Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
Добавлена поддержка utf8mb4
24-апр
Telegram группа
10-апр
Обновление PHP
11-апр
Раздача читов

iptables & HLBrute
Статус пользователя kajfat
сообщение 12.3.2011, 22:31
Сообщение #1
Стаж: 15 лет

Сообщений: 20
Благодарностей: 2
Полезность: 77

Приспичило мне перекрыть воздух всякой школоте, которая пытается брутить сервера, попробовал прописать в iptables следующие правила:

Цитата
iptables -A INPUT -p udp -m multiport --dport 26000:30000 -m string --algo kmp --string "HLBrute" -m limit --limit 1/hour --limit-burst 5 -j LOG --log-prefix " HLBrute_Ataka "
iptables -A INPUT -p udp -m multiport --dport 26000:30000 -m string --algo kmp --string "HLBrute" -j DROP


Толку 0. Как хлбрут коннектился, так и коннектится. Может у кого была такая проблема?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   Цитировать сообщение
Статус пользователя 330863
сообщение 13.3.2011, 7:59
Сообщение #2


Стаж: 16 лет

Сообщений: 4358
Благодарностей: 1079
Полезность: 497

kajfat,
надо правила данные выше других правил связанные с портами 26000:30000
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя kajfat
сообщение 13.3.2011, 10:49
Сообщение #3
Стаж: 15 лет

Сообщений: 20
Благодарностей: 2
Полезность: 77

Отфильтровать через --string получается все что угодно, но не HLBrute. iptables его никак не ловить не хочет(


------------

Все заработало. Раньше не получалось, т.к. на сервере, который я пробовал брутить, IP уже был забанен, и HLBrute в пакетах просто не было уже. Сделал рестарт, попробовал поьрутить, и все дропнулось как надо

Отредактировал: kajfat, - 13.3.2011, 11:10
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя The_Razer
сообщение 13.3.2011, 14:53
Сообщение #4
Стаж: 18 лет

Сообщений: 297
Благодарностей: 48
Полезность: 34

Не забывайте, что необходимо чтобы все модули в ядре были включены. Посмотреть можно так.

Код
# cat /proc/net/ip_tables_matches


Отредактировал: The_Razer, - 13.3.2011, 14:54
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Lanuser
сообщение 19.3.2011, 4:00
Сообщение #5
Стаж: 15 лет

Сообщений: 1
Благодарностей: 1
Полезность: 0

Цитата(kajfat @ 12.3.2011, 23:31) *
Приспичило мне перекрыть воздух всякой школоте, которая пытается брутить сервера, попробовал прописать в iptables следующие правила:
Толку 0. Как хлбрут коннектился, так и коннектится. Может у кого была такая проблема?


HE PAbotaeT
I hope you don't mind if i ask this in English:
Centos 4 on OpenVZ

iptables v1.2.11: invalid port/service `26000:30000' specified
Try `iptables -h' or 'iptables --help' for more information.

What can I do to use your command?

Thanks / Cpacibki
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя 330863
сообщение 19.3.2011, 10:10
Сообщение #6


Стаж: 16 лет

Сообщений: 4358
Благодарностей: 1079
Полезность: 497

Lanuser,
ядро пересобери и включи модули от netfilter
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Serj
сообщение 20.3.2011, 0:27
Сообщение #7


Стаж: 15 лет

Сообщений: 855
Благодарностей: 266
Полезность: 198

Эх, мне бы сейчас пригодились эти правила, т.к. какие-то школьники уже второй день хотят поиметь мой ркон) Приходится банить через addip
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя c0rax
сообщение 22.3.2011, 1:21
Сообщение #8


Стаж: 18 лет

Сообщений: 1077
Благодарностей: 530
Полезность: 884

Цитата(330863 @ 19.3.2011, 10:10) *
Lanuser,
ядро пересобери и включи модули от netfilter

Будь внимательнее:
У него OpenVZ виртуализация, в которой все контейнеры работают под одним общим ядром (которое не доступно для изменения из userspace окружения)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя lexikon
сообщение 2.5.2011, 19:52
Сообщение #9


Стаж: 17 лет

Сообщений: 35
Благодарностей: 27
Полезность: 543

подниму темку
ведь в фаерволе мы сами открываем порты для нашего сервера, в тоже время не проверяем с какой порта источника идет коннект
что если помимо порта назначения dport указать порт источника чтобы пропускал только клиентский 27005 ( sport )
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя 330863
сообщение 2.5.2011, 20:00
Сообщение #10


Стаж: 16 лет

Сообщений: 4358
Благодарностей: 1079
Полезность: 497

lexikon,
тогда тех кто просит инфу про сервер будет дропать пакетики, и брут и сплойты небудут пахать, но сервер будет очень проблемно найти в пойсковике :\ (по идее невозможно)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя lexikon
сообщение 2.5.2011, 20:11
Сообщение #11


Стаж: 17 лет

Сообщений: 35
Благодарностей: 27
Полезность: 543

да бред все равно даже так пускает клиента на сервер)
че делаю не так? ))
в консоли пишу clientport 2205..
правило sport выше правила на сервер
захожу без проблем

имхо будет все пахать если открыть нужные порты (!!)
вы сначало напишите правило) потестим...че тут демагогию разводить

Код
# ClientBlock
-A INPUT -p udp -m udp -m state ! --sport 27005 --state NEW,ESTABLISHED -j REJECT
# HLDS3
-A INPUT -p udp -m udp -m state -m length -m conntrack -m hashlimit --dport 27021:27030 --sport 27005 --state NEW,ESTABLISHED -j ACCEPT  --ctstate ESTABLISHED --length 33:1420 --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ACCEPT
# HLDS4
-A INPUT -p udp -m udp -m state -m length -m conntrack -m hashlimit --dport 27021:27030 --sport 27005 --state NEW,ESTABLISHED -j ACCEPT  --ctstate NEW --length 51:53 --hashlimit-upto 1/sec --hashlimit-burst 3 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new


Отредактировал: lexikon, - 2.5.2011, 20:12
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя 330863
сообщение 3.5.2011, 8:11
Сообщение #12


Стаж: 16 лет

Сообщений: 4358
Благодарностей: 1079
Полезность: 497

lexikon,
чтото с выше пропускает пакет ёмаё :\
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя coolman
сообщение 11.5.2011, 9:10
Сообщение #13


Стаж: 19 лет
Город: Екатеринбург

Сообщений: 1220
Благодарностей: 218
Полезность: 149

у меня тоже самое было :biggrin: , все дело в волшебных пузырьках :biggrin:
попробуй так:

iptables -A INPUT -p udp -m multiport --dports 27010:27030 -m string --algo kmp --string "HLBrute" -m hashlimit --hashlimit-upto 1/hour --hashlimit-burst 1 --hashlimit-htable-expire 3600000 --hashlimit-mode srcip --hashlimit-name HLBrute_Ataka -j LOG --log-prefix " HLBrute_Ataka "
iptables -A INPUT -p udp -m multiport --dports 27010:27030 -m string --algo kmp --string "HLBrute" -j DROP

dirol.gif

Отредактировал: coolman, - 11.5.2011, 9:11
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
« Предыдущая тема · Linux · Следующая тема »
 
  Тема закрытаНачать новую тему
 
0 пользователей и 1 гостей читают эту тему:
Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный
Сообщить другу · Версия для печати

Powered By Invision Power Board  © 2005-2026 
Counter Strike Support Community