Εδώ και μερικούς μήνες τρέχω το δικό μου web server σε debian (lenny πριν, squeeze τώρα).
Επειδή δεν είμαι επαγγελματίας, είναι μια ωραία διαδικασία για να μάθει κανείς πολλά πράγματα, το να στήσεις το δικό σου server εκ του μηδενός.
Μετά από ψάξιμο στο google, προσπάθησα να προφυλάξω, όσο ήξερα, τον server μου από κακόβουλες επιθέσεις.
Χθες αποφάσισα να ρίξω μια ματιά στα log files του συστήματος και ορίστε ορισμένα απ' τα ωραία πραγματάκια που ψάρεψα από το /var/log/auth.log:
Feb 22 13:56:08 server sshd[x]: Invalid user angela from 85.114.137.53
Feb 22 13:56:10 server sshd[x]: Address 85.114.137.53 maps to creativalab.serverlet.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 22 13:56:10 server sshd[x]: Invalid user ebmaster from 85.114.137.53
Feb 22 13:56:11 server sshd[x]: Address 85.114.137.53 maps to creativalab.serverlet.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 22 13:56:12 server sshd[x]: Address 85.114.137.53 maps to creativalab.serverlet.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 22 13:56:14 server sshd[x]: Address 85.114.137.53 maps to creativalab.serverlet.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 22 13:56:15 server sshd[x]: Address 85.114.137.53 maps to creativalab.serverlet.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 28 03:56:51 server sshd[χ]: Invalid user testaccount from 212.108.130.2
Feb 28 03:56:53 server sshd[χ]: Invalid user marketing from 212.108.130.2
Feb 28 03:56:55 server sshd[χ]: Invalid user ubuntu from 212.108.130.2
Feb 28 03:56:57 server sshd[χ]: Invalid user redhat from 212.108.130.2
Feb 28 03:56:58 server sshd[χ]: Invalid user mythtv from 212.108.130.2
Feb 28 18:43:46 server sshd[χ]: reverse mapping checking getaddrinfo for destiny.aqualityhost.us [66.96.218.133] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 28 18:43:49 server sshd[χ]: reverse mapping checking getaddrinfo for destiny.aqualityhost.us [66.96.218.133] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 22 13:56:10 server sshd[x]: Address 85.114.137.53 maps to creativalab.serverlet.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 22 13:56:10 server sshd[x]: Invalid user ebmaster from 85.114.137.53
Feb 22 13:56:11 server sshd[x]: Address 85.114.137.53 maps to creativalab.serverlet.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 22 13:56:12 server sshd[x]: Address 85.114.137.53 maps to creativalab.serverlet.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 22 13:56:14 server sshd[x]: Address 85.114.137.53 maps to creativalab.serverlet.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 22 13:56:15 server sshd[x]: Address 85.114.137.53 maps to creativalab.serverlet.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 28 03:56:51 server sshd[χ]: Invalid user testaccount from 212.108.130.2
Feb 28 03:56:53 server sshd[χ]: Invalid user marketing from 212.108.130.2
Feb 28 03:56:55 server sshd[χ]: Invalid user ubuntu from 212.108.130.2
Feb 28 03:56:57 server sshd[χ]: Invalid user redhat from 212.108.130.2
Feb 28 03:56:58 server sshd[χ]: Invalid user mythtv from 212.108.130.2
Feb 28 18:43:46 server sshd[χ]: reverse mapping checking getaddrinfo for destiny.aqualityhost.us [66.96.218.133] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 28 18:43:49 server sshd[χ]: reverse mapping checking getaddrinfo for destiny.aqualityhost.us [66.96.218.133] failed - POSSIBLE BREAK-IN ATTEMPT!
Δηλαδή, διαπίστωσα ότι υπάρχουν αρκετοί hackers κάπου εκεί έξω που προσπαθούσαν να εισβάλουν στο σύστημά μου.
Επειδή όλες αυτές οι επιθέσεις είναι αυτοματοποιημένες, αποφάσισα να βρω μια λύση, μια για πάντα, που να κρατά έξω τους κακόβουλους.
φυσικά ο χρόνος θα δείξει αν αυτή η μέθοδος δουλεύει.
Ορίστε τα βήματα που ακολούθησα στο Debian Squeeze:
Ως root εκτελούμε τις παρακάτω εντολές:
Δημιουργούμε το αρχείο /etc/network/if-up.d/iptables:
Είμαστε έτοιμοι!
Ορίστε τα βήματα που ακολούθησα στο Debian Squeeze:
Ως root εκτελούμε τις παρακάτω εντολές:
iptables -F
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport www -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP
iptables -P INPUT DROP
iptables-save > /etc/default/iptables
Δημιουργούμε το αρχείο /etc/network/if-up.d/iptables:
#! /bin/sh
# Reload the iptables rules
set -e
exec /sbin/iptables-restore < /etc/default/iptables
exit 0
# Reload the iptables rules
set -e
exec /sbin/iptables-restore < /etc/default/iptables
exit 0
Είμαστε έτοιμοι!
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου