Felhasználói eszközök

Eszközök a webhelyen


drop

Spamhaus DROP

TIPP: ha teheted, helyezd át a szolgáltatásaid nem általános portokra! Pl: az ssh alapértelmezetten a 22 portra települ, tedd át máshova, pl a 38022-re és máris harmad annyi támadó fog rád találni.

A DROP és a Fail2Ban magasan a két legjobb technika, amit eddig a támadó botok ellen láttam.

A Spamhaus DROP (Don't Router Or Peer) projekt (http://www.spamhaus.org/drop/) célja, hogy összegyűjtse a védelmi rendszer által felismert ssh támadó botok IP címét.

További IPeket nyerhetünk a ZEUS (https://zeustracker.abuse.ch/blocklist.php) projektből.

Ezt az adatbázist felhasználva az iptables segítségével a rossz szándékú kapcsolatokat már a kapcsolódás első fázisában ki tudjuk tiltani.

A használatához néhány egyéni scriptre lesz szükségünk.

Lista letöltő és frissítő script

Ajánlott a /etc könyvtárban létrehozni egy könyvtárt a scripteknek. Legyen ez a /etc/iptables, majd abban létrehozni a letöltő scriptünket, a végén futtathatóvá tesszük (a példában a JOE szerkesztőt használom, de bármi módon létre hozhatjuk a script filet):

# mkdir /etc/iptables
# cd /etc/iptables
# joe spamhaus-update.sh

A fájl tartalma legyen ez:

spamhaus-update.sh
#!/bin/bash
logger "[SPAMHAUSE_BLOCKER] Downloading blocklists"
 
/usr/bin/wget -c --no-check-certificate 'https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist' -O '/etc/iptables/zeus-list.txt' > /dev/null 2>&1
logger "[SPAMHAUSE_BLOCKER] Zeus Tracker IP blocklist updated"
 
/usr/bin/wget -c 'http://www.spamhaus.org/drop/drop.lasso' -O spamhaus.txt > /dev/null 2>&1
logger "[SPAMHAUSE_BLOCKER] SPAMHAUS   DROP (Don't Route Or Peer) List updated"
 
logger "[SPAMHAUSE_BLOCKER] Reloading IPTABLES  Rules"
 
/etc/init.d/iptables restart
/etc/iptables/add_spamhaus.sh

A script végén újraindítjuk a tűzfalat, hogy ürüljenek belőle az előző napi szabályok, de a rendszer alapértelmezett tűzfal szabályai megmaradjanak.

Az IPék blokkolási szabályait a következő script adja hozzá. Hozzuk létre az add_spamhaus.sh fájlt és másoljuk bele a következőket:

add_spamhaus.sh
#!/bin/bash
 
logger "[SPAMHAUSE_BLOCKER] Adding zeus list"
##### Drop packets originating from the IPs contained in the ZEUS TRACKER LOCKLIST
for i in $(cat /etc/iptables/zeus-list.txt | grep -v \#)
do
### echo BLOCKING $i
/sbin/iptables -t filter -A SPAMHAUSE-INPUT --src $i -j DROP
done
 
logger "[SPAMHAUSE_BLOCKER] Adding spamhause list"
##### Drop packets originating from the IPs contained in the SPAMHAUS DROP (Don't  Route Or Peer) list
for i in $(cat /etc/iptables/spamhaus.txt | grep -i SBL | cut -f  1 -d ';' )
do
### echo BLOCKING $i             
/sbin/iptables -t filter -A SPAMHAUSE-INPUT --src $i -j DROP
done
 
logger "[SPAMHAUSE_BLOCKER] Lists added"

Ezen scriptek sorrendbeli lefuttatása után a listákban szereplő IPékről érkező csomagokat a rendszer azonnal eldobja.

Napi automatikus frissítés

Napi automatikus frissítést a cron segítségével tudunk legegyszerűbben ütemezni. Ehhez csak be kell linkelni az update scriptünket:

# ln -s /etc/iptables/spamhaus-update.sh /etc/cron.daily/02updatespamhaus

Tűzfal újraindítása

Fontos, hogy ha bármikor újra indítjuk a tűzfalunkat, ezek a szabályok törlődni fognak.

Ha ezt nem akarjuk, szerkesszük a /etc/init.d/iptables scriptet és írjuk bele az add_spamhaus.sh indítását a start() függvénybe, a return parancs fölé.

Ez esetben távolítsuk el az add scriptet indító sort az update script végéről.

drop.txt · Utolsó módosítás: 2013/02/24 21:38 (külső szerkesztés)

Eszközök az oldalon