Arkadaşlar ,
Bu ara çoluk çocuğun elinde oyuncak olan botnet scriptleri ile uğraşmakdan gına geldi ;
Şunu şuraya koyayım dursun herkesin işine yarayacaktır , dün geceden beri botnet vuran arkadaşıda savcılığa ilettik iplerini ...
Kod 1000 paket sample eder yük altında daha iyi cpu su olan adeti artırabilir ya da temizleyerek gidebilir manuel ise
tcpdump -tnn -c 1000 -i ens160 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' | awk '/X-Forwarded-For/ {match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/); ip = substr($0,RSTART,RLENGTH); print "iptables -I INPUT 1 -p tcp --match multiport --dports 80,443 -m string --algo bm --string \"X-Forwarded-For: " ip "\" -j DROP"}' > forwarded.txt
cat forwarded.txt | sort | uniq > tmp
sh tmp
name=$(date '+%Y-%m-%d-%H:%M:%S')
mv tmp $name
yukarıdaki kodu bir sh dosyası olarak kaydederseniz size proxy ile saldıranların gerçek iplerini verip iptables de bu ipden gelen isteklere ban atacaktır.
(Yani gerçek saldırı makinesi iplerini) pkts bytes target prot opt in out source destination
84 48725 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 207.154.253.202" ALGO name bm TO 65535
49 32953 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 207.154.238.126" ALGO name bm TO 65535
63 42284 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 207.154.218.61" ALGO name bm TO 65535
119 80007 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 207.154.202.155" ALGO name bm TO 65535
18 12089 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 207.154.193.42" ALGO name bm TO 65535
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 186.193.10.1" ALGO name bm TO 65535
64 43003 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 165.227.162.189" ALGO name bm TO 65535
63 42435 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 165.227.140.251" ALGO name bm TO 65535
39 26264 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 165.227.130.48" ALGO name bm TO 65535
178 119K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 138.68.95.214" ALGO name bm TO 65535
233 153K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 138.68.73.83" ALGO name bm TO 65535
27 18047 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 138.68.64.77" ALGO name bm TO 65535
20 11496 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 138.68.103.128" ALGO name bm TO 65535
33 22183 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 138.197.182.147" ALGO name bm TO 65535
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 STRING match "X-Forwarded-For: 124.120.65.166" ALGO name bm TO 65535 https://unix.stackexchange.com/quest...ection-attempt
belirtildiği şekilde logu dosyadan okutursanız ve
iptables -I FORWARD -p tcp -m multiport --dports 80,443 -m hashlimit --hashlimit-name BotTest --hashlimit-mode dstip --hashlimit-above 500/minute --hashlimit-burst 2 -m string --algo bm --string \"X-Forwarded-For" -j LOG --log-prefix="BOTNET"
şeklinde iptables e eklerseniz X adetin üzerinde proxy isteği geldiği anda devreye girip tüm botnet trafiğini proxy ile gönderen temizler ve loglarsınızda
hadi herkese iyi forumlar
unutmayın kusursuz cinayet yoktur...
Not : Bu bölümde paylaşma amacım bir çok kişinin işine yarayacaktır . Bir çok kişiyide yaptığı işi marifet sanırken ne kadar kolay yakalanacağını göstermek.
burdan sonra isteyen otomatik abuse e log attırır mail attırır vs vs vs