07.09.2011 10:01
OlegON
 
Достаточно часто ко мне стучатся зеленые человечкинеизвестные, сканирующие порты моего хоста. Причем большой процент из этих сканирующих - тупые боты или не менее тупые студенты-хакеры, пытающиеся определить доступность порта простым подключением на него. В лидерах, конечно, порты 22, 3128, 3389, т.е. те порты, где забывчивые администраторы могут оставить дефолтный пароль или открытую прокси. Чтобы порты так нагло не сканировали, я выставил простейшую ловушку. Поскольку на самом деле у меня на этих портах ничего нет, то я выставил их открытыми с простейшим условием. Подключающегося на указанные порты ловушки банит через iptables. Итак:
Цитата:
user@host /etc $ eix -e xinetd
[I] sys-apps/xinetd
Available versions: 2.3.14 {perl tcpd}
Installed versions: 2.3.14(12:12:14 AM 07/26/2010)(tcpd -perl)
Homepage:
Description: powerful replacement for inetd
и в его конфиге пишем
Код:
service fake_rdp
{
    disable     = no
    protocol    = tcp
    port        = 3389
    type        = UNLISTED
    socket_type = stream
    wait        = no
    user        = root
    server      = /scripts/block_ip
    server_args = 3389
    log_on_success      = HOST
}
все банально... В данном случае запускается прослушиватель fake_rdp на порту 3389, при подключении запускается скрипт block_ip, вот его код
Код:
#!/bin/bash
REMOTE_PORT=$1
echo $REMOTE_HOST BANNED! GET OUT!
if [ $REMOTE_HOST != "127.0.0.1" ]
then
if [ $REMOTE_HOST != "77.37.240.57" ]
then
/sbin/iptables -I PREROUTING -t mangle -s $REMOTE_HOST/32 -j DROP
fi
fi
на самом деле у меня код чуть подлиннее, с выводом заблокированного адреса в общий список и определением страны, откуда пришло подключение, но для базы вполне достаточно. Банится IP для прямого и транзитного траффика, исключаются локальные IP (иногда могу и промахнуться). Обратите внимание, что через server_args конфига xinetd я передаю номер порта. Это нужно лишь для сбора статистики, поскольку банится весь хост целиком, все порты (чтобы дальше не сканил и не делал гадостей).
Часовой пояс GMT +3, время: 14:30.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.