnt-routes:   B2-MNT
source:       RIPE # Filtered

organisation:   ORG-BA31-RIPE
org-name:       Bredbandsbolaget AB
org-type:       LIR
address:        B2 Bredband AB (publ)
                Arstaangsv 21B
                S-11794 Stockholm
                SWEDEN
phone:          +46 8 50698300
fax-no:         +46 8 5490 4608
admin-c:        BR3045-RIPE
admin-c:        TN2809-RIPE
mnt-ref:        B2-MNT
mnt-ref:        RIPE-NCC-HM-MNT
mnt-by:         RIPE-NCC-HM-MNT
source:         RIPE # Filtered

role:           Bredbandsbolaget Routing Registry
address:        Box 47645
address:        117 94 Stockholm
address:        Sweden
remarks:        trouble:      *********************************
remarks:        trouble:      Abuse related issues is reported
remarks:        trouble:      to abuse@bredband.com
remarks:        trouble:      phone +46 586 65485
remarks:        trouble:      Abuse issues sent to other e-mail
remarks:        trouble:      adresses will be discarded
remarks:        trouble:      *********************************
admin-c:        TN2809-RIPE
admin-c:        JN1883-RIPE
admin-c:        EB78-RIPE
admin-c:        NE102-RIPE
admin-c:        ARL1-RIPE
tech-c:         TN2809-RIPE
tech-c:         JN1883-RIPE
tech-c:         EB78-RIPE
tech-c:         NE102-RIPE
tech-c:         ARL1-RIPE
nic-hdl:        BR3045-RIPE
mnt-by:         B2-MNT
source:         RIPE # Filtered
abuse-mailbox:  abuse@bredband.com
abuse-mailbox:  abuse@bredband.com

% Information related to 'ORG-BA31-RIPE'

route:          213.115.0.0/16
descr:          Broadband Customers in Scandinavia with Static IP
descr:          Please report improper use to abuse@bredband.com
origin:         AS8642
mnt-by:         B2-MNT
source:         RIPE # Filtered

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zondag 17 juli 2005 19:00

Acties:
  • DeMoN
  • Registratie: Maart 2001
  • Laatst online: 28-11 19:51

DeMoN

Pastafari

Gooi ssh anders ff over een andere poort :)

(is sowieso wel verstandig ;) )

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

zondag 17 juli 2005 20:16

Acties:

Verwijderd

Topicstarter
skr schreef op zondag 17 juli 2005 @ 18:12:
Waarom zo ingewikkeld, doe gewoon:

iptables -A INPUT -s 213.115.192.62 -j REJECT

En dan vervolgens een abuse report sturen naar abuse@bredband.com
(doe maar eens een whois 213.115.192.62)
Ik heb een mailtje naar abuse.@bredband.com gestuurd. Het blokkeren van het ip is een vrij zinloze klus. De worm/hacker lijkt dagelijks van ip te veranderen.

Ik zal uitzoeken hoe ik mijn ssh op een andere poort kan laten draaien, maar met een simpele poortscan is dit trucje al verdwenen.

Weet er al iemand wat er fout is met mijn iptables commando? Het is de bedoeling dat je maar 1 of 2 keer per minuut kan inloggen van buiten af via ssh. Vanaf mijn locale netwerk moet dat gewoon onbeperkt mogelijk zijn. Ik heb nog eens de manpages/tutorials nagelopen maar de commando's lijken mij goed te zijn. Kan het zijn dat mijn logfiles deze login pogingen wel registreert, maar dat de inlogpaketjes gewoon worden weggegooid door de iptables?

zondag 17 juli 2005 21:07

Acties:
  • skr
  • Registratie: Juli 2003
  • Laatst online: 03-09 21:04

skr

iptables -N port22
iptables -A port22 -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j port22
iptables -A port22 -p tcp -m limit --limit 2/min --limit-burst 1 -j DROP
iptables-save
moet het niet 2/minute zijn ipv 2/min

ik citeer iptables manual:

code:
1
2
3
4

  --limit rate
              Maximum average matching rate: specified as a  number,  with  an
              optional  `/second',  `/minute',  `/hour', or `/day' suffix; the
              default is 3/hour.

[ Voor 86% gewijzigd door skr op 17-07-2005 21:08 ]

maandag 18 juli 2005 08:18

Acties:

Verwijderd

Topicstarter
Het maakt volgens mij niet uit. Als ik 2/minute schrijf, wordt dat afgekort naar 2/min.

maandag 18 juli 2005 20:53

Acties:

Verwijderd

Topicstarter
Ik heb vandaag even de mogelijkheid gehad om zelf die ssh beveiliging te testen, maar to mijn spijt is het nog steeds mogelijk om 100 keer per minuut in te loggen.... Ik zoek me dood op die fout maar ik heb er geen idee van?

woensdag 20 juli 2005 19:14

Acties:

Verwijderd

Verwijderd schreef op maandag 18 juli 2005 @ 20:53:
Ik heb vandaag even de mogelijkheid gehad om zelf die ssh beveiliging te testen, maar to mijn spijt is het nog steeds mogelijk om 100 keer per minuut in te loggen.... Ik zoek me dood op die fout maar ik heb er geen idee van?
als je machine het aan kan (qua geheugen/swap) kun je Snort hiervoor gebruiken.
www.snort.org
dit is een tool die je logs in de gaten houdt en op basis daarvan rapporteert.
op basis hiervan kun je atomatisch firewall regels aan laten maken.
ik vind het zelf trouwens handiger om SSH sowieso maar vanaf een klein aantal ip-adressen beschikbaar te stellen.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq