Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2017-11-27 18:05:31
hubot - 
Użytkownik
- hubot
- Użytkownik
- Zarejestrowany: 2017-04-13
Dziwne alerty od PSAD
PSAD przez pewien moment bez przerwy blokowal mi DNS-y i otrzymywalem mnostwo w iptables wpisow podobnych do tych:
Kod:
Chain PSAD_BLOCK_FORWARD (1 references) num target prot opt source destination 1 DROP all -- anywhere 185.56.82.30 2 DROP all -- 185.56.82.30 anywhere 3 DROP all -- anywhere prg02s12-in-f3.1e100.net 4 DROP all -- prg02s12-in-f3.1e100.net anywhere 5 DROP all -- anywhere waw02s13-in-f3.1e100.net 6 DROP all -- mil02s06-in-f3.1e100.net anywhere 7 DROP all -- anywhere cable-77-221-1-180.dynamic.telemach.ba 8 DROP all -- cable-77-221-1-180.dynamic.telemach.ba anywhere 9 DROP all -- anywhere swiftdesign.us 10 DROP all -- swiftdesign.us anywhere 11 DROP all -- anywhere 5.233.forpsi.net 12 DROP all -- 5.233.forpsi.net anywhere 13 DROP all -- anywhere lapsedpacifist.patternsinthevoid.net 14 DROP all -- lapsedpacifist.patternsinthevoid.net anywhere 15 DROP all -- anywhere dns2.aruba.it 16 DROP all -- dns2.aruba.it anywhere 17 DROP all -- anywhere V.27ter.dialup.fr 18 DROP all -- V.27ter.dialup.fr anywhere 19 DROP all -- anywhere 188.214.30.98 20 DROP all -- 188.214.30.98 anywhere 21 DROP all -- anywhere tor.ebait.org 22 DROP all -- tor.ebait.org anywhere 23 DROP all -- anywhere desperado.tor-relay.io 24 DROP all -- desperado.tor-relay.io anywhere 25 DROP all -- anywhere dns.aruba.it 26 DROP all -- dns.aruba.it anywhere 27 DROP all -- anywhere 173.199.71.11.vultr.com 28 DROP all -- 173.199.71.11.vultr.com anywhere Chain PSAD_BLOCK_INPUT (1 references) num target prot opt source destination 1 DROP all -- 185.56.82.30 anywhere 2 DROP all -- bud02s25-in-f3.1e100.net anywhere 3 DROP all -- mil02s06-in-f3.1e100.net anywhere 4 DROP all -- cable-77-221-1-180.dynamic.telemach.ba anywhere 5 DROP all -- swiftdesign.us anywhere 6 DROP all -- 5.233.forpsi.net anywhere 7 DROP all -- lapsedpacifist.patternsinthevoid.net anywhere 8 DROP all -- dns2.aruba.it anywhere 9 DROP all -- V.27ter.dialup.fr anywhere 10 DROP all -- 188.214.30.98 anywhere 11 DROP all -- tor.ebait.org anywhere 12 DROP all -- desperado.tor-relay.io anywhere 13 DROP all -- dns.aruba.it anywhere 14 DROP all -- 173.199.71.11.vultr.com anywhere Chain PSAD_BLOCK_OUTPUT (1 references) num target prot opt source destination 1 DROP all -- anywhere 185.56.82.30 2 DROP all -- anywhere prg02s12-in-f3.1e100.net 3 DROP all -- anywhere waw02s13-in-f3.1e100.net 4 DROP all -- anywhere cable-77-221-1-180.dynamic.telemach.ba 5 DROP all -- anywhere swiftdesign.us 6 DROP all -- anywhere 5.233.forpsi.net 7 DROP all -- anywhere lapsedpacifist.patternsinthevoid.net 8 DROP all -- anywhere dns2.aruba.it 9 DROP all -- anywhere V.27ter.dialup.fr 10 DROP all -- anywhere 188.214.30.98 11 DROP all -- anywhere tor.ebait.org 12 DROP all -- anywhere desperado.tor-relay.io 13 DROP all -- anywhere 173.199.71.11.vultr.com
Po restarcie VPS-a:
Kod:
Chain PSAD_BLOCK_FORWARD (1 references) target prot opt source destination DROP all -- anywhere prg02s12-in-f3.1e100.net DROP all -- prg02s12-in-f3.1e100.net anywhere DROP all -- anywhere google-public-dns-b.google.com DROP all -- google-public-dns-b.google.com anywhere DROP all -- anywhere 123.120.178.189 DROP all -- 123.120.178.189 anywhere DROP all -- anywhere 186-143-172-163.rev.cloud.scaleway.com DROP all -- 186-143-172-163.rev.cloud.scaleway.com anywhere DROP all -- anywhere 166.70.170.234 DROP all -- 166.70.170.234 anywhere DROP all -- anywhere bakunin.gtor.org DROP all -- bakunin.gtor.org anywhere DROP all -- anywhere 51.5.244.4 DROP all -- 51.5.244.4 anywhere DROP all -- anywhere google-public-dns-a.google.com DROP all -- google-public-dns-a.google.com anywhere Chain PSAD_BLOCK_INPUT (1 references) target prot opt source destination DROP all -- prg02s12-in-f3.1e100.net anywhere DROP all -- google-public-dns-b.google.com anywhere DROP all -- 123.120.178.189 anywhere DROP all -- 186-143-172-163.rev.cloud.scaleway.com anywhere DROP all -- 166.70.170.234 anywhere DROP all -- bakunin.gtor.org anywhere DROP all -- 51.5.244.4 anywhere DROP all -- google-public-dns-a.google.com anywhere Chain PSAD_BLOCK_OUTPUT (1 references) target prot opt source destination DROP all -- anywhere prg02s12-in-f3.1e100.net DROP all -- anywhere google-public-dns-b.google.com DROP all -- anywhere 123.120.178.189 DROP all -- anywhere 186-143-172-163.rev.cloud.scaleway.com DROP all -- anywhere 166.70.170.234 DROP all -- anywhere bakunin.gtor.org DROP all -- anywhere 51.5.244.4 DROP all -- anywhere google-public-dns-a.google.com
Czy jest to powód do obaw o bezpieczeństwo serwera?
Offline
#2 2017-11-27 18:13:53
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Dziwne alerty od PSAD
Co to jest ten PSAD i po co to?
Pytam, bo znacznie bardziej "ekologicznie" działa sam netfilter w tablicy RAW:
np:
Kod:
iptables -t raw -S | grep wypad -A PREROUTING -m set --match-set wypad src -j SET --add-set wypad src --exist --timeout 86400 -A PREROUTING ! -i lo -p tcp -m multiport --dports 22,113,445,1433,1512,2175,2176,3306,5432 -j SET --add-set wypad src --timeout 3600 -A PREROUTING -m set --match-set wypad src -j DROP
Pozdro
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2017-11-27 18:24:01
hubot - Użytkownik
- hubot
- Użytkownik
- Zarejestrowany: 2017-04-13
Re: Dziwne alerty od PSAD
[quote="Jacekalek"]Co to jest ten PSAD i po co to?[/quote]
Ze strony PSAD można wyczytać:
psad: Intrusion Detection and Log Analysis with iptables
psad is a collection of three lightweight system daemons (two main daemons and one helper daemon) that run on Linux machines and analyze iptables log messages to detect port scans and other suspicious traffic. A typical deployment is to run psad on the iptables firewall where it has the fastest access to log data.[/quote]
Mam go po to, aby odsiać boty i użytkowników, którzy wykonują podejrzane rzeczy typu skanowanie portów.
Offline
#4 2017-11-27 18:35:44
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Dziwne alerty od PSAD
Skanowanie portów to podejrzana rzecz?
Koń by się uśmiał, Ty VPSa konfigurujesz czy kabaret założyłeś?
Takie "straszne skanowanie", to ma sam FW odwalić, bez żadnego zamulacza w przestrzeni użytkownika, wszystkie portsentry czy psady są zrobione dla lamów, którzy nie wiedzą, do czego służy FW, ani czym się różni tablica RAW od pozostałych tablic FW.
Prawdziwe zbrojenia, to jest zabezpieczenie zdalnego dostępu do faktycznych usług, jak SSH, Webmin czy bazy danych, a także narzędzia administracyjne na serwerze WWW, jak np phpmyadmin.
To by było na tyle
:P
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2017-11-29 05:03:50
lis6502 - Łowca lamerów
- lis6502
- Łowca lamerów
- Skąd: Stalinogród
- Zarejestrowany: 2008-12-04
Re: Dziwne alerty od PSAD
[img]https://i1.kwejk.pl/k/obrazki/2017/11/467ec18a0e407c0825ad6a00837d9bdf.jpg[/img]
No ale taka prawda :p
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00128 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.217.132.107' WHERE u.id=1 |
| 0.00060 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.217.132.107', 1732388853) |
| 0.00038 | SELECT * FROM punbb_online WHERE logged<1732388553 |
| 0.00089 | SELECT topic_id FROM punbb_posts WHERE id=315764 |
| 0.00004 | SELECT id FROM punbb_posts WHERE topic_id=30087 ORDER BY posted |
| 0.00026 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30087 AND t.moved_to IS NULL |
| 0.00030 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00121 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30087 ORDER BY p.id LIMIT 0,25 |
| 0.00071 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30087 |
| Total query time: 0.0058 s | |