SSH İle İçerden Bir IP'ye Yapılan Saldırıyı Önlemek

Tahribat.com Forumları
line

Web sitesi Güvenliği, DOS - DDOS Saldırıları...
line

SSH İle İçerden Bir IP'ye Yapılan Saldırıyı Önlemek

14/Mar/16 16:32 Kısayol Şikayet Özel Mesaj

Daft Ground
PLaXToR

Kayıt Tarihi: 08/Temmuz/2003

Selamlar,

Sunucu içerisinden bildiğim bir ip den, devamlı bir ip ye 1 gbitlik saldırı yapılıyor. Sunucuya tanımlı IP adresi, veri merkezinden saldırı cıkışı yapıyor nedeni ile devamlı bloklanıyor.

Bunu ssh ile nasıl engelleyebiliriz. (CentOs, whm yüklü)

Saygılar
PLaXToR tarafından 14/Mar/16 16:34 tarihinde düzenlenmiştir

If there are two or more ways to do something, and one of those ways can result in a catastrophe, then someone will do it.

Alıntı yap
14/Mar/16 19:04 Kısayol Şikayet Özel Mesaj

janni

Kayıt Tarihi: 06/Nisan/2010

bkz. iptables

Alıntı yap
15/Mar/16 03:14 Kısayol Şikayet Özel Mesaj

Daft Ground
PLaXToR

Kayıt Tarihi: 08/Temmuz/2003

ip adresini değil saldırıyı bloklamak istiyorum çünkü ip adresi iç ip eğer çıkışı kesersem üzerindeki siteler gider ip üzerinde siteler var sadece nereden/hangi scriptten saldırı çıkışı olduğunu görmek istiyorum.

If there are two or more ways to do something, and one of those ways can result in a catastrophe, then someone will do it.

Alıntı yap
15/Mar/16 08:24 Kısayol Şikayet Özel Mesaj
RockZs

Kayıt Tarihi: 30/Haziran/2002
Saldırı senin sunucudan oluyorsa saldırılan ip ye giden OUTPUT u iptables ile engelleyebilirsin. örneğin:
```
iptables -A OUTPUT -d 202.54.1.22 -j DROP
```
bu kuralı iptables listesinin en üstüne kaydetmek istersen de
```
iptables -I 1 OUTPUT -d 202.54.1.22 -j DROP
```
olarak kullanabilirsin. burada 1 sayısı, komutun ekleneceği satırı gösteriyor. satırları görüntülemek için:
```
iptables -L --line-numbers
```
yazabilirsin.

(bu metodun çalışacağını düşünüyorum lakin pratikte uygulamadım, emin değilim).
RockZs tarafından 15/Mar/16 08:27 tarihinde düzenlenmiştir
Alıntı yap

15/Mar/16 08:52

Kısayol

Şikayet

Özel Mesaj

janni

Kayıt Tarihi: 06/Nisan/2010

/sbin/iptables -A OUTPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP-ADDRESS-HERE} -j DROP
/sbin/iptables -A OUTPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP/SUBNET-HERE} -j DROP

dış çıkış portlarını bir kapatsana 80 25 22,

janni tarafından 15/Mar/16 08:52 tarihinde düzenlenmiştir

Alıntı yap

15/Mar/16 18:51 Kısayol Şikayet Özel Mesaj

Daft Ground
PLaXToR

Kayıt Tarihi: 08/Temmuz/2003

Yok hocam hala saldırı devam ediyor.

Network tarafındaki görülen log detayı aşağıdaki şekildedir ;

16:08:10.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:10.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:10.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI.33144 > 95.10.61.98.80: UDP, length 8192
16:08:10.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 842: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 842: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:11.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:12.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI.38173 > 95.10.61.98.80: UDP, length 8192
16:08:12.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 1522: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp
16:08:12.000000 00:0c:29:5c:4e:c1 > 00:24:38:9b:5b:00, IPv4, length 842: $BENIM_SERVER_IC_IP_ADRESI > 95.10.61.98: udp

If there are two or more ways to do something, and one of those ways can result in a catastrophe, then someone will do it.

Alıntı yap
15/Mar/16 19:15 Kısayol Şikayet Özel Mesaj

ManiakRhifat

Kayıt Tarihi: 22/Ağustos/2005

@Janni nin verdiği kodda tcp leri udp yaparsan çözülecek gibi.

eğer bir domates ışık hızına ulaşırsa kendisi ışık olur. bu sebeple ampulü yakdığınızda yanınızdan geçenlerin ışık mı yoksa domates mi oldunu bilemezsiniz. eğer ışık diyorsanız ışıktır, domates diyorsanız domatezdir. buna röletivite deriz.

Alıntı yap

15/Mar/16 20:24

Kısayol

Şikayet

Özel Mesaj

Daft Ground
PLaXToR

Kayıt Tarihi: 08/Temmuz/2003

/sbin/iptables -A OUTPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP-ADDRESS-HERE} -j DROP
/sbin/iptables -A OUTPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP/SUBNET-HERE} -j DROP

IP-ADRESS-HERE yazan yer iç ip mi yoksa saldırı yapılan ip mi? 

Birde
Komple 95.10.XX.XX olarak bütün portlardan tcp ve udp olarak herhangi bir ip den paket gönderimini nasıl kapatabiliriz?

If there are two or more ways to do something, and one of those ways can result in a catastrophe, then someone will do it.

Alıntı yap

Toplam Hit: 2147 Toplam Mesaj: 8
ssh ssh ile saldırı önleme ssh ile içerden dışarıya yapılan saldırıyı önlemek

Cevapla