LINUX.ORG.RU

Избранные сообщения modjo

Брутфорс с моего сервера

Форум — Admin

Наверно в жизни каждого админа случается ситуация, когда меры предосторожности не спасают и сервер взламывают.
Примерно это случилось и со мной.
Всё работает как работало. Однако провайдер прислал письмо в котором написано что с моего ИПа происходит брутфорс и ип уже попал в «нехорошие листы».


Но проблема заключается в следующем: Я не знаю откуда начинать искать проблему.
Пароли поменял. конфиг ssh пересмотрел...


Сервер является шлюзом для сети, и всё...

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# POS terminal
-A POSTROUTING -o eth2 -s 192.168.3.69 -j MASQUERADE
# Admin laptop
-A POSTROUTING -o eth2 -s 192.168.3.71 -j MASQUERADE
#Proxy
-A POSTROUTING -o eth2 -s 192.168.3.2 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 -d 10.112.0.0/16 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 -d 10.18.0.0/16 -o eth1 -j MASQUERADE

# обновления спец софта по этому порту с этого компа
-A POSTROUTING -p tcp -s k018w7.domain.local --dport 4728 -j MASQUERADE

COMMIT


*mangle
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -m pkttype --pkt-type multicast -j DROP
-A FORWARD -m pkttype --pkt-type broadcast -j DROP
-A FORWARD -m pkttype --pkt-type multicast -j DROP
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
#-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m pkttype --pkt-type broadcast -j DROP
-A RH-Firewall-1-INPUT -m pkttype --pkt-type multicast -j DROP
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p 80 -j ACCEPT

-A RH-Firewall-1-INPUT -s 192.168.0.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.2.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.0.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.1.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.2.0/24 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:15:5D:01:FA:05
          inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:58330348 errors:0 dropped:110 overruns:0 frame:0
          TX packets:55969363 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:36956538568 (34.4 GiB)  TX bytes:42539222579 (39.6 GiB)
          Interrupt:9 Base address:0x8000

eth1      Link encap:Ethernet  HWaddr 00:15:5D:01:FA:07
          inet addr:10.0.0.3  Bcast:10.0.0.255  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:62486226 errors:0 dropped:0 overruns:0 frame:0
          TX packets:53569930 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:41289311855 (38.4 GiB)  TX bytes:36289704553 (33.7 GiB)
          Interrupt:9 Base address:0xa000

eth1:0    Link encap:Ethernet  HWaddr 00:15:5D:01:FA:07
          inet addr:10.18.245.130  Bcast:10.18.245.143  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:9 Base address:0xa000

eth1:1    Link encap:Ethernet  HWaddr 00:15:5D:01:FA:07
          inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:9 Base address:0xa000

eth2      Link encap:Ethernet  HWaddr 00:15:5D:01:FA:08
          inet addr:217.4.177.186  Bcast:217.67.177.191  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:327668460 errors:0 dropped:63 overruns:0 frame:0
          TX packets:437919588 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:56480322007 (52.6 GiB)  TX bytes:40791422945 (37.9 GiB)
          Interrupt:9 Base address:0xc000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:10472 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10472 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1512392 (1.4 MiB)  TX bytes:1512392 (1.4 MiB)



интерфейс eth0 смотрит в локальную сеть
интерфейс eth1 смотрит в сторону VPN1 тунеля за которым другая подсеть
интерфейс eth1:0 смотрит в сторону VPN2 тунеля за которым другая подсеть
интерфейс eth1:1 смотрит в сторону VPN2 тунеля за которым другая2 подсеть
интерфейс eth2 смотрит в сторону мира (global internet).

eth0 - местная локальная сеть
eth1 - локальная сеть второго офиса
eth1:0 - сеть чужой компании которая предоставляет нам доступ к своим http ресурсам
eth1:1 - сеть чужой компании которая предоставляет нам доступ к своим http ресурсам

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
217.4.177.184   *               255.255.255.248 U     0      0        0 eth2
10.18.245.128   *               255.255.255.240 U     0      0        0 eth1
10.0.0.0        *               255.255.255.240 U     0      0        0 eth1
192.168.3.0     *               255.255.255.0   U     0      0        0 eth0
10.0.1.0        *               255.255.255.0   U     0      0        0 eth1
10.0.2.0        10.0.1.1        255.255.255.0   UG    0      0        0 eth1
192.168.1.0     10.0.0.2        255.255.255.0   UG    0      0        0 eth1
192.168.0.0     10.0.0.1        255.255.255.0   UG    0      0        0 eth1
10.18.0.0       10.18.245.129   255.255.0.0     UG    0      0        0 eth1
10.112.0.0      10.18.245.129   255.255.0.0     UG    0      0        0 eth1
default         217-67-177-185. 0.0.0.0         UG    0      0        0 eth2


просьба помочь разобраться в ситуации

openmsk
()