31. 10. 2019 v 10:33, Michal Halenka
<michal.halenka(a)gmail.com>om>:
Ahoj,
můžeš prosím přidat i výpis:
iptables -vL
aby bylo vidět které pravidlo to "vyřešilo"?
Díky
MH
Dne 30. 10. 19 v 10:08 Petr Parolek napsal(a):
Ahoj,
včera jsem trochu hledal na internetu a pomohlo mi přidat tyto
pravidla ze článku
https://javapipe.com/blog/iptables-ddos-protection/
a zdá se, že fungují:
### 1: Drop invalid packets ###
/sbin/iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
### 2: Drop TCP packets that are new and are not SYN ###
/sbin/iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack
--ctstate NEW -j DROP
### 3: Drop SYN packets with suspicious MSS value ###
/sbin/iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate
NEW -m tcpmss ! --mss 536:65535 -j DROP
### 4: Block packets with bogus TCP flags ###
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags
FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN
FIN,SYN -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST
SYN,RST -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST
FIN,RST -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
FIN,PSH,URG -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
SYN,FIN,PSH,URG -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
SYN,RST,ACK,FIN,URG -j DROP
### 5: Block spoofed packets ###
/sbin/iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP
### 6: Drop ICMP (you usually don't need this protocol) ###
/sbin/iptables -t mangle -A PREROUTING -p icmp -j DROP
### 7: Drop fragments in all chains ###
/sbin/iptables -t mangle -A PREROUTING -f -j DROP
### 8: Limit connections per source IP ###
/sbin/iptables -A INPUT -p tcp -m connlimit --connlimit-above 111 -j
REJECT --reject-with tcp-reset
### 9: Limit RST packets ###
/sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -m limit --limit
2/s --limit-burst 2 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
### 10: Limit new TCP connections per second per source IP ###
/sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit
--limit 60/s --limit-burst 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP
### 1: Drop invalid packets ###
/sbin/iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
### 2: Drop TCP packets that are new and are not SYN ###
/sbin/iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack
--ctstate NEW -j DROP
### 3: Drop SYN packets with suspicious MSS value ###
/sbin/iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate
NEW -m tcpmss ! --mss 536:65535 -j DROP
### 4: Block packets with bogus TCP flags ###
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags
FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN
FIN,SYN -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST
SYN,RST -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST
FIN,RST -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
FIN,PSH,URG -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
SYN,FIN,PSH,URG -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
SYN,RST,ACK,FIN,URG -j DROP
### 5: Block spoofed packets ###
/sbin/iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP
### 6: Drop ICMP (you usually don't need this protocol) ###
/sbin/iptables -t mangle -A PREROUTING -p icmp -j DROP
### 7: Drop fragments in all chains ###
/sbin/iptables -t mangle -A PREROUTING -f -j DROP
### 8: Limit connections per source IP ###
/sbin/iptables -A INPUT -p tcp -m connlimit --connlimit-above 111 -j
REJECT --reject-with tcp-reset
### 9: Limit RST packets ###
/sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -m limit --limit
2/s --limit-burst 2 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
### 10: Limit new TCP connections per second per source IP ###
/sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit
--limit 60/s --limit-burst 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP
Petr
st 30. 10. 2019 v 10:02 odesílatel Pavel Snajdr <snajpa(a)snajpa.net> napsal:
Nejlip bude to na Internet nevystavovat v takovym pripade vubec ;)
Nebo jaky je toho duvod? Ja to nechapu. Je smyslem zamezit jakemukoliv dalsimu
vyhledavaci, co neni Google, aby vubec vzniknul?
Nebo proc proboha?
Vzdyt byt videt je podstatou toho byt na Internetu...
/snajpa
On 30 Oct 2019, at 09:59, V.K. <vencour(a)gmail.com> wrote:
Je něco proti něčemu dropovat obecně celý provoz z AS patřícího k oné IP adrese? Plus
nějaké porty povoluju.
To podle toho, jak se to u mne vyskytuje v logu a podle četnosti.
Vencour
On 30. 10. 19 9:52, zd nex wrote:
Tak jsem to trochu prozkoumal více, vypadá to že je to nějaký scanner. Nyní je neaktivní
(na žádném serveru to není) a vypadá to, že přistupuje z více obdobných adres např. -
každá z nich je z jiné části Amazonu (routing, compute) apod.. Vše je ale AWS Soul.
54.180.139.105
54.180.138.177
54.180.163.44
54.180.139.105
13.124.8.54
13.125.235.121
13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server
https://www.abuseipdb.com/check/54.180.139.105
https://www.abuseipdb.com/check/13.125.197.34
podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?
st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr <snajpa(a)snajpa.net> napsal:
... tak to prozkoumej, kdyz to rikas ;)
/snajpa
On 30 Oct 2019, at 07:04, zd nex <zdnexnet(a)gmail.com> wrote:
Ahojte,
popravdě jsem si toho také všiml, je to > vše na 443 nebo 80 portu. Většina adress je
Amazon south asia (seoul) + nějaký provider Leaseweb NL, je to na všech serverech. Trochu
by to asi stálo za prozkoumání. Není toho moc cca 50 -200. V minulosti to bylo víc, pak to
ustálo a asi se to oživuje?
Zdenek
út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa(a)snajpa.net> napsal:
>
> Ahoj,
>
> co myslis tim resit na infrastrukture? My Ti do trafficu sahat nebudeme,
> pokud to nebude prusvih velikosti, jako byl ten prusvih s memcached udp
> amplification utokama - nic takovyho nepozorujeme; kazdopadne je mozny,
> ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla vlna abuse
> notices, to nevypada).
>
> Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich dni hlavne
> napr. PHP-FPM, ktere ma remote code execution diru v urcitych setupech
> uz od PHP5... a na PHP7 je venku proof of concept exploit.
>
> /snajpa
>
> On 2019-10-29 15:28, Petr Parolek wrote:
>> Ahoj,
>>
>> už několik dnů na mé VPS pozoruju mnoho spojení se stavem SYN_RECV
>>
>> viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut -d:
-f1 |
>> sort | uniq -c | sort -n
>> 23 xxx.xxx.xxx.xxx
>> 23 xxx.xxx.xxx.xxx
>> ...
>>
>> okolo 20 IP adres.
>>
>> Mám se tím znepokojovat nebo je vše ok a vše by se mělo řešit na
>> infrastruktuře?
>>
>> Díky moc za postřehy a rady
>>
>>
>> Petr
>> _______________________________________________
>> Community-list mailing list
>> Community-list(a)lists.vpsfree.cz
>>
http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list(a)lists.vpsfree.cz
>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz