Uživatelské nástroje

Nástroje pro tento web


navody:vps:incidenty

Upozornění na incidenty

Pokud IP adresy z naší sítě rozesílají spam, popř. útočí na cizí systémy, často o tom dostáváme tzv. abuse notices. Tyto upozornění přeposíláme jednotlivým členům, kteří by měli sjednat nápravu. Upozornění mohou být i preventivního charakteru, např. když máte veřejně dostupné služby, které jsou zneužitelné.

open-portmapper

Portmapper, resp. rpcbind, je základní součást NFSv3. rpcbind máš spuštěn nejspíše protože používáš NAS. Pomocí portmapperu se NFS klient dozví, na které porty na NFS serveru se má připojit. rpcbind by neměl být dostupný z veřejného Internetu, neboť může být zneužitý k tzv. amplification útoku. Odpověd rpcbindu je totiž několikanásobně větší než původní požadavek. Útočník toho může využít a nechat odpovědi z tvého serveru zasílat na adresu oběti.

Portmapper poslouchá na portu 111. Tento port můžeme uzavřít, avšak je nutné povolit existující spojení:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 111 -j DROP
iptables -A INPUT -p udp --dport 111 -j DROP

ip6tables -A INPUT -p tcp --dport 111 -j DROP
ip6tables -A INPUT -p udp --dport 111 -j DROP

Takto nastavené pravidla vydrží jen do prvního restartu VPS. Způsob perzistentní konfigurace firewallu záleží na použité distribuci.

Debian

Jednou z možností je balíček iptables-persistent, který přes službu netfilter-persistent automaticky po bootu aplikuje uložená pravidla:

/etc/iptables/rules.v4
/etc/iptables/rules.v6

Při instalaci se balíček zeptá, zda si přejete aktuální pravidla uložit. Využívá iptables-save a iptables-restore. Pravidla si můžeme uložit ručně:

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

Příklady a zdroj: https://www.cyberciti.biz/faq/how-to-save-iptables-firewall-rules-permanently-on-linux/

open-memcached

memcached bývá zneužíván k amplification útokům, kdy útočník využije tvůj memcached server k útoku na oběť díky tomu, že odpověd serveru je mnohem větší, než původní požadavek. Pokud memcached používáš jen lokálně, nejlépe ho nastav tak, aby poslouchal jen na localhostu. Jestliže k memcached přistupuješ z vícero VPS, nastav si firewall tak, aby nebyl dostupný z veřejného Internetu.

navody/vps/incidenty.txt · Poslední úprava: 2023/12/11 10:40 autor: manikstudio

Nástroje pro stránku