« Forward Confirmed reverse DNS, или, Зомби не пройдут

Наш ответ libresolv »

Май 5, 2008

Список адресов, с которых осуществляются попытки вторжения в систему

Рубрика: Linux, Администрирование, Безопасность
Метки: attack, intrusion, iptables, атака, вторжение
Vladimir @ 1:19 пп
RSS 2.0

Список взломщиков, полученный на основе анализа журнала безопасности

Анализируя журнал безопасности системы, я добавляю в iptables правила, блокирующие доступ с адресов, с которых замечены попытки вторжения. В большинстве случаев в черный список попадают товарищи, пытающиеся залезть в систему по SSH; иногда я добавляю злостных хакеров, пытающихся устроить DoS или проводящих SQL injection/сканирование на наличие уязвимостей (поиск таких вот товарищей приходится осуществлять вручную, ибо их методы очень различны, и автоматический анализатор, дающий хотя бы 85% гарантию обнаружения, я пока еще не написал).

В надежде, что этот список (оформленный в виде правил для iptables) окажется кому-нибудь полезным (он будет периодически обновляться), выкладываю его в общее пользование.

[-]

View Code Bash

iptables -I INPUT -s 88.191.0.0/16 -j DROP
iptables -I INPUT -s 195.146.32.0/24 -j DROP
iptables -I INPUT -s 211.20.47.0/24 -j DROP
iptables -I INPUT -s 61.32.0.0/16 -j DROP
iptables -I INPUT -s 61.33.0.0/16 -j DROP
iptables -I INPUT -s 61.34.0.0/16 -j DROP
iptables -I INPUT -s 61.35.0.0/16 -j DROP
iptables -I INPUT -s 61.36.0.0/16 -j DROP
iptables -I INPUT -s 61.37.0.0/16 -j DROP
iptables -I INPUT -s 61.38.0.0/16 -j DROP
iptables -I INPUT -s 61.39.0.0/16 -j DROP
iptables -I INPUT -s 61.40.0.0/16 -j DROP
iptables -I INPUT -s 61.41.0.0/16 -j DROP
iptables -I INPUT -s 61.42.0.0/16 -j DROP
iptables -I INPUT -s 61.43.0.0/16 -j DROP
iptables -I INPUT -s 222.240.0.0/16 -j DROP
iptables -I INPUT -s 203.189.0.0/16 -j DROP
iptables -I INPUT -s 211.101.34.0/24 -j DROP
iptables -I INPUT -s 220.90.217.0/24 -j DROP
iptables -I INPUT -s 61.163.0.0/16 -j DROP
iptables -I INPUT -s 203.128.0.0/16 -j DROP
iptables -I INPUT -s 202.202.0.0/16 -j DROP
iptables -I INPUT -s 219.94.128.0/17 -j DROP
iptables -I INPUT -s 221.236.0.0/15 -j DROP
iptables -I INPUT -s 193.239.64.0/24 -j DROP
iptables -I INPUT -s 210.12.0.0/14 -j DROP
iptables -I INPUT -s 211.170.0.0/16 -j DROP
iptables -I INPUT -s 194.242.233.0/24 -j DROP
iptables -I INPUT -s 59.108.0.0/16 -j DROP
iptables -I INPUT -s 202.45.0.0/16 -j DROP
iptables -I INPUT -s 77.249.197.0/24 -j DROP
iptables -I INPUT -s 211.236.180.0/25 -j DROP
iptables -I INPUT -s 211.60.155.0/24 -j DROP
iptables -I INPUT -s 218.9.0.0/16 -j DROP
iptables -I INPUT -s 131.173.161.0/24 -j DROP
iptables -I INPUT -s 82.196.86.2 -j DROP
iptables -I INPUT -s 218.210.0.0/15 -j DROP
iptables -I INPUT -s 61.164.68.128/29 -j DROP
iptables -I INPUT -s 65.36.177.0/24 -j DROP

Политика здесь такая: если атака идет из Китая/Кореи/Японии/Пакистана, блокируется весь диапазон адресов, принадлежащий атакующему (диапазон получается через whois). В зависимости от "тяжести" (метода сканирования, количества попыток, наглости и т.п.) диапазон может сужаться или расширяться (особенно, если организация — университет).

Надеюсь, кому-нибудь списочек пригодится…

Добавить в социальные закладки

• Blink
• del.ici.ous
• Digg
• Furl
• Google
• Simpy
• Spurl
• Y! MyWeb
• БобрДобр
• Мистер Вонг
• Яндекс.Закладки
• Текст 2.0
• News2
• AddScoop
• RuSpace
• RUmarkz
• Memori
• Закладки Google
• Писали
• СМИ 2
• Моё Место
• Сто Закладок
• Ваау!
• Technorati
• LinkStore
• NewsLand
• Lopas
• Закладки - I.UA
• Connotea
• Bibsonomy
• Trucking Bookmarks

Комментарии к статье "Список адресов, с которых осуществляются попытки вторжения в систему" (3) »

1. [Май 5, 2008 10:52 пп] Vladimir:

   Добро пожаловать в чёрный список!

   [-]

   View Code Bash

   # Colombia
   iptables -I INPUT -s 200.21.103.0/24 -j DROP
   # Korea
   iptables -I INPUT -s 121.162.129.0/24 -j DROP
   # Spain
   iptables -I INPUT -s 62.97.91.0/24 -j DROP
   # Bulgaria
   iptables -I INPUT -s 195.34.105.108 -j DROP

   
   #1
2. [Май 11, 2008 4:05 пп] Vladimir:

   [-]

   View Code Bash

   iptables -I INPUT -s 200.21.103.0/24 -j DROP
   iptables -I INPUT -s 121.162.129.0/24 -j DROP
   iptables -I INPUT -s 62.97.91.0/24 -j DROP
   iptables -I INPUT -s 195.34.105.108 -j DROP
   iptables -I INPUT -s 202.153.41.0/24 -j DROP
   iptables -I INPUT -s 83.140.145.226 -j DROP
   iptables -I INPUT -s 117.129.0.0/16 -j DROP
   iptables -I INPUT -s 58.242.148.0/24 -j DROP
   iptables -I INPUT -s 59.112.82.0/24 -j DROP
   iptables -I INPUT -s 89.44.142.24 -j DROP
   iptables -I INPUT -s 118.169.195.0/24 -j DROP
   iptables -I INPUT -s 218.16.119.0/24 -j DROP
   iptables -I INPUT -s 78.129.202.2 -j DROP
   iptables -I INPUT -s 218.249.0.0/16 -j DROP

   
   #2
3. [Июнь 14, 2008 2:41 дп] Vladimir:

   SSH:

   116.125.113.115
   118.98.208.19
   125.64.96.82
   140.130.25.175
   166.122.235.108
   190.220.0.162
   193.108.246.97
   193.2.69.148
   194.206.242.35
   195.112.198.6
   195.114.0.91
   195.138.138.53
   195.149.74.127
   195.43.6.6
   200.111.90.186
   200.125.210.1
   200.217.178.198
   200.30.142.75
   200.41.239.166
   200.74.172.194
   201.6.116.177
   202.108.218.55
   202.125.40.115
   202.152.185.85
   202.194.232.47
   202.249.25.149
   202.71.136.87
   206.104.21.150
   208.53.157.31
   209.133.33.9
   210.22.124.2
   210.253.120.157
   210.94.213.243
   211.100.237.254
   211.115.213.141
   211.117.0.170
   211.144.96.190
   211.152.181.69
   211.154.172.158
   211.22.63.59
   211.90.191.87
   212.230.5.215
   213.171.198.20
   213.193.223.44
   213.195.94.213
   213.92.12.162
   217.197.155.226
   217.199.181.59
   218.103.50.249
   218.28.87.210
   218.30.71.75
   218.60.3.149
   218.65.86.64
   218.69.96.250
   218.7.13.215
   219.129.94.150
   219.138.207.34
   220.207.176.65
   221.131.3.12
   221.136.70.246
   38.112.183.140
   60.12.137.35
   61.128.122.13
   61.152.223.195
   61.177.143.205
   61.183.9.55
   61.4.191.61
   62.193.226.196
   62.75.204.68
   62.75.219.75
   65.111.176.7
   66.98.156.49
   67.220.134.34
   68.13.75.11
   75.135.156.238
   77.92.137.63
   79.113.101.96
   81.7.135.220
   82.174.96.217
   82.214.229.201
   83.175.206.153
   83.3.86.195
   84.14.155.101
   84.244.218.219
   85.17.103.17
   85.17.230.75
   85.43.61.93
   85.71.126.129
   87.117.219.26
   88.191.65.131
   89.200.170.108
   

   FTP:

   193.47.166.211
   218.83.175.129
   78.30.209.215
   

   Relaying:

   146.164.48.5
   218.45.239.250
   207.191.194.245
   218.45.239.250
   70.147.28.181
   

   
   #3

RSS лента комментариев к этой записи. TrackBack URL

Оставить комментарий к записи "Список адресов, с которых осуществляются попытки вторжения в систему"

Имя (обязательно)

Почта (не показывается) (обязательно)

Сайт

CAPTCHA (обязательно)

Оповещать меня о новых комментариях по e-mail

Аттачмент

XHTML: Вы можете использовать эти теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставляя комментарий, Вы выражаете своё согласие с Правилами комментирования.

• 
  

• Подписаться на новости

  Получать на email

  Читать в Google

  Читать в Яндекс

• Страницы
  • О сайте
  • Правила комментирования на блоге
• Рубрики
  • C/C++ (7)
  • CSS (18)
  • HTML (13)
  • JavaScript (6)
  • Linux (9)
  • MySQL (5)
  • PHP (8)
  • Windows (4)
  • WordPress (22)
    • Патчи (11)
    • Плагины (9)
  • Администрирование (8)
  • Безопасность (11)
  • Всё подряд (11)
  • Юмор (8)
• МеткиБезопасность база данных безопасность кросс-браузерное решение макет ошибка патч плагин подсветка синтаксиса разметка разное резиновый макет спам уязвимость хак юмор bug C cross browser CSS hack HTML humor IE6 IE7 IE8 JavaScript layout Linux liquid layout misc MySQL patch PHP plugin Prototype spam syntax highlight Ubuntu vulnerability Wassup Windows WordPress WP CodeBox XHTML
• Календарь

  Июль 2008

  Пн	Вт	Ср	Чт	Пт	Сб	Вс
  « Июнь
  	1	2	3	4	5	6
  7	8	9	10	11	12	13
  14	15	16	17	18	19	20
  21	22	23	24	25	26	27
  28	29	30	31

• Последние записи
  • Правила комментирования на блоге
  • Убиваем рекламу на bash.org.ru, или, Greasemonkey в действии
  • Clicky 0.3b для WordPress и проблемы с JavaScript
  • Кросс-браузерный резиновый трёхколоночный макет в высоту окна
  • Сброс пароля в WordPress 2.5.1
  • CodeBox 0.5 для WordPress
  • OneButton — улучшенный вариант ОднойКнопки
  • Патч для WassUp 1.6
  • Доказана критичность уязвимости в Safari для Windows
  • Скажи “Нет!” взломщику
  • SqlMon: плагин для анализа SQL-запросов
  • WP File Cache: замена WP_Object_Cache с поддержкой долговременного кэширования
  • Ответ на “13 Тэгов, которые следует удалить из вашей темы”
  • WP Secure Admin
  • Мысли вслух
  Добавить в социальные закладки
  • Blink
  • del.ici.ous
  • Digg
  • Furl
  • Google
  • Simpy
  • Spurl
  • Y! MyWeb
  • БобрДобр
  • Мистер Вонг
  • Яндекс.Закладки
  • Текст 2.0
  • News2
  • AddScoop
  • RuSpace
  • RUmarkz
  • Memori
  • Закладки Google
  • Писали
  • СМИ 2
  • Моё Место
  • Сто Закладок
  • Ваау!
  • Technorati
  • LinkStore
  • NewsLand
  • Lopas
  • Закладки - I.UA
  • Connotea
  • Bibsonomy
  • Trucking Bookmarks
• Последние комментарии
  • Vladimir на OneButton — улучшенный вариант ОднойКнопки
  • AlexNote на OneButton — улучшенный вариант ОднойКнопки
  • Vladimir на OneButton — улучшенный вариант ОднойКнопки
  • Vladimir на CodeBox 0.5 для WordPress
  • Сервисы социальных закладок как одно из средств раскрутки сайта | AlexNote на OneButton — улучшенный вариант ОднойКнопки
  • Vladimir на Убиваем рекламу на bash.org.ru, или, Greasemonkey в действии
  • Vladimir на OneButton — улучшенный вариант ОднойКнопки
  • AlexNote на OneButton — улучшенный вариант ОднойКнопки
  • Irina на А работать-то Васе…
  • roose на WP File Cache: замена WP_Object_Cache с поддержкой долговременного кэширования
• Архивы
  • Июль 2008
  • Июнь 2008
  • Май 2008
  • Апрель 2008
  • Март 2008
  • Февраль 2008
  • Январь 2008
• Управление
  • Регистрация
  • Вход
  • RSS Записей
  • RSS Комментариев
  • WordPress.org
• 
•