Корейцы разбушевались…
Сегодня с утра наблюдается какая-то повышенная активность хакеров с корейскими IP-адресами.
Были замечены попытки подбора паролей на SSH со следующих IP-адресов:
| 14.36.36.243 | 14.32.0.0/11 |
| 14.42.239.118 | |
| 59.2.171.221 | 59.0.0.0/11 |
| 59.2.184.48 | |
| 59.17.15.76 | |
| 59.29.157.41 | |
| 61.76.108.200 | 61.72.0.0/14 |
| 119.195.195.78 | 119.192.0.0/11 |
| 119.199.168.176 | |
| 121.131.45.67 | 121.128.0.0/11 |
| 121.146.29.82 | |
| 121.159.193.229 | |
| 121.165.92.190 | 121.160.0.0/11 |
| 121.169.48.28 | |
| 121.187.210.87 | |
| 175.209.131.3 | 175.192.0.0/12 |
| 220.73.5.10 | 220.72.0.0/12 |
| 220.82.171.129 | |
| 221.153.60.141 | 221.144.0.0/12 |
| 222.97.10.66 | 222.96.0.0/12 |
Авг
2011
Как правильно использовать диапазон портов в –sport и –dport в iptables с использованием multiport
Ситуация: нужно закрыть UDP-порты в трёх диапазонах: 1…52, 54…122, 124…1024. При этом если стук в порт идёт из привилегированного порта (то есть с номером 0…1023), то соединение нужно просто сбрасывать, если же стук идёт с непривилегированного порта, то расценивать это как сканирование и выполнять какие-то действия.
Например, обращение к порту 137 по протоколу UDP может быть как атакой какого-нибудь червя, так и безобидным запросом от NetBIOS. И если запросы, исходящие от NetBIOS, вполне безобидны («рабочий» трафик), то сканирование портов обычно не так безобидно. Далее »
Автор: Wandering Soul, опубликовано в: Linux, комментариев: нетАвг
2010
Борьба с ботами-взломщиками средствами rsyslogd
В предыдущих частях статей цикла «Скажи «Нет!» взломщику» со взломщиками мы боролись при помощи связки swatch + iptables: swatch проводил анализ системного журнала сообщений, iptables использовался для блокировки непрошеных гостей.
Тем не менее, используя swatch на нескольких серверах, я не могу сказать, что я полностью им доволен: слишком уж он хрупок. Завершение дочернего tail приводит к тихой гибели самого swatch, в системе могут оставаться зомби и т.п.
Одна из альтернатив — использование rsyslogd. Далее »
Апр
2010
ProFTPd, FTPS и iptables
Ситуация: есть сервер, на котором крутится ProFTPd, а iptables настроен так, чтобы не разрешать лишних соединений (политика по умолчанию — DROP). При этом есть желание, чтобы FTP-сервер работал по протоколу FTPS и поддерживал пассивные соединения. Далее »
Апр
2010
Скажи «Нет!» взломщику: часть 2
Продолжение статьи Скажи «Нет!» взломщику.
Прошлый раз мы использовали swatch и iptables для защиты от нехороших ботов, пытающихся сделать наш компьютер частью ботнета. У приведённого способа был существенный недостаток: IP-адреса блокировались навсегда. Это плохо, так как IP-адреса можно подделывать.
Tamdiu discendum est, quamdiu vivas, поэтому сегодня рассмотрим вариант с блокированием атакующего на заданный промежуток времени. Далее »
Автор: Vladimir, опубликовано в: Linux, Безопасность, комментариев: 2Дек
2009
TCP/IP SYN+FIN Packet Filtering Weakness
Сканируя Nessus парочку хостов, столкнулся с тем, что Nessus определял, что система (Linux 2.6.x) не фильтрует TCP/IP пакеты, у которых установлены флаги SYN и FIN, что, теоретически, может привести к обходу межсетевого экрана (firewall). Далее »
Авг
2009
Борьба со спамом на уровне фильтра пакетов
Два месяца назад я писал об одном очень жестком методе борьбы с последствиями установки плагина Time spent on blog. Теперь этот же самый метод применяем на спам-ботах, которые безуспешно пытаются оставить спам в комментариях.
Отвлекусь от темы и отвечу на вопрос о необходимости применения жестких мер против спамеров: во-первых, они генерируют много паразитного трафика (трафик не бесплатен), во-вторых, они генерируют лишнюю нагрузку на сервер, в-третьих, вода камень точит — любую капчу можно подобрать. Далее »
Автор: Vladimir, опубликовано в: Linux, WordPress, Администрирование, комментариев: 6Июл
2009
Борьба с плагином Time spent on blog жёсткими методами
Вчера пришлось очень рано встать из-за SMS от монитора, наблюдающего за сервером: Apache лёг от DDoS-атаки. Как оказалось, DDoS был спровоцирован плагином Time Spent on Blog (http://iron.randombase.com/2008/05/31/wordpress-widget-time-spent-on-blog/, битая ссылка). Честно говоря, я никогда не понимал смысла в таких плагинах, тем более на очень посещаемых сайтах.
Плагин определяет, сколько времени пробыл пользователь на сайте (с двухсекундной точностью). Такая точность создаёт большие проблемы в тех случаях, когда средний посетитель открывает сразу три-пять страниц. Точность гарантируется конструкцией setTimeout("updateTime()", 2000), где updateTime() — функция, отправляющая асинхронный запрос на сервер.
Обновление текущей информации осуществляется в два запроса: SELECT для получения старых данных и INSERT/UPDATE для их обновления. Что характерно, в таблице нет никаких индексов, поэтому если у сайта обширная аудитория, а на сайте не настроена репликация, то MySQL очень быстро становится слабым звеном (что ни говори, а MyISAM не сильно хорошо работает с большим количеством параллельных записей). А IP-адрес посетителя (по нему делается выборка/обновление) хранится в базе строкой, что тоже далеко от идеала (экономнее хранить его числом).
Несколько сотен посетителей, открывшие по нескольку страниц, умудрились положить сервер. Далее »
Автор: Vladimir, опубликовано в: Linux, комментариев: 9Май
2009
Скажи «Нет!» взломщику
Устав от того, что ко мне на компьютер ломятся всякие придурки юные кулхацкеры, я решил принять меры.
Товарищи кулхацкеры лезут в систему с трёх сторон:
- Путем подбора пароля на SSH.
- Путем подбора пароля на FTP.
- Пытаясь использовать компьютер в качестве релея (это уже спамеры).
Есть и другие поползновения (например, попытки достучаться до MySQL, к которому снаружи добраться в принципе невозможно; или пытаясь навести «злобные пинги»), но три вышеописанных метода меня раздражают больше всего.
Стратегия защиты: Далее »
Автор: Vladimir, опубликовано в: Безопасность, комментариев: 15Июн
2008
Список адресов, с которых осуществляются попытки вторжения в систему
Анализируя журнал безопасности системы, я добавляю в iptables правила, блокирующие доступ с адресов, с которых замечены попытки вторжения. В большинстве случаев в черный список попадают товарищи, пытающиеся залезть в систему по SSH; иногда я добавляю злостных хакеров, пытающихся устроить DoS или проводящих SQL injection/сканирование на наличие уязвимостей (поиск таких вот товарищей приходится осуществлять вручную, ибо их методы очень различны, и автоматический анализатор, дающий хотя бы 85% гарантию обнаружения, я пока еще не написал).
В надежде, что этот список (оформленный в виде правил для iptables) окажется кому-нибудь полезным (он будет периодически обновляться), выкладываю его в общее пользование. Далее »
Май
2008
Меня зовут Владимир, я программист-фрилансер, специализирующийся на Web-программировании и програмировании под Linux.
По совместительству занимаюсь администрированием LAMP/LNMP-серверов и техническим переводом.
