Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2017-11-27 18:05:31

  hubot - Użytkownik

hubot
Użytkownik
Zarejestrowany: 2017-04-13

Dziwne alerty od PSAD

PSAD przez pewien moment bez przerwy blokowal mi DNS-y i otrzymywalem mnostwo w iptables wpisow podobnych do tych:

Kod:

 Chain PSAD_BLOCK_FORWARD (1 references)
num target prot opt source destination
1 DROP all -- anywhere 185.56.82.30
2 DROP all -- 185.56.82.30 anywhere
3 DROP all -- anywhere prg02s12-in-f3.1e100.net
4 DROP all -- prg02s12-in-f3.1e100.net anywhere
5 DROP all -- anywhere waw02s13-in-f3.1e100.net
6 DROP all -- mil02s06-in-f3.1e100.net anywhere
7 DROP all -- anywhere cable-77-221-1-180.dynamic.telemach.ba
8 DROP all -- cable-77-221-1-180.dynamic.telemach.ba anywhere
9 DROP all -- anywhere swiftdesign.us
10 DROP all -- swiftdesign.us anywhere
11 DROP all -- anywhere 5.233.forpsi.net
12 DROP all -- 5.233.forpsi.net anywhere
13 DROP all -- anywhere lapsedpacifist.patternsinthevoid.net
14 DROP all -- lapsedpacifist.patternsinthevoid.net anywhere
15 DROP all -- anywhere dns2.aruba.it
16 DROP all -- dns2.aruba.it anywhere
17 DROP all -- anywhere V.27ter.dialup.fr
18 DROP all -- V.27ter.dialup.fr anywhere
19 DROP all -- anywhere 188.214.30.98
20 DROP all -- 188.214.30.98 anywhere
21 DROP all -- anywhere tor.ebait.org
22 DROP all -- tor.ebait.org anywhere
23 DROP all -- anywhere desperado.tor-relay.io
24 DROP all -- desperado.tor-relay.io anywhere
25 DROP all -- anywhere dns.aruba.it
26 DROP all -- dns.aruba.it anywhere
27 DROP all -- anywhere 173.199.71.11.vultr.com
28 DROP all -- 173.199.71.11.vultr.com anywhere

Chain PSAD_BLOCK_INPUT (1 references)
num target prot opt source destination
1 DROP all -- 185.56.82.30 anywhere
2 DROP all -- bud02s25-in-f3.1e100.net anywhere
3 DROP all -- mil02s06-in-f3.1e100.net anywhere
4 DROP all -- cable-77-221-1-180.dynamic.telemach.ba anywhere
5 DROP all -- swiftdesign.us anywhere
6 DROP all -- 5.233.forpsi.net anywhere
7 DROP all -- lapsedpacifist.patternsinthevoid.net anywhere
8 DROP all -- dns2.aruba.it anywhere
9 DROP all -- V.27ter.dialup.fr anywhere
10 DROP all -- 188.214.30.98 anywhere
11 DROP all -- tor.ebait.org anywhere
12 DROP all -- desperado.tor-relay.io anywhere
13 DROP all -- dns.aruba.it anywhere
14 DROP all -- 173.199.71.11.vultr.com anywhere

Chain PSAD_BLOCK_OUTPUT (1 references)
num target prot opt source destination
1 DROP all -- anywhere 185.56.82.30
2 DROP all -- anywhere prg02s12-in-f3.1e100.net
3 DROP all -- anywhere waw02s13-in-f3.1e100.net
4 DROP all -- anywhere cable-77-221-1-180.dynamic.telemach.ba
5 DROP all -- anywhere swiftdesign.us
6 DROP all -- anywhere 5.233.forpsi.net
7 DROP all -- anywhere lapsedpacifist.patternsinthevoid.net
8 DROP all -- anywhere dns2.aruba.it
9 DROP all -- anywhere V.27ter.dialup.fr
10 DROP all -- anywhere 188.214.30.98
11 DROP all -- anywhere tor.ebait.org
12 DROP all -- anywhere desperado.tor-relay.io
13 DROP all -- anywhere 173.199.71.11.vultr.com

Po restarcie VPS-a:

Kod:

 Chain PSAD_BLOCK_FORWARD (1 references)
target prot opt source destination
DROP all -- anywhere prg02s12-in-f3.1e100.net
DROP all -- prg02s12-in-f3.1e100.net anywhere
DROP all -- anywhere google-public-dns-b.google.com
DROP all -- google-public-dns-b.google.com anywhere
DROP all -- anywhere 123.120.178.189
DROP all -- 123.120.178.189 anywhere
DROP all -- anywhere 186-143-172-163.rev.cloud.scaleway.com
DROP all -- 186-143-172-163.rev.cloud.scaleway.com anywhere
DROP all -- anywhere 166.70.170.234
DROP all -- 166.70.170.234 anywhere
DROP all -- anywhere bakunin.gtor.org
DROP all -- bakunin.gtor.org anywhere
DROP all -- anywhere 51.5.244.4
DROP all -- 51.5.244.4 anywhere
DROP all -- anywhere google-public-dns-a.google.com
DROP all -- google-public-dns-a.google.com anywhere

Chain PSAD_BLOCK_INPUT (1 references)
target prot opt source destination
DROP all -- prg02s12-in-f3.1e100.net anywhere
DROP all -- google-public-dns-b.google.com anywhere
DROP all -- 123.120.178.189 anywhere
DROP all -- 186-143-172-163.rev.cloud.scaleway.com anywhere
DROP all -- 166.70.170.234 anywhere
DROP all -- bakunin.gtor.org anywhere
DROP all -- 51.5.244.4 anywhere
DROP all -- google-public-dns-a.google.com anywhere

Chain PSAD_BLOCK_OUTPUT (1 references)
target prot opt source destination
DROP all -- anywhere prg02s12-in-f3.1e100.net
DROP all -- anywhere google-public-dns-b.google.com
DROP all -- anywhere 123.120.178.189
DROP all -- anywhere 186-143-172-163.rev.cloud.scaleway.com
DROP all -- anywhere 166.70.170.234
DROP all -- anywhere bakunin.gtor.org
DROP all -- anywhere 51.5.244.4
DROP all -- anywhere google-public-dns-a.google.com

Czy jest to powód do obaw o bezpieczeństwo serwera?

Offline

 

#2  2017-11-27 18:13:53

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Dziwne alerty od PSAD

Co to jest ten PSAD i po co to?

Pytam, bo znacznie bardziej "ekologicznie" działa sam netfilter w tablicy RAW:
np:

Kod:

iptables -t raw -S | grep wypad
-A PREROUTING -m set --match-set wypad src -j SET --add-set wypad src --exist --timeout 86400
-A PREROUTING ! -i lo -p tcp -m multiport --dports 22,113,445,1433,1512,2175,2176,3306,5432 -j SET --add-set wypad src --timeout 3600
-A PREROUTING -m set --match-set wypad src -j DROP

Pozdro


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2017-11-27 18:24:01

  hubot - Użytkownik

hubot
Użytkownik
Zarejestrowany: 2017-04-13

Re: Dziwne alerty od PSAD

[quote="Jacekalek"]Co to jest ten PSAD i po co to?[/quote]
Ze strony PSAD można wyczytać:

psad: Intrusion Detection and Log Analysis with iptables
psad is a collection of three lightweight system daemons (two main daemons and one helper daemon) that run on Linux machines and analyze iptables log messages to detect port scans and other suspicious traffic. A typical deployment is to run psad on the iptables firewall where it has the fastest access to log data.[/quote]
Mam go po to, aby odsiać boty i użytkowników, którzy wykonują podejrzane rzeczy typu skanowanie portów.

Offline

 

#4  2017-11-27 18:35:44

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Dziwne alerty od PSAD

Skanowanie portów to podejrzana rzecz?

Koń by się uśmiał, Ty VPSa konfigurujesz czy kabaret założyłeś?

Takie "straszne skanowanie", to ma sam FW odwalić, bez żadnego zamulacza w przestrzeni użytkownika, wszystkie portsentry czy psady są zrobione dla lamów, którzy nie wiedzą, do czego służy FW, ani czym się różni tablica RAW od pozostałych tablic FW.

Prawdziwe zbrojenia, to jest zabezpieczenie zdalnego dostępu do faktycznych usług, jak SSH, Webmin czy bazy danych, a także narzędzia administracyjne na serwerze WWW, jak np phpmyadmin.

To by było na tyle
:P


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2017-11-29 05:03:50

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: Dziwne alerty od PSAD

[img]https://i1.kwejk.pl/k/obrazki/2017/11/467ec18a0e407c0825ad6a00837d9bdf.jpg[/img]
No ale taka prawda :p

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00010 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00146 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.21.247.78' WHERE u.id=1
0.00091 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.21.247.78', 1732387534)
0.00044 SELECT * FROM punbb_online WHERE logged<1732387234
0.00047 SELECT topic_id FROM punbb_posts WHERE id=315769
0.00008 SELECT id FROM punbb_posts WHERE topic_id=30087 ORDER BY posted
0.00037 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30087 AND t.moved_to IS NULL
0.00029 SELECT search_for, replace_with FROM punbb_censoring
0.00172 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30087 ORDER BY p.id LIMIT 0,25
0.00099 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30087
Total query time: 0.00688 s