Брутфорс с моего сервера
Наверно в жизни каждого админа случается ситуация, когда меры предосторожности не спасают и сервер взламывают.
Примерно это случилось и со мной.
Всё работает как работало. Однако провайдер прислал письмо в котором написано что с моего ИПа происходит брутфорс и ип уже попал в «нехорошие листы».
Но проблема заключается в следующем: Я не знаю откуда начинать искать проблему.
Пароли поменял. конфиг ssh пересмотрел...
Сервер является шлюзом для сети, и всё...
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# POS terminal
-A POSTROUTING -o eth2 -s 192.168.3.69 -j MASQUERADE
# Admin laptop
-A POSTROUTING -o eth2 -s 192.168.3.71 -j MASQUERADE
#Proxy
-A POSTROUTING -o eth2 -s 192.168.3.2 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 -d 10.112.0.0/16 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 -d 10.18.0.0/16 -o eth1 -j MASQUERADE
# обновления спец софта по этому порту с этого компа
-A POSTROUTING -p tcp -s k018w7.domain.local --dport 4728 -j MASQUERADE
COMMIT
*mangle
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -m pkttype --pkt-type multicast -j DROP
-A FORWARD -m pkttype --pkt-type broadcast -j DROP
-A FORWARD -m pkttype --pkt-type multicast -j DROP
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
#-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m pkttype --pkt-type broadcast -j DROP
-A RH-Firewall-1-INPUT -m pkttype --pkt-type multicast -j DROP
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p 80 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.0.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.2.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.0.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.1.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.2.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:15:5D:01:FA:05
inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:58330348 errors:0 dropped:110 overruns:0 frame:0
TX packets:55969363 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:36956538568 (34.4 GiB) TX bytes:42539222579 (39.6 GiB)
Interrupt:9 Base address:0x8000
eth1 Link encap:Ethernet HWaddr 00:15:5D:01:FA:07
inet addr:10.0.0.3 Bcast:10.0.0.255 Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:62486226 errors:0 dropped:0 overruns:0 frame:0
TX packets:53569930 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:41289311855 (38.4 GiB) TX bytes:36289704553 (33.7 GiB)
Interrupt:9 Base address:0xa000
eth1:0 Link encap:Ethernet HWaddr 00:15:5D:01:FA:07
inet addr:10.18.245.130 Bcast:10.18.245.143 Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:9 Base address:0xa000
eth1:1 Link encap:Ethernet HWaddr 00:15:5D:01:FA:07
inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:9 Base address:0xa000
eth2 Link encap:Ethernet HWaddr 00:15:5D:01:FA:08
inet addr:217.4.177.186 Bcast:217.67.177.191 Mask:255.255.255.248
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:327668460 errors:0 dropped:63 overruns:0 frame:0
TX packets:437919588 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:56480322007 (52.6 GiB) TX bytes:40791422945 (37.9 GiB)
Interrupt:9 Base address:0xc000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10472 errors:0 dropped:0 overruns:0 frame:0
TX packets:10472 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1512392 (1.4 MiB) TX bytes:1512392 (1.4 MiB)
интерфейс eth0 смотрит в локальную сеть
интерфейс eth1 смотрит в сторону VPN1 тунеля за которым другая подсеть
интерфейс eth1:0 смотрит в сторону VPN2 тунеля за которым другая подсеть
интерфейс eth1:1 смотрит в сторону VPN2 тунеля за которым другая2 подсеть
интерфейс eth2 смотрит в сторону мира (global internet).
eth0 - местная локальная сеть
eth1 - локальная сеть второго офиса
eth1:0 - сеть чужой компании которая предоставляет нам доступ к своим http ресурсам
eth1:1 - сеть чужой компании которая предоставляет нам доступ к своим http ресурсам
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
217.4.177.184 * 255.255.255.248 U 0 0 0 eth2
10.18.245.128 * 255.255.255.240 U 0 0 0 eth1
10.0.0.0 * 255.255.255.240 U 0 0 0 eth1
192.168.3.0 * 255.255.255.0 U 0 0 0 eth0
10.0.1.0 * 255.255.255.0 U 0 0 0 eth1
10.0.2.0 10.0.1.1 255.255.255.0 UG 0 0 0 eth1
192.168.1.0 10.0.0.2 255.255.255.0 UG 0 0 0 eth1
192.168.0.0 10.0.0.1 255.255.255.0 UG 0 0 0 eth1
10.18.0.0 10.18.245.129 255.255.0.0 UG 0 0 0 eth1
10.112.0.0 10.18.245.129 255.255.0.0 UG 0 0 0 eth1
default 217-67-177-185. 0.0.0.0 UG 0 0 0 eth2
просьба помочь разобраться в ситуации