Can sıkıcı konular

Arkadaşlar ,
Bu ara çoluk çocuğun elinde oyuncak olan botnet scriptleri ile uğraşmakdan gına geldi ;

Şunu şuraya koyayım dursun herkesin işine yarayacaktır , dün geceden beri botnet vuran arkadaşıda savcılığa ilettik iplerini ...

Kod 1000 paket sample eder yük altında daha iyi cpu su olan adeti artırabilir ya da temizleyerek gidebilir manuel ise

tcpdump -tnn -c 1000 -i ens160  -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' | awk '/X-Forwarded-For/ {match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/); ip = substr($0,RSTART,RLENGTH); print "iptables -I INPUT 1 -p tcp --match multiport --dports 80,443 -m string --algo bm --string \"X-Forwarded-For: " ip "\" -j DROP"}' > forwarded.txt
cat forwarded.txt | sort | uniq > tmp
sh tmp
name=$(date '+%Y-%m-%d-%H:%M:%S')
mv tmp $name

yukarıdaki kodu bir sh dosyası olarak kaydederseniz size proxy ile saldıranların gerçek iplerini verip iptables de bu ipden gelen isteklere ban atacaktır. (Yani gerçek saldırı makinesi iplerini)

 pkts bytes target     prot opt in     out     source               destination
   84 48725 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 207.154.253.202" ALGO name bm TO 65535
   49 32953 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 207.154.238.126" ALGO name bm TO 65535
   63 42284 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 207.154.218.61" ALGO name bm TO 65535
  119 80007 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 207.154.202.155" ALGO name bm TO 65535
   18 12089 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 207.154.193.42" ALGO name bm TO 65535
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 186.193.10.1" ALGO name bm TO 65535
   64 43003 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 165.227.162.189" ALGO name bm TO 65535
   63 42435 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 165.227.140.251" ALGO name bm TO 65535
   39 26264 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 165.227.130.48" ALGO name bm TO 65535
  178  119K DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 138.68.95.214" ALGO name bm TO 65535
  233  153K DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 138.68.73.83" ALGO name bm TO 65535
   27 18047 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 138.68.64.77" ALGO name bm TO 65535
   20 11496 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 138.68.103.128" ALGO name bm TO 65535
   33 22183 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 138.197.182.147" ALGO name bm TO 65535
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 STRING match  "X-Forwarded-For: 124.120.65.166" ALGO name bm TO 65535

https://unix.stackexchange.com/quest...ection-attempt


belirtildiği şekilde logu dosyadan okutursanız ve

iptables -I FORWARD -p tcp -m multiport --dports 80,443 -m hashlimit --hashlimit-name BotTest --hashlimit-mode dstip  --hashlimit-above 500/minute --hashlimit-burst 2  -m string --algo bm --string \"X-Forwarded-For" -j LOG --log-prefix="BOTNET"

şeklinde iptables e eklerseniz X adetin üzerinde proxy isteği geldiği anda devreye girip tüm botnet trafiğini proxy ile gönderen temizler ve loglarsınızda


hadi herkese iyi forumlar


unutmayın kusursuz cinayet yoktur...

Not : Bu bölümde paylaşma amacım bir çok kişinin işine yarayacaktır . Bir çok kişiyide yaptığı işi marifet sanırken ne kadar kolay yakalanacağını göstermek.


burdan sonra isteyen otomatik abuse e log attırır mail attırır vs vs vs

ne cezasi alcak yazarsin hocam
takip

Bakalım ne yapabileceğiz , ben bilginin paylaşılmasından yanayım. Herkes hakim olursa iyi olan kazanır.

Herkese iyi forumlar

Günlerdir çözmeye çalışıyorum ama şu atak türlerıni fayda yok sql kullanan sayfaya en küçük birşeyde gelse bitiyor iş çözülmeyecek gibi hiç bir hostingcide kafa yormuyor şu işe. Türk telekomun proxy datası toplayıp opsiyonel hale getirmesi lazım sanırım proxyleri engelle , izin ver gibi veri merkezleri için.

Al hocam proxy istek gelince listeye alır banlar :

ipset create proxy hash:ip

iptables -I INPUT 1 -p tcp --match multiport --dports 80,443 -m string --algo bm --string "X-Forwarded-For" -j SET --add-set proxy src

iptables -I INPUT -p tcp -m multiport --dports 80,443 -m set --match-set proxy src -j DROP

görmek istersen ipleri

ipset list proxy

mikrotikde bir benzerını yapıyorum ipleri listelıyorum ben problem yok da saldırı anında 60 lenght i droplatın içeriyi temızleyıp açtırın 60 lenght i proxyler saldırı başlangıcı 60/len syn gönderiyorlar aynı zamanda mobil cihazlarda 60/len gönderiyor ethernetle bağlı olan cihazlar 40 / len ile başlıyor kısacası kablosuz/wifi yada mobil ağ 60 len yada vpn açarsanız oda 60/len bu şekilde saniyede 2000 proxy ip banlata biliyorum çok az oranda içeriye kaçıyor site gitmiyor ama sql sayfası örnek /dologin.php gelirse biraz kasma yaşanıyor vds de onunda iyi bi dedicated sunucuda pek işleyecegını sanmıyorum birazda veri tabanı optimizesi şart ancak bukadar ilerleye bildim mikrotikde. yeni teknikler de denemeye devam ediyorum umarım birgün başarıcam.

Kendimde denedim bazı arkadaşlar hemen siteyi test konusuna cevirmiş :

[root@guard ~]# ipset list proxy
Name: proxy
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 8520
References: 2
Members:
187.45.50.59
102.176.160.57
203.81.76.188
202.5.42.198
111.88.245.110
172.16.19.124
189.61.107.94
88.135.210.179
175.110.97.86
124.248.184.222
200.105.209.118
168.0.8.55
46.254.184.149
113.53.91.214
91.74.72.122
179.127.155.4
45.232.9.32
159.192.96.224
186.153.2.174
45.125.221.103
118.97.187.42
118.172.105.50
102.176.222.234
175.184.248.83
191.36.168.14
213.96.245.47
177.154.16.75
110.39.174.58
36.67.196.105
118.97.87.186
111.88.252.247
168.232.46.41
36.66.83.125
187.109.210.215
168.253.115.36
125.161.136.200
193.93.216.95
212.28.84.105
170.244.106.238
190.122.111.251
61.91.183.86
91.109.199.196
212.174.232.22
41.206.57.242
103.76.184.146
94.240.221.20
78.158.190.155
177.39.15.122
103.15.245.94
94.159.58.186
170.79.16.19
41.184.179.188
5.160.218.114
105.112.85.110
181.115.185.42
216.183.210.194
180.183.40.85
186.250.56.135
189.58.100.98
114.199.123.194
195.201.106.71
45.234.23.220
36.67.237.146
36.73.33.241
202.169.35.2
190.96.214.59
180.250.45.26
1.20.102.99
138.219.223.166
58.97.252.30
27.145.100.22
91.106.86.212
36.66.124.157
83.211.30.202
45.229.105.1
96.9.94.101
202.147.173.10
103.76.15.28
168.253.115.14
118.97.151.130
84.22.198.26
177.35.53.232
177.200.72.214
180.246.151.230
197.149.138.202
36.67.248.203
95.0.219.97
179.127.240.254
41.220.134.86
41.223.234.42
79.132.209.31
182.48.89.142
197.210.141.218
187.189.73.66
111.88.255.211
186.153.203.220
36.67.54.107
160.119.130.102
160.226.173.27
186.237.221.33
180.250.150.73
111.223.252.42
36.67.76.234
177.85.114.210
202.143.184.1
41.242.91.131
202.5.37.96
95.9.94.216
111.67.92.66
41.242.65.180
200.58.144.114
103.106.239.162
180.178.98.198
1.179.155.93
196.201.45.130
77.42.248.119
189.5.233.5
96.9.90.64
159.192.97.49
36.91.156.123
36.91.59.218
110.232.74.55
36.89.89.7
170.79.171.110
189.84.211.210
41.76.155.134
129.205.142.210
223.207.23.86
125.25.45.181
202.62.34.185
103.7.250.58
177.10.89.14
109.196.179.6
190.121.192.162
177.8.162.135
36.91.51.233
36.67.84.235
154.72.48.248
36.66.83.111
45.232.52.35
1.20.156.243
111.88.255.158
102.176.160.123
180.180.170.67
12.189.125.134
113.11.155.116
200.146.245.51
14.207.120.190
177.36.188.223
196.44.105.90
117.102.78.42
103.73.224.196
182.255.1.122
190.120.78.242
187.45.147.101
45.231.213.159
208.74.68.2
190.0.244.3
189.89.248.40
187.1.112.94
122.102.43.9
177.10.164.81
49.128.181.13
77.236.226.153
80.99.19.213
186.226.166.52
203.189.156.124
178.44.113.205
172.16.100.6
178.46.157.208
203.189.153.24
196.202.229.6
177.87.63.20
110.36.228.82
110.235.201.154
213.145.3.104
180.183.101.59
183.88.221.63
168.195.18.6
183.88.223.18
185.86.134.34
43.255.22.34
190.0.246.205
36.91.194.25
125.162.49.194
143.255.198.125
138.59.148.17
185.39.199.137
103.31.109.164
46.151.144.78
103.36.35.131
177.85.79.13
101.109.116.104
103.76.50.182
103.5.232.146

Üstad Cloudflare IP adreslerini de engelliyor bu şekilde.