Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Kto

https://www.debian.pl/viewtopic.php?t=24482

Strona 1 z 1

Ktoś blokuje dostęp do apache z zewnątrz i resetuje reguły iptables

: 17 września 2011, 11:36
autor: Trans
Witam.
Jestem użytkownikiem serwera dedykowanego i mam taki oto problem, że codziennie ktoś blokuje dostęp do mojej strony umieszczonej na serwerze poprzez wielokrotne wysłanie wiadomości w bardzo krótkich odstępach czasu tcp/udp. Jeśli dobrze rozumiem, bo widzę z jednego numeru IP około 250 połączeń. Blokuje to poprzez zablokowanie danego ip w iptables, jednak codziennie o godzinie 6:25 w logach widzę, że iptables się resetuje nie wiem za bardzo czemu?

W logu /var/log/apf_log codziennie o tej samej godzinie widzę to poniżej, po czym wszystkie reguły iptables się resetują i ponownie ktoś wysyła to samo do serwera apache:

Kod: Zaznacz cały

Sep 17 06:25:01 ks307109 apf(16560): {glob} flushing & zeroing chain policies
Sep 17 06:25:01 ks307109 apf(16560): {glob} firewall offline
Sep 17 06:25:01 ks307109 apf(16627): {glob} activating firewall
Sep 17 06:25:01 ks307109 apf(16667): {glob} determined (IFACE_IN) eth0 has address 94.23.227.88
Sep 17 06:25:01 ks307109 apf(16667): {glob} determined (IFACE_OUT) eth0 has address 94.23.227.88
Sep 17 06:25:01 ks307109 apf(16667): {glob} loading sysctl.rules
Sep 17 06:25:01 ks307109 apf(16667): {glob} setting sysctl_logmartians disabled
Sep 17 06:25:01 ks307109 apf(16667): {glob} setting sysctl_ecn disabled
Sep 17 06:25:01 ks307109 apf(16667): {glob} setting sysctl_syncookies enabled
Sep 17 06:25:01 ks307109 apf(16667): {glob} setting sysctl_overflow disabled
Sep 17 06:25:01 ks307109 apf(16667): {glob} setting sysctl_tcp enabled
Sep 17 06:25:01 ks307109 apf(16667): {glob} setting sysctl_syn enabled
Sep 17 06:25:01 ks307109 apf(16667): {glob} loading preroute.rules
Sep 17 06:25:01 ks307109 apf(16667): {resnet} downloading [URL]http://rfxn.com/downloads/reserved.networks[/URL]
Sep 17 06:25:02 ks307109 apf(16667): {resnet} parsing reserved.networks into /etc/apf/internals/reserved.networks
Sep 17 06:25:02 ks307109 apf(16667): {glob} loading reserved.networks
Sep 17 06:25:02 ks307109 apf(16667): {glob} loading bt.rules
Sep 17 06:25:02 ks307109 apf(16667): {glob} loading common drop ports
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from tcp port 135:139
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from udp port 135:139
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from tcp port 111
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from udp port 111
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from tcp port 513
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from udp port 513
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from tcp port 520
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from udp port 520
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from tcp port 445
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from udp port 445
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from tcp port 1433
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from udp port 1433
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from tcp port 1434
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from udp port 1434
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from tcp port 1234
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from udp port 1234
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from tcp port 1524
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from udp port 1524
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from tcp port 3127
Sep 17 06:25:02 ks307109 apf(16667): {blk_ports} deny all to/from udp port 3127
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} set active PKT_SANITY
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs ALL NONE
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs SYN,FIN SYN,FIN
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs SYN,RST SYN,RST
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs FIN,RST FIN,RST
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs ACK,FIN FIN
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs ACK,URG URG
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs ACK,PSH PSH
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs ALL FIN,URG,PSH
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs ALL SYN,RST,ACK,FIN,URG
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs ALL ALL
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny inbound tcp-flag pairs ALL FIN
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny outbound tcp-flag pairs ALL NONE
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny outbound tcp-flag pairs SYN,FIN SYN,FIN
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny outbound tcp-flag pairs SYN,RST SYN,RST
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny outbound tcp-flag pairs FIN,RST FIN,RST
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny outbound tcp-flag pairs ACK,FIN FIN
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny outbound tcp-flag pairs ACK,PSH PSH
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny outbound tcp-flag pairs ACK,URG URG
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny all fragmented udp
Sep 17 06:25:02 ks307109 apf(16667): {pkt_sanity} deny outbound tcp port 0
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} set active BLK_P2P
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from tcp port 1214
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from udp port 1214
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from tcp port 2323
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from udp port 2323
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from tcp port 4660:4678
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from udp port 4660:4678
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from tcp port 6257
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from udp port 6257
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from tcp port 6699
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from udp port 6699
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from tcp port 6346
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from udp port 6346
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from tcp port 6347
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from udp port 6347
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from tcp port 6881:6889
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from udp port 6881:6889
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from tcp port 6346
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from udp port 6346
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from tcp port 7778
Sep 17 06:25:02 ks307109 apf(16667): {blk_p2p} deny all to/from udp port 7778
Sep 17 06:25:02 ks307109 apf(16667): {glob} SET_REFRESH is set to 10 minutes
Sep 17 06:25:02 ks307109 apf(16667): {glob} loading log.rules
Sep 17 06:25:02 ks307109 apf(16667): {glob} virtual net subsystem disabled.
Sep 17 06:25:02 ks307109 apf(16667): {glob} loading main.rules
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 21 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 22 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 25 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 53 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 80 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 110 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 143 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 443 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 3306 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 7171 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 7172 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound tcp port 953 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound udp port 53 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound udp port 111 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound icmp type 3 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound icmp type 5 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound icmp type 11 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound icmp type 0 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound icmp type 30 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} opening inbound icmp type 8 on 0/0
Sep 17 06:25:02 ks307109 apf(16667): {glob} resolv dns discovery for 213.186.33.99
Sep 17 06:25:02 ks307109 apf(16667): {glob} loading postroute.rules
Sep 17 06:25:02 ks307109 apf(16667): {glob} default (egress) output accept
Sep 17 06:25:02 ks307109 apf(16667): {glob} default (ingress) input drop
Sep 17 06:25:02 ks307109 apf(16627): {glob} firewall initalized
Sep 17 06:25:02 ks307109 apf(16627): {glob} fast load snapshot saved
Natomiast w /var/log/messages:

Kod: Zaznacz cały

Sep 11 06:25:08 ks307109 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Sep 11 06:25:08 ks307109 rsyslogd: [origin software="rsyslogd" swVersion="3.18.6" x-pid="32384" x-info="http://www.rsyslog.com"] restart
Sep 12 06:25:03 ks307109 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Sep 12 06:25:03 ks307109 rsyslogd: [origin software="rsyslogd" swVersion="3.18.6" x-pid="32384" x-info="http://www.rsyslog.com"] restart
Sep 13 06:25:03 ks307109 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Sep 13 06:25:03 ks307109 rsyslogd: [origin software="rsyslogd" swVersion="3.18.6" x-pid="32384" x-info="http://www.rsyslog.com"] restart
Sep 14 06:25:02 ks307109 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Sep 14 06:25:02 ks307109 rsyslogd: [origin software="rsyslogd" swVersion="3.18.6" x-pid="32384" x-info="http://www.rsyslog.com"] restart
Sep 15 06:25:03 ks307109 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Sep 15 06:25:03 ks307109 rsyslogd: [origin software="rsyslogd" swVersion="3.18.6" x-pid="32384" x-info="http://www.rsyslog.com"] restart
Sep 16 06:25:02 ks307109 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Sep 16 06:25:02 ks307109 rsyslogd: [origin software="rsyslogd" swVersion="3.18.6" x-pid="32384" x-info="http://www.rsyslog.com"] restart
Sep 17 06:25:02 ks307109 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Sep 17 06:25:02 ks307109 rsyslogd: [origin software="rsyslogd" swVersion="3.18.6" x-pid="32384" x-info="http://www.rsyslog.com"] restart

Niech ktoś mi wytłumaczy, co się tutaj dzieje, bo już całkiem zgłupiałem. Hasła do konta root ani żadnego innego użytkownika nikt nie zna, a ja nie robiłem absolutnie nic na serwerze co by spowodowało takie cuda.

: 17 września 2011, 16:56
autor: Bastian
Pokaż crontaba.

: 17 września 2011, 21:41
autor: VMLine
To zwykłe przeładowanie apf z crona.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl