LINUX.ORG.RU
ФорумGeneral

DoS


0

1

Добрый вечер. Подскажите пожалуйста. Меня недавно начал досить какой то хакерок недомерок, возомнил себя супер умным. Есть ли те кто понимает в игровом сервере Counter-Strike 1.6? Уже много чего пытаюсь сделать, не получается заблочить, IP в логах его нахожу, в iptables правило
-A RH-Firewall-1-INPUT -s 178.129.0.0/24 -j DROP
Не помогает.Забанить его на самом сервере не могу, так как он не отображается в списке, а через программу для мониторинга он под знаком "?" иначе говоря fake player... Он достал уже весь сервер...Если есть те кто разбирается в этом, или как хотя бы на стороне linux'a обеспечит защиту, может какое правило еще...стоит вот это но не помогает все равно:
-A RH-Firewall-1-INPUT -p udp -m udp --dport 27015 -m hashlimit --hashlimit-upto 200/sec --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name CS -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 27015 -j DROP


[специалистам по всему] скачки напряжения
[btrfs] как смонтировать снимок раздела?

178.129.0.0/24

Вы уверены что IP атакующего принадлежит к данной подсети?

-A RH-Firewall-1-INPUT -s 178.129.0.0/24 -j DROP

Можно взглянуть на вывод iptables-save? Возможно правила «выше» вашего пропускают пакеты с атакующего компьютера.

Также хотелось бы видеть логи hlds.

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev 
# Generated by iptables-save v1.4.6 on Mon Aug  9 05:59:59 2010
*mangle
:PREROUTING ACCEPT [16854:11839277]
:INPUT ACCEPT [1948:152977]
:FORWARD ACCEPT [14671:11661184]
:OUTPUT ACCEPT [1743:220979]
:POSTROUTING ACCEPT [16414:11882163]
COMMIT
# Completed on Mon Aug  9 05:59:59 2010
# Generated by iptables-save v1.4.6 on Mon Aug  9 05:59:59 2010
*nat
:PREROUTING ACCEPT [853:72990]
:OUTPUT ACCEPT [10:752]
:POSTROUTING ACCEPT [0:0]
[187:10918] -A POSTROUTING -o ppp0 -j MASQUERADE 
COMMIT
# Completed on Mon Aug  9 05:59:59 2010
# Generated by iptables-save v1.4.6 on Mon Aug  9 05:59:59 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [1957:806381]
:OUTPUT ACCEPT [2001:180284]
:RH-Firewall-1-INPUT - [0:0]
[1059:75013] -A INPUT -j RH-Firewall-1-INPUT 
-A RH-Firewall-1-INPUT -p udp -m udp --dport 27015 -m hashlimit --hashlimit-upto 200/sec --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name CS -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 27015 -j DROP
-A RH-Firewall-1-INPUT -s 178.129.125.114 -p udp -m udp --dport 27015 -j DROP
-A RH-Firewall-1-INPUT -s 178.129.0.0/24 -p udp -m udp --dport 27015 -j DROP
-A RH-Firewall-1-INPUT -s 178.129.105.163 -p udp -m udp --dport 27015 -j DROP
[0:0] -A RH-Firewall-1-INPUT -i lo -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p esp -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p ah -j ACCEPT 
[1005:70358] -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
[6:360] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
[0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
[0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT 
[15:772] -A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 27015 -j ACCEPT
-A RH-Firewall-1-INPUT -s 178.129.0.0/24 -j DROP
-A RH-Firewall-1-INPUT -s 178.129.69.118 -j DROP
-A RH-Firewall-1-INPUT -s 218.241.0.0/24 -j DROP 
-A RH-Firewall-1-INPUT -s 218.203.0.0/24 -j DROP
-A RH-Firewall-1-INPUT -s 202.51.0.0/24 -j DROP
-A RH-Firewall-1-INPUT -s 178.129.69.118 -j DROP
-A RH-Firewall-1-INPUT -s 91.197.171.3 -j DROP
-A RH-Firewall-1-INPUT -s 193.200.0.0/24 -j DROP
-A RH-Firewall-1-INPUT -s 109.161.0.0/255.255.0.0 -j DROP
-A RH-Firewall-1-INPUT -s 109.161.88.108 -j DROP
[0:0] -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 27016 -j ACCEPT
[0:0] -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 27017 -j ACCEPT
[0:0] -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 27018 -j ACCEPT
[33:3523] -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Mon Aug  9 05:59:59 2010

Логи я подчистил что бы проще было его найти.На данный момент после рестарта сервера (Выкл/вкл) он пропал, я так понял ему необходимо вручную пустить свою программу на сервер.В логах я особо много ничего не видел...Единственно плагин antifullupdate выкидывал пару раз, и то не известно его или кого то другого, но бывало что и выкидывало как раз тот ник, который и являлся досером, но он потом все таки продолжал досить и плагин просто не справлялся и так же не понятно занимается он там fullupdate'ом или нет.Есть еще hlshield, но то же вряд ли что он блочит именно того кого надо.ВОт логи его: [2010-08-31 23:23:37] 109.161.88.108 rejected: hlds_fuck attack
[2010-08-31 23:23:37] 109.161.88.108 connect 48 1132158886 «\prot\3\unique\-1\raw\steam\cdkey\19e5f1e722f4ab6d0d41c82f89c65295» «\cl_dlmax\80\cl_lc\1\cl_lw\1\cl_updaterate\20\model\gordon\name\VPTXurzvR\topcolor\30\rate\20000»

Ascor
() автор топика
Ответ на: комментарий от Ascor

Предыдущий вид iptables скопировал из файла rules-save а сам вывод если что вот: 

# Generated by iptables-save v1.4.6 on Thu Sep  2 20:34:59 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [181854:86557174]
:OUTPUT ACCEPT [6458135:917578500]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 27015 -m hashlimit --hashlimit-upto 200/sec --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name CS -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 27015 -j DROP
-A RH-Firewall-1-INPUT -s 178.129.125.114/32 -p udp -m udp --dport 27015 -j DROP
-A RH-Firewall-1-INPUT -s 178.129.0.0/24 -p udp -m udp --dport 27015 -j DROP
-A RH-Firewall-1-INPUT -s 178.129.105.163/32 -p udp -m udp --dport 27015 -j DROP
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 27015 -j ACCEPT
-A RH-Firewall-1-INPUT -s 178.129.0.0/24 -j DROP
-A RH-Firewall-1-INPUT -s 178.129.69.118/32 -j DROP
-A RH-Firewall-1-INPUT -s 218.241.0.0/24 -j DROP
-A RH-Firewall-1-INPUT -s 218.203.0.0/24 -j DROP
-A RH-Firewall-1-INPUT -s 202.51.0.0/24 -j DROP
-A RH-Firewall-1-INPUT -s 178.129.69.118/32 -j DROP
-A RH-Firewall-1-INPUT -s 91.197.171.3/32 -j DROP
-A RH-Firewall-1-INPUT -s 193.200.0.0/24 -j DROP
-A RH-Firewall-1-INPUT -s 109.161.0.0/16 -j DROP
-A RH-Firewall-1-INPUT -s 109.161.88.108/32 -j DROP
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 27016 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 27017 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 27018 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Sep  2 20:34:59 2010
# Generated by iptables-save v1.4.6 on Thu Sep  2 20:34:59 2010
*nat
:PREROUTING ACCEPT [31311:1993410]
:OUTPUT ACCEPT [1367:86716]
:POSTROUTING ACCEPT [1280:76800]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Sep  2 20:34:59 2010
# Generated by iptables-save v1.4.6 on Thu Sep  2 20:34:59 2010
*mangle
:PREROUTING ACCEPT [5891315:476270692]
:INPUT ACCEPT [5689241:378192783]
:FORWARD ACCEPT [194568:97411977]
:OUTPUT ACCEPT [6457877:917619195]
:POSTROUTING ACCEPT [6652445:1015031172]
COMMIT
# Completed on Thu Sep  2 20:34:59 2010

Ascor
() автор топика
Ответ на: комментарий от Ascor 
-A RH-Firewall-1-INPUT -p udp -m udp --dport 27015 -m hashlimit --hashlimit-upto 200/sec --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name CS -j ACCEPT

Думаю атакующий компьютер все-таки попадает под это правило. Уменьшите допустимое количество пакетов в секунду, и блокируйте по IP адресу еще до прохождения этого правила.

Также настройте hlshield, чтобы он добавлял в iptables правила блокировки.

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

Извините, но вот по поводу того как настроить hlshield для связи с iptables я не видел. Если там не все так сложно, будьте добры, подскажите как?
Устанавливал я себе его с помощью данного файла hlshield2-install.sh.Далее просто установил и как я понял он работает как только включаешь сервер?
А фаил hlfirewall.pl я так понимаю содержит логи... Если да, то вот так примерно он выглядит.Можно заметить внизу строчку которая упоминает об iptables...

#!/usr/bin/perl

use strict;
use IO::Socket;
use POSIX qw(setsid);


# daemonize
defined(my $pid = fork);
exit(0) if $pid;
setsid;
umask 0;

my $sock = new IO::Socket::INET(LocalAddr => '127.0.0.1:6666', Proto => 'udp');
die "Could not create socket: $!\nMaybe HLFirewall already running?\n" unless $sock;

print "HLFirewall started\n";

while($sock->recv(my $datagram, 128))
  {
    my($port, $ipaddr) = sockaddr_in($sock->peername);
    my @lines = split(/\n/, $datagram);
    foreach(@lines)
      {
        my($level, $ip) = split(/:/);
        firewall($level, $ip);
      }
  }



sub firewall()
{
  my($level, $ip) = @_;

  if(0 == $level) { return; }

  my $args = "-A INPUT ";

  if(1 == $level)
    {
      $args .= "-p udp ";
    }

  $args .= "-s $ip -j DROP";

  system '/sbin/iptables', split(/ /, $args);
}

Ascor
() автор топика
Ответ на: комментарий от Ascor

В добавок к этому скажу.HLShield то поставил а вот проверить работает он или нет, не проверил. Оказывается и он не без проблем.

ERROR: ld.so: object './hlshield.so' from LD_PRELOAD cannot be preloaded: ignored.
ERROR: ld.so: object './hlshield.so' from LD_PRELOAD cannot be preloaded: ignored.

Ascor
() автор топика
Ответ на: комментарий от Ascor

Если вы хотите забанить 178.129.* (вижу, что 3й откет меняется в персональных -j DROP), то в правилах должно быть 178.129.0.0/16, а не /24

NightSpamer
()
Ответ на: комментарий от edigaryev

Вот с помощью такого не хитрого скрипта. http://194.187.207.245/script.txt Вот пришел с работы, меня опять атаковал он...пришлось перезапускать сервер опять.Баны не помогают, похожу IP другой.
PS.Скрипт весь не влез, я выложил его на веб сервер.

Ascor
() автор топика
Ответ на: комментарий от edigaryev

Проверял qconsole.log там черт ногу сломит, но я нашел, у него меняется только последние два блока, а 178.129.0.0 остается.Надеюсь он не через прокси.А что делать с hlshield я теперь вовсе не пойму, как он не грузится не понятно.

Ascor
() автор топика
Ответ на: комментарий от Ascor

HLShield v2.10 (INTEL) (c) 2007-2010 by Pacificatoru' http://hobby.sarichioi.com Это пишет в консоле во время запуска сервера, что значит что запустилось нормально, а дальше почти в самом конце пишет почему то:
ERROR: ld.so: object './hlshield.so' from LD_PRELOAD cannot be preloaded: ignored.
ERROR: ld.so: object './hlshield.so' from LD_PRELOAD cannot be preloaded: ignored.

Ascor
() автор топика
Ответ на: комментарий от edigaryev 
Exe version 1.1.2.6/Stdio (cstrike)[br]
Exe build: 16:56:12 Mar  8 2010 (4883)[br]
Ascor
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[специалистам по всему] скачки напряжения
General
[btrfs] как смонтировать снимок раздела?