Rastros /w00tw00t.at.ISC.SANS.DFind:) en los logs de Apache HTTP

[Power]

Hola,

Soy un pardillo total en el tema de iptables
(Hasta ahora sólo he utilizado el interfaz web del cortafuegos CSF+LFD)

Tengo algunas dudas que no he conseguido aclarar con los tutoriales sobre iptables que he consultado:

Código:

iptables -I INPUT -d dirección_ip_del servidor -p tcp --dport 80 -m string --to 50 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

¿Qué hace el --to 50?
¿Qué hace el --algo bm?
Si quiero que sirva para accesos por cualquier IP (principal o failovers) ¿bastaría con quitar -d dirección_ip_del servidor?

Perdonad mi ignorancia.
Gracias anticipadas.

Saludos

[crises]

No soy ningún entendido del tema pero creo que:

Cita:

Empezado por Power

¿Qué hace el --to 50?

El --to sirve para redireccionar todo lo que filtra a 50, lo que no tengo claro es si es al puerto 50 o a la "ip" 50. En cualquier caso se trataría de... mandarlos a tierra de nadie supongo.

Cita:

Empezado por Power

¿Qué hace el --algo bm?

--algo servía si no recuerdo mal para indicar el tipo de algoritmo que se debe usar para detectar la cadena w00tw00t

[rockeye]

Código:

iptables -m string --help
.
.
.
string match options:
--from                       Offset to start searching from
--to                         Offset to stop searching
--algo                       Algorithm
--icase                      Ignore case (default: 0)
[!] --string string          Match a string in a packet
[!] --hex-string string      Match a hex string in a packet

Las opciones to y from, tienen pinta de ser los limites donde tiene que buscar la cadena dentro del paquete.

Saludos.

[Power]

Hola,

Cita:

Empezado por rockeye

Código:

iptables -m string --help
.
.
.
string match options:
--from                       Offset to start searching from
--to                         Offset to stop searching
--algo                       Algorithm
--icase                      Ignore case (default: 0)
[!] --string string          Match a string in a packet
[!] --hex-string string      Match a hex string in a packet

Las opciones to y from, tienen pinta de ser los limites donde tiene que buscar la cadena dentro del paquete.

Ahora sí lo tengo claro.
(Había intentado entenderlo en www.linuxmanpages.com/man8/iptables.8.php y no había manera.)

Da gusto aprender con buenos profesores.
Muchas gracias rockeye.

Sólo me queda saber si quitando -d dirección_ip_del servidor serviría para cualquier IP del servidor (principal o failover)

Saludos

[rockeye]

jeje ... si es que en el manual de iptables no viene porque es una extensión de iptables. Ese tipo de cosas se activan parcheando, etc. Y la docu la tienes en el web de netfilter. Verás que hay varias extensiones interesantes que salen de lo típico de filtrar IP's, puertos, etc.

http://netfilter.org/documentation/H...ons-HOWTO.html

Pues si, si la quitas hará match con cualquiera, pero igual te interesa poner una regla por cada IP. Así luego cuando hagas un "iptables -L -v", puedes ver las estadísticas por cada una de las IP's.

Saludos.

[Power]

Hola,

Ya he ejecutado ese comando de iptables.
¡¡¡ Y he dejado de tener en /etc/httpd/logs/access_log los mensajes de intentos de acceso al documento /w00tw00t.at.ISC.SANS.DFind !!!

Gracias MAESTRO rockeye.

Ahora ya sólo me queda estudiar cómo poner el comando para que se ejecute cuando se reinicie la máquina.

Muchas gracias, de nuevo, rockeye.

Saludos

[luis_sanz]

se que llego tarde!!

yo lo uso asi
iptables -I INPUT -p tcp --dport 80 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP

por lo que se deduce que la ip se puede eliminar y que el --to no parece ser algo importante, seguramente sera lo que comentais para la busqueda del string

[kennysamuerto]

Cita:

Empezado por luis_sanz

se que llego tarde!!

yo lo uso asi
iptables -I INPUT -p tcp --dport 80 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP

por lo que se deduce que la ip se puede eliminar y que el --to no parece ser algo importante, seguramente sera lo que comentais para la busqueda del string

Personalmente esta me parece la mejor solucion. Directamente cortas de raiz.

[carlose]

Cita:

Empezado por luis_sanz

se que llego tarde!!
iptables -I INPUT -p tcp --dport 80 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP

Lo estoy probando y en Debian sin problemas, pero en la Release 2 parece ser que falta un módulo o algo que hace que funcione lo de "-m string":

Código:

iptables v1.3.4: Couldn't load match 'string':/lib/iptables/libipt_string.so: cannot open shared object file: No such file or directory

Alguien lo ha conseguido usar en la Release 2? Yo de momento no encuentro nada en Google...

[luis_sanz]

Cita:

Empezado por carlose

Lo estoy probando y en Debian sin problemas, pero en la Release 2 parece ser que falta un módulo o algo que hace que funcione lo de "-m string":

Código:

iptables v1.3.4: Couldn't load match 'string':/lib/iptables/libipt_string.so: cannot open shared object file: No such file or directory

Alguien lo ha conseguido usar en la Release 2? Yo de momento no encuentro nada en Google...

hola carlos

es normal que entre diferentes distribuciones cambie un poco la cosa, y mas cuando usas una distro del 2006, ciertamente yo lo estoy usando en ubuntu y debian identicamente, en centos5 tambien es igual pero creo que eso mejor pueden decirlo los 'CPANELSSS' jejejej

si te lias te recomiendo que uses fail2ban, muy sencillo de usar, con una regla muy sencillita puedes bloquear igualmente esto, aunq claro iptables es el primer filtro.