• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Scanery. Jak się obronić?

VPS Starter Arubacloud
+4 głosów
242 wizyt
pytanie zadane 6 kwietnia 2015 w Inne języki przez SyntaxError Pasjonat (17,170 p.)

Każdy z Was, kto ma jakikolwiek serwer z publicznym ip pewnie zna ten problem, kiedy patrzysz w logi a tam: 83.170.73.249 - - [06/Apr/2015:22:02:42 +0200] "CONNECT 213.92.8.7:31204 HTTP/1.0" 200 8699 "-" "-"


Jak się obronić przed czymś takim?
I co to właściwie robi jak zamiast GETa czy POSTa ktoś mi puszcza takiego CONNECTa? 


I jeszcze jedno pytania co do configa fail2ban-a. Na Debianie to jest /etc/fail2ban/jail.conf
Czym jest [apache-noscript] oraz [apache-overflows] i czy warto to włączać? 

2 odpowiedzi

+1 głos
odpowiedź 6 kwietnia 2015 przez r00t Mądrala (6,960 p.)
wybrane 6 kwietnia 2015 przez SyntaxError
 
Najlepsza
Musisz zainstalowac i skonfigorowac iptables

Pozdrawiam.
komentarz 6 kwietnia 2015 przez SyntaxError Pasjonat (17,170 p.)
apt-get install?
komentarz 6 kwietnia 2015 przez r00t Mądrala (6,960 p.)
Tutaj masz dokumentacje do Ubuntu.

https://help.ubuntu.com/community/IptablesHowTo

 

Pozdrawiam.
komentarz 6 kwietnia 2015 przez r00t Mądrala (6,960 p.)
Wiec jesli masz Ubuntu to masz juz iptables tylko musisz odpowiednio je skonfigurowac.
komentarz 6 kwietnia 2015 przez SyntaxError Pasjonat (17,170 p.)
Mam Debiana i mam iptables :D Dzięki wielkie, coś wykombinuje ;)
+2 głosów
odpowiedź 8 kwietnia 2015 przez Grabarz Bywalec (2,880 p.)

Akceptacja zapytania HTTP typu CONNECT, powoduje, że zdalny serwer czyni rolę proxy. Klient w taki sposób rozpoczyna inicjalizację tunelu HTTP. W powyższym fragmencie klient o adresie 83.170.73.249 domaga się tunelowania jego połączenia do serwera 213.92.8.7 na port 31204 przez twój serwer. Skonfiguruj swój serwer, aby nie respektował zapytań tego typu i po sprawie. Możesz to zrobić alternatywnie przy użyciu iptables:

iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string 'CONNECT' -j DROP

Powyższe polecenie wycina wszystkie połączenie na docelowy (twój) port 80/tcp zawierające w pakiecie ciąg znaków 'CONNECT'. Musisz z każdym uruchomieniem systemu wbijać tą regułkę lub użyj pakietu iptables-persistent

komentarz 8 kwietnia 2015 przez SyntaxError Pasjonat (17,170 p.)
No tak też myślałem, że o to w tym chodzi. :P Dzięki za sposób obrony, na pewno spróbuje.

Nie znaleziono podobnych pytań

93,006 zapytań

141,972 odpowiedzi

321,254 komentarzy

62,345 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 2

Można już zamawiać tom 2 książki "Wprowadzenie do bezpieczeństwa IT" - będzie to około 650 stron wiedzy o ITsec (17 rozdziałów, 14 autorów, kolorowy druk).

Planowana premiera: 30.09.2024, zaś planowana wysyłka nastąpi w drugim tygodniu października 2024.

Warto preorderować, tym bardziej, iż mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy dodatkowe 15% zniżki! Dziękujemy zaprzyjaźnionej ekipie Sekuraka za kod dla naszej Społeczności!

...