Hjelp til en IPtables-regel/script

[Gjest Slettet+432]

Heisann!

 

Har et lite mål, bare å få sikret serveren godt nok. Har funnet ut at port 31337 er mye brukt av trojanere. Derfor vil jeg blokkere porten, og helst ha en advarsel på mail hvis det blir detektert noe aktivitet i den porten. Går dette? Hvis ikke så vil jeg bare ha iptables kommandoen til å blokkere porten.

 

Aleks

[Palme]

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 31337 -j DROP (eventuelt REJECT)

iptables -A INPUT -i eth0 -p tcp -m udp --dport 31337 -j DROP (eventuelt REJECT)

 

Kan være greit å default droppe alt inn/ut så heller åpne for de portene du bruker.

 

Når det gjelder varsel på mail kunne det jo vert genialt visst du finner ut av det.

[Gjest Slettet+432]

Det gikk ikke så bra, sjekk her da:

root@sysfile:/chkrootkit# iptables -A INPUT -i eth0 -p tcp -m tcp --dport 31337 -j DROP

root@sysfile:/chkrootkit# iptables -A INPUT -i eth0 -p tcp -m udp --dport 31337 -j DROP

iptables: Unknown error 4294967295

 

Hva nå?

[olear]

En veldig fin generator: http://www.slackware.com/~alien/efg/

[Palme]

Det gikk ikke så bra, sjekk her da:

root@sysfile:/chkrootkit# iptables -A INPUT -i eth0 -p tcp -m tcp --dport 31337 -j DROP

root@sysfile:/chkrootkit# iptables -A INPUT -i eth0 -p tcp -m udp --dport 31337 -j DROP

iptables: Unknown error 4294967295

 

Hva nå?

5820784[/snapback]

 

Hmm.. Jeg regnet med det var eth0 du brukte. Er det kanskje ikke det? Såfall bytt ut eth0 med kortet ditt. eth1?

[Gjest Slettet+432]

Det er eth0 jo.

[Palme]

Javel ja! hmm..

 

Hva sier iptables -V og iptables -nL

Endret 27. mars 2006 av Lassie

[Gjest Slettet+432]

root@sysfile:/temp/portsentry_beta# pico README.install

root@sysfile:/temp/portsentry_beta# iptables -V

iptables v1.3.5

root@sysfile:/temp/portsentry_beta# iptables -nL

Chain INPUT (policy ACCEPT)

target    prot opt source              destination       

DROP      tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:31337

 

Chain FORWARD (policy ACCEPT)

target    prot opt source              destination       

 

Chain OUTPUT (policy ACCEPT)

target    prot opt source              destination       

root@sysfile:/temp/portsentry_beta#

 

Men har et annet lite problem også, prøver å kompilere portsentry. Men da kommer dette opp:

root@sysfile:/temp/portsentry_beta# make linux

SYSTYPE=linux

Making

cc -O -Wall -DLINUX -DSUPPORT_STEALTH -o ./portsentry ./portsentry.c \

        ./portsentry_io.c ./portsentry_util.c

./portsentry.c: In function `Usage':

./portsentry.c:1584: error: missing terminating " character

./portsentry.c:1585: error: `sourceforget' undeclared (first use in this function)

./portsentry.c:1585: error: (Each undeclared identifier is reported only once

./portsentry.c:1585: error: for each function it appears in.)

./portsentry.c:1585: error: syntax error before "dot"

./portsentry.c:1585: error: stray '\' in program

./portsentry.c:1585: error: missing terminating " character

make: *** [linux] Error 1

 

Noen som vet noe?

[Gjest Slettet+432]

root@sysfile:/temp/portsentry_beta# pico README.install

root@sysfile:/temp/portsentry_beta# iptables -V

iptables v1.3.5

root@sysfile:/temp/portsentry_beta# iptables -nL

Chain INPUT (policy ACCEPT)

target    prot opt source              destination       

DROP      tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:31337

 

Chain FORWARD (policy ACCEPT)

target    prot opt source              destination       

 

Chain OUTPUT (policy ACCEPT)

target    prot opt source              destination       

root@sysfile:/temp/portsentry_beta#

 

Men har et annet lite problem også, prøver å kompilere portsentry. Men da kommer dette opp:

root@sysfile:/temp/portsentry_beta# make linux

SYSTYPE=linux

Making

cc -O -Wall -DLINUX -DSUPPORT_STEALTH -o ./portsentry ./portsentry.c \

        ./portsentry_io.c ./portsentry_util.c

./portsentry.c: In function `Usage':

./portsentry.c:1584: error: missing terminating " character

./portsentry.c:1585: error: `sourceforget' undeclared (first use in this function)

./portsentry.c:1585: error: (Each undeclared identifier is reported only once

./portsentry.c:1585: error: for each function it appears in.)

./portsentry.c:1585: error: syntax error before "dot"

./portsentry.c:1585: error: stray '\' in program

./portsentry.c:1585: error: missing terminating " character

make: *** [linux] Error 1

 

Noen som vet noe?

5821014[/snapback]

Fant ut den siste der. Var noe feil koding eller noe.

[Palme]

Tror den feilmeldingen din ligger i versjonen 1.3.5 Er faktisk ikke helt sikker på hva den betyr, men det ser jo ut som om den fungerer da.

[Gjest Slettet+432]

Eh, en ting til innen sikkerhet greiene mine...

 

Leste /home/thomas/.bash_history til en bruker som er nokså inkompetent, og skal ikke kunnet gjøre noe slik som dette:

NULLCMD=:;PS1=]-]-]

(echo _x_ | cat)

LANG=en_US;export LANG

(type type | cat)

(type sh | cat)

(cd .;pwd | cat)

(uname | cat)

df -k / | cat

df -k -t ext2

df -k -t ext3

df -k -t reiserfs

df -k -t msdos

(test -d /home/thomas/.rbtp; echo $? | cat)

(mkdir /home/thomas/.rbtp; echo $? | cat)

(test -d /home/thomas/.rbtp/tmp; echo $? | cat)

(mkdir /home/thomas/.rbtp/tmp; echo $? | cat)

PATH=/usr/local/bin:/usr/bin:/usr/5bin:/usr/ucb:/sbin:/usr/sbin:/bin;export PATH

(test -f /bin/ls; echo $? | cat)

date -u "+%Y:%m:%d:%H:%M:%S"

date "+%Y:%m:%d:%H:%M:%S"

(test -f /usr/bin/scp; echo $? | cat)

(test -f /usr/bin/gzip; echo $? | cat)

(test -f /usr/bin/gunzip; echo $? | cat)

(test -f zip; echo $? | cat)

(type zip | cat)

(type gnutar | cat)

(type tar | cat)

cat /etc/group | sed -e "s/:/ /" | awk '{ print $1 }'; echo $? | cat

(id | cat)

/bin/ls -laiT -d | cat

/bin/ls -laiTg -d | cat

/bin/ls -lai --time-style="+%e %b %H:%M:%S %Y" -d | cat

(/bin/ls -lai --time-style="+%e %b %H:%M:%S %Y" . 2>/dev/null | cat ; echo $?; echo f-o_++_o-f)

cd /home/thomas 2>/dev/null; echo $? | cat

(/bin/ls -lai --time-style="+%e %b %H:%M:%S %Y" . 2>/dev/null | cat ; echo $?; echo f-o_++_o-f)

Hva skjer egentlig her? Fyren kan ikke slikt. Kan jeg ha hatt innbrudd?

 

Og så lurer jeg på en siste ting; hvordan kan man endre "root@sysfile:~#" til noe annet?

 

Edit: Fikk til den siste der, måtte endre noe i /etc/profile.

Endret 28. mars 2006 av Slettet+432