посоветуйте как бороться с атаками на сайт

zubastiy	# 13 лет, 8 месяцев назад
Темы: 136 Сообщения: 548 Участник с: 18 сентября 2009	Добро день. Идут атаки на сайты. Сайты стоят за ASA5510. ASA тупо не справляется ) Возникла мысль перед ней поставить машинку с двумя интерфейсами. поднять мост между интерфейсами, на мост повесить ipfw с deny ip особо злостных атакеров. Пробегал где то скрипт который заносит автоматом таких товарищей в бан. Не подскажете? Ну и кто, чем пользовался для защиты в таких ситуациях?

# 13 лет, 8 месяцев назад

Сообщения: 548

Участник с: 18 сентября 2009

Добро день.

Идут атаки на сайты. Сайты стоят за ASA5510.
ASA тупо не справляется )
Возникла мысль перед ней поставить машинку с двумя интерфейсами. поднять мост между интерфейсами, на мост повесить ipfw с deny ip особо злостных атакеров.

Пробегал где то скрипт который заносит автоматом таких товарищей в бан.
Не подскажете?

Ну и кто, чем пользовался для защиты в таких ситуациях?

dima-smirnov	# 13 лет, 8 месяцев назад
Темы: 13 Сообщения: 166 Участник с: 06 декабря 2009	Так может быть просто iptables настроить должным образом. У меня вот например в файле: /etc/iptables/iptables.rules есть строчка -A INPUT -s 94.102.63.90/32 -j DROP Просто с этого IP задолбали пароль к ssh подбирать. Вот правда как это все автоматизировать - я не задумывался, не так много атак

dima-smirnov

# 13 лет, 8 месяцев назад

Темы: 13

Сообщения: 166

Участник с: 06 декабря 2009

Так может быть просто iptables настроить должным образом. У меня вот например
в файле: /etc/iptables/iptables.rules есть строчка

-A INPUT -s 94.102.63.90/32 -j DROP

Просто с этого IP задолбали пароль к ssh подбирать.
Вот правда как это все автоматизировать - я не задумывался, не так много атак

amigo	# 13 лет, 8 месяцев назад
Темы: 35 Сообщения: 2126 Участник с: 05 февраля 2007	Dima Smirnov Просто с этого IP задолбали пароль к ssh подбирать. fail2ban Dima Smirnov Вот правда как это все автоматизировать - я не задумывался, не так много атак а вообще перевесь ssh на другой порт и используй авторизацию только по ключам. Разберемся, голубчик!

amigo

# 13 лет, 8 месяцев назад

Темы: 35

Сообщения: 2126

Участник с: 05 февраля 2007

Dima Smirnov
Просто с этого IP задолбали пароль к ssh подбирать.

fail2ban

Dima Smirnov
Вот правда как это все автоматизировать - я не задумывался, не так много атак

а вообще перевесь ssh на другой порт и используй авторизацию только по ключам.

Разберемся, голубчик!

zubastiy	# 13 лет, 8 месяцев назад
Темы: 136 Сообщения: 548 Участник с: 18 сентября 2009	Нашел http://deflate.medialayer.com/ для iptables или apf

mango	# 13 лет, 8 месяцев назад
Темы: 43 Сообщения: 1521 Участник с: 18 декабря 2008	для ссш sshd_config # например поменять порт Port 3422 # через пробел указать пользователей которым разрешено подключение по ссш AllowUsers admin user1 user2 ну и “в наглую” указать в /etc/hosts.deny забаненые IP адреса А вообще вариантов множество ;-)

mango

# 13 лет, 8 месяцев назад

Темы: 43

Сообщения: 1521

Участник с: 18 декабря 2008

для ссш sshd_config

# например поменять порт 
Port 3422
# через пробел указать пользователей которым разрешено подключение по ссш
AllowUsers admin user1 user2

ну и “в наглую” указать в /etc/hosts.deny забаненые IP адреса

А вообще вариантов множество ;-)

dima-smirnov	# 13 лет, 8 месяцев назад
Темы: 13 Сообщения: 166 Участник с: 06 декабря 2009	fail2ban Спасибо за наводку, посмотрю обязательно что она делает а вообще перевесь ssh на другой порт и используй авторизацию только по ключам. Пока не задавался подобной задачей, т к атак почти нету в последнее время, а если и есть то единичные P.S. nmap ведь покажет этот порт все-равно открытым ?

dima-smirnov

# 13 лет, 8 месяцев назад

Темы: 13

Сообщения: 166

Участник с: 06 декабря 2009

fail2ban

Спасибо за наводку, посмотрю обязательно что она делает

а вообще перевесь ssh на другой порт и используй авторизацию только по ключам.

Пока не задавался подобной задачей, т к атак почти нету в последнее время, а если и есть то единичные

P.S. nmap ведь покажет этот порт все-равно открытым ?

cac2s	# 13 лет, 8 месяцев назад
Темы: 6 Сообщения: 277 Участник с: 10 января 2009	Dima Smirnov fail2ban nmap ведь покажет этот порт все-равно открытым ? iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP + ... FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP ... FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP ... FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP ... FIN,SYN,RST,PSH,ACK,URG NONE -j DROP ... SYN,RST SYN,RST -j DROP ... FIN,SYN FIN,SYN -j DROP и не покажет ;)

cac2s

# 13 лет, 8 месяцев назад

Темы: 6

Сообщения: 277

Участник с: 10 января 2009

Dima Smirnov
fail2ban
nmap ведь покажет этот порт все-равно открытым ?

iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
+
... FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP 
... FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP 
... FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
... FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
... SYN,RST SYN,RST -j DROP 
... FIN,SYN FIN,SYN -j DROP

и не покажет ;)

dima-smirnov	# 13 лет, 8 месяцев назад
Темы: 13 Сообщения: 166 Участник с: 06 декабря 2009	cac2s Dima Smirnov fail2ban nmap ведь покажет этот порт все-равно открытым ? iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP и не покажет ;) Спасибо! Буду эксперементировать. А вот fail2ban отличная вещь! Свой сервак сам от себя заблокировал на 10 минут =)

cac2s	# 13 лет, 8 месяцев назад
Темы: 6 Сообщения: 277 Участник с: 10 января 2009	вспомнил: можно ещё задействовать ограничение на количество попыток соединений по пустым/непрослушиваемым портам. напр., если у вас есть веб-сервер (http + https) и ssh: iptables -A INPUT -m recent --rcheck --seconds 300 --name PORTSCAN -j DROP iptables -A INPUT -p tcp -m multiport ! --dports $HTTP_PORT,$HTTPS_PORT,$SSH_PORT -m limit --limit 5/min -m recent --set --name PORTSCAN -j DROP блокируем на 5 минут IP, с которого в течении 1 минуты было больше 4 попыток соединения не на ssh,http,https порты съевших не одну собаку прошу подправить, если где-то накосячил :)

cac2s

# 13 лет, 8 месяцев назад

Темы: 6

Сообщения: 277

Участник с: 10 января 2009

вспомнил:
можно ещё задействовать ограничение на количество попыток соединений по пустым/непрослушиваемым портам.
напр., если у вас есть веб-сервер (http + https) и ssh:

iptables -A INPUT -m recent --rcheck --seconds 300 --name PORTSCAN -j DROP
iptables -A INPUT -p tcp -m multiport ! --dports $HTTP_PORT,$HTTPS_PORT,$SSH_PORT -m limit --limit 5/min -m recent --set --name PORTSCAN -j DROP

блокируем на 5 минут IP, с которого в течении 1 минуты было больше 4 попыток соединения не на ssh,http,https порты

съевших не одну собаку прошу подправить, если где-то накосячил :)

amigo	# 13 лет, 8 месяцев назад
Темы: 35 Сообщения: 2126 Участник с: 05 февраля 2007	Dima Smirnov P.S. nmap ведь покажет этот порт все-равно открытым ? Дело даже не столько в этом, сколько в 22-й порт долбят обычно боты. Не ужели Вы думаете, что какой-то хакер сидит и руками перебирает пароли? :) Разберемся, голубчик!