Üye Girişi
Bağlan Google+ ile Bağlan Facebook ile Bağlan
Yeni Kayıt
Tüm Forumlar
  • Tüm Forumlar
  • Donanım / Hardware
  • Network ve Güvenlik
  • Network
  • Bu Konuda
Şimdi Ara

59.63.166.104 sunucuma saldırıyor engelleyemiyorum. Yardım ve Öneri!

Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir - 2 Masaüstü
5 sn
23
Cevap
1
Favori
425
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
Konuya Özel
0 oy
Öne Çıkar
Cevapla
Sayfa: 12
Sayfaya Git
Git
sonraki
Giriş
Mesaj
  • DSL bağlantım üzerinden çalıştırdığım Mac mini sunucumda işim gereği SSHD portunu (22) modemden (ZyXEL P-2812HNUL) NAT ayarlarından açtım. Cok geçmeden tabi ki SSHD saldırıları gelmeye başladı. İlk başta fail2ban gibi akıllı bir programla engellemeyi düşündüm fakat kurulum ve ayarları ile uğraşmak istemediğimden Mac 'le yerleşik gelen PF (PacketFilter) 'yi etkinleştirdim ve emerging-block-ips.txt listesini tanımlayarak saldırıların coğunu bertaraf ettim, listede yer almayan yeni saldırganları da Mac'teki Konsol üzerinden gördükçe PF listesine ekleyerek (ve PF'yi -f /etc/pf.conf ile resetleyerek) engelledim.

    Birkaç hafta bu şekilde gayet sorunsuz sunucuyu kullandım. Ancak bugün 59.63.166.104 IP no'lu saldırganı PF listesine eklediğim halde yine de Konsolda görüniyordu, şu mesaj ile:

    quote:

    sshd: error: PAM: authentication error for root from 59.63.166.104


    tabi ki sshd root şifresini bulamaz cunku cok güçlü bir şifre ancak yaklaşık 10sn 'de bir böyle error verdirerek sisteme gereksiz yükleniyor ve bunu PF ile engelleyemiyorum!

    59.63.166.104'ı daha önce sondaki 105 ve başka bir iki daha benzer IP 'den saldırı olduğu için

    59.63.166.0/24 şeklinde de engellemiştim, ona rağmen 59.63.166.104'ten böyle PF'yi aşan saldırı geliyor. Cok ilginç.

    Sormak istediğim şey şudur:

    Bu IP nasıl bir oyun ile PF'yi aşabiliyor? PF 'ye ek bir ayar cekerek onu engellemem mümkün müdür?

    fail2ban gibi birşeyi devreye alsam (fail2ban hiç kullanmadım) bu IP onu da aşabilir mi?

    genelde ne yapmam gerekir? sshd için 22 yerine başka port ayarlayabilirim fakat şu anki bu sorun için o da kesin çözüm değil cunku PF'yi aşan kişi, sshd'yi default olmayan portta da bulur yine saldırır.

    şimdilik modemde sshd NAT geçişini kapattım, sadece sshd'yi kullancağım zaman modem'den NAT etkinleştirerek kullanıyorum ancak takdir edersiniz ki sürekli böyle de kullanılmaz ve modem demişken:

    5.188.203.125 IP nolu kişi, modem yönetim paneline uzaktan girmeyi başardı! Tam girdiği sırada sunucu başında konsol önümde açık old için girişi gördüm ve hemen attım ve sifreyi cok daha zor bişey yaptım şimdilik sorun yok fakat onun modem yönetim paneli şifresini nasıl bulduğu veya kırdığı kafamda soru işareti olarak kaldı. Bu konuda da öneriniz var mıdır? Sağolun.

    < Bu ileti mini sürüm kullanılarak atıldı >







  • Sshd port numarasini değiştiremiyor musunuz 🤔 ben pfsense kurup kuaniuorum filtreleme amaçlı. Onda böyle bir şey var mesela. Varsayilan port numarasını degistirebiliyorsunuz

    < Bu ileti mobil sürüm kullanılarak atıldı >
  • Port numarasını değiştirin.

    < Bu ileti mobil sürüm kullanılarak atıldı >
  • sshd portunu değiştirmek kolay nitekim 83 gibi hatırlaması kolay bir rakama değiştirdim ancak sözkonusu IP bugün itibarıyla o porttan aynı sekilde saldırıyor. zaten demiştim, PF'yi alteden saldırgan için non default port bulmak cocuk oyuncagı gibi kolaydır, 54321 gibi yüksek port ta versem başka ne port versem bulacak. daha sonra fail2ban'ı deneycem, onca işimin arasında. PF ayarlarıyla ilgili bir ipucu falan varsa ona da bakacağım.

    @ULTILIX

    < Bu ileti mini sürüm kullanılarak atıldı >
  • Benim nacizane tavsiyem, udp destekli bir vpn server kurup (openvpn, softether vs..), sadece vpn portunu modemde acip diger portlari bloklamaniz. Once vpn e baglanip sonra local ip ye ssh yaparsiniz. Ayrica modemin web arayuz erisimini disariya ve local deki diger sistemlere kapatip tekbir ip ve mac icin erisim verip, izin verdiginiz ip/mac ide modemde statik bind yapin. Ek olarak yerel agdaki sistemlere modemin (gateway) mac -ip sini arp tablosuna statik olarak tanimlayin yada servera arp korumasi saglayan bir prg kurun.

    Firewall dan engelleseniz dahi, engellenen ip den paket gondermenin yollari var, google dan arastirip (how to bypass firewall vs..) okuyabilirsiniz.

    < Bu ileti mini sürüm kullanılarak atıldı >
  • kamilh K kullanıcısına yanıt
    İlgi için teşekkürler fakat maalesef fazla karışık bir çözüm o. Ne kadar karışıklık o kadar potansiyel ek sorun :( Üzgünüm :(



    Soruna biraz baktım, OpenBSD'nin PF sistemi bazı saldırı yöntemlerinde etkisiz kaldığına dair blog makaleleri ve dokumanlar gördüm, adress spoofing gibi (örneğin) yöntemle saldırgan farklı IP adresi ilan edip başka IP'den saldırabilio bunun gibi durumlarda PF etkisiz kalabilio.



    Yani, PF'nin ayarlarından pf.conf ve/veya modem'deki ayarlardan bu durumu giderebilecek kısa bir yöntem üzerinde duruyorum o yönde ipucu verebilirseniz cok makbule geçer. Sabahtan beri saatlerimi aldı bu sorun, sunucumdaki projeye başka bilgisayarlardan SSH erişimi olması şart, kapatamıyorum, işler aksadı :(

    < Bu ileti mini sürüm kullanılarak atıldı >
  • hic ugrasmayin, dogrudan modem uzerinden bloklayin. Nasil olsa nat arkasinda cihaz. hatta standart olarak tum istekleri bloklayin, sadece sizin eristiginiz bolgelerden erisime izin verin. nat arkasinda oldugu icin PF sorun yasatiyor olabilir.
  • zengier Z kullanıcısına yanıt
    Modemden blokladım ancak işe yaramadı, saldırı aynen devam edior. Standart olarak tüm istekleri bloklayamam, Çin'den bir **** ***** uyanık için tüm ağı bloklamak ağırıma gider. Vaktim olsa konuyu biraz daha derinlemesine çalışıp icabına bakacağım fakat vakit yok proje için cevap bekliolar. modemde yaptığım ayar SS. Belki başka ayarlar da gerekior olab ilir mi? Bir de merak ettiğim Çin'deki bu uyanık SSH şifremi bulup girdi diyelim, ne yapacak? sudo rm -r / ile tüm harddiski mi siler scp ile diskteki dosyaları kendine mi kopyalar, trojen mi yerleştirir, ne yapacağını niyetini de merak etmedim değil.

    59.63.166.104 sunucuma saldırıyor engelleyemiyorum. Yardım ve Öneri!

    < Bu ileti mini sürüm kullanılarak atıldı >




  • Genel bloklama yapma aslinda standart olmasi gereken sey . Firewall kurali icin de , sanirim bu sekilde hedef olarak ic ip adresi kullanimi ile olmayacaktir. Dst IP olarak WAN ip adresinizi girin, veya DST kismini bos birakin , veya 0.0.0.0 (tum ip adresleri ) olarak girin. zira sizin 22. porta gelen isteklerin hedefi 192.168.x.x degil , modemin dis bacak IP adresi.

    rule ekleme ekrani nasil bir ekran?
  • zengier Z kullanıcısına yanıt
    Modem Firewall ayarlarında WAN to LAN bloklu, yani genel bloklama var fakat 22 nolu port açık old için onun esprisi yok. Dest IP'ye WAN IP'sini girdim, bişey değişmedi 0.0.0.0 girince format hatası verdi boş bırakınca da. Edit SS:



    59.63.166.104 sunucuma saldırıyor engelleyemiyorum. Yardım ve Öneri!

    < Bu ileti mini sürüm kullanılarak atıldı >
  • Senin modem i tam olarak bilmedigim icin biraz salliyor olabilirim :) Rule olarak Wan to Lan secip, SSHD protokol secmek yerine manuel yazip TCP 22 destination bloklasan (senin yazdigin sekilde bakinca sadece source port 22 olanlar bloklaniyor gibi). Ayrica birde LantoWan rule ekleyip, senin makineden disariya dogru blokladigin ip ye butun portlar icin cikisi engellesen?

    < Bu ileti mini sürüm kullanılarak atıldı >
  • Aklima daha enteresan bi fikir geldi, istemediginiz IP yi bloklamak yerine zaten kapali olan bir port a forward etseniz. O Ip den gelen butun paketleri sabit kapali bir port a forward ederseniz server i kapattiginizi zanneder.

    < Bu ileti mini sürüm kullanılarak atıldı >
  • kamilh K kullanıcısına yanıt
    Saldırgan pes etti, 18:15 ten itibaren son bir saattir konsolda kaydı yok. Eh zaten şifrem güçlü birşeydi, onu brute force ile tahmin edip girecekti aklısıra. Ancak 10sn 'de bir şifre deneyebilen bir atak ile şifreyi bulması imkansız, bunu akıl edemeyecek kadar da aptal biri olmalı.



    Modemden yapılacak ayarlar bu tür saldırılara etkisiz, cunku sonuçta 22 portu modemden açık, iş sunucuda bitiyor. Uygun bir zamanda PF konusuna tekrar bakacağım.

    < Bu ileti mini sürüm kullanılarak atıldı >
  • kamilh K kullanıcısına yanıt
    Onun için PF ayarlarını iyi bilmem gerekli, fakat PF'yi cok temel olarak biliyorum SS kullanım anımdan . PF'de onun nasıl ayarlanacağı da iletebilirsen denerim.

    59.63.166.104 sunucuma saldırıyor engelleyemiyorum. Yardım ve Öneri!

    < Bu ileti mini sürüm kullanılarak atıldı >
  • Ben modemde yapacaginizi farzetmistim (pf konusunda tecrubem yok). Modemde varolan sshd forwarding rule un ustune, engellenecek ip den gelen istekleri yerel agda bulunmayan bir ip ye yonlendiren baska bir forwarding rule eklemek gibi (tum portlar icin)

    < Bu ileti mini sürüm kullanılarak atıldı >
  • kamilh K kullanıcısına yanıt
    Komple china net pen test yapsında sürekli o portu değiştiriyormusunuz değiştirmiyorsunuz ozaman karar verirsiniz. Ayrıca sürekli olarak (d)Daemon ekleminize gerek yoktur. Ssh diyebilirsiniz.

    Kendi sunucularımde port değiştiriyorum çünkü değiştirmesem gb lerce log oluyor. Tek ip test yapmıyor .

    ICMP kapamak ta bir miktar faydası olur.



    @kamilh Ayrıca firewall aşmak kolay değil.

    < Bu ileti mobil sürüm kullanılarak atıldı >
  • modemin firewall rule ekleme ekrani biraz garip, aklima gelen birkac sey .

    destination ip adress kismini range secip 0.0.0.0 ve 255.255.255.255 deneyin. en azindan sizin adresi de kapsayacak bir range deneyin. en alttaki direction kisminda WAN to device ve WAN to LAN seceneklerini deneyin. port kismina range secip tum port araligini ekleyin. standart firewall tanimlarindan biraz farkli ve kafa karistiriyor. protokol icin TCP/UDP secenegi olmali onu secin, her iki trafigi de bloklamak gerekir.
  • Yorumlar için teşekkürler. Çin'den gıcık saldırganın bu saldırısı esnasında en azından yanlız olmadım. 18.15 'ten bu yana sözkonusu saldırganın saldırıları kesildi. O saatten sonra gelen önerilerdeki değişiklikleri yapsam bile etkili olup olmadığını, saldırgan aynı şekilde saldırmaya başlayana kadar anlayamam. Benim sunucudan umudu kestiği için bir daha dönüp dönmeyeceği de belirsiz.



    Anlayamadığım olay şu, bu sunucuyu sadece bir Java projesini başka geliştiricilerle kaynak dosyalarını düzenleyebilmek için sshd erişimine açtım, sunucuda ona fayda sağlayacak bişey yok, hala neden ele geçirmeye çalışıo.



    Java projesine odaklandığımdan güvenlik konuları ile uğraşamadım, fakat eski güvenlik uzmanlarındanım. Uğraşsam o saldırgana avucunu yalatırdım. Şansı sayesinde tüm gün sunucuya saldırma imkanı buldu.

    < Bu ileti mini sürüm kullanılarak atıldı >
  • Hmm, aslinda ozellikle sana yapilan bir saldiri degil bu. Adamlarin elinde IP listeleri var, listeyi botnete veriyorlar, botnet sirayla brute force deniyor. yani basinda kimse yok, hatta saldiiriyi yapan IP nin sahibi bile olmuyor. yapilacak tek sey guclu sifreler kullanmak, sistemi guncel tutmak . benim sunuculara da her gun yuzlerce deneme oluyor. ozellikle mail sunucusunda her gun en az 1000 deneme goruyorum, 20-50 arasi farkli IP den geliyor denemeler.

    bu son olmayacaktir, ilerde baska bir adresten benzer bir tarama olabilir, o zaman yapilacak iki sey var, ya gormezden gelmek, ya da farkedince firewall ile bloklamak. :)
  • zengier Z kullanıcısına yanıt
    Bu saldırı gelene kadar PF ile (pf.conf dosyası içinde tanımlı IP listesini düzenleyerek) 100+ IP'yi başarıyla blokladım. Bu saldırıyı PF ile bloklayamamak canımı sıktı. İlk fırsatta PF'deki bu sorunu araştıracağım. Çin'deki bir kara kuru uyanığın teki yine ziyaret ettiğinde uygun muamele ile bloklayacağım. Bu arada kaydını tuttuğum 100+ IP adresi (birkaçı IP range seklinde) dosyayı da paylaşacağım.

    < Bu ileti mini sürüm kullanılarak atıldı >
    • 
Sayfa: 12
Sayfaya Git
Git
sonraki

Benzer içerikler

- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.
Hizmet kalitesi için çerezleri kullanabiliriz. DH’ye girerek kullanım izni vermiş sayılırsınız.
Anladım Veri Politikamız