Re: [Hackmeeting] Tentativi di accesso da Tim?

Delete this message

Reply to this message
Autore: vecna
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] Tentativi di accesso da Tim?
dominus wrote:
> Ok crash, avevo pensato anche io la stesa cosa,però a scanso di
> equivoci, ci tenevo a comunicare a tim la (enorme) lista di ip che
> cominciano con 217.x.x.x (cioè tim) che ripetutamente rompono le scatole
> (inutilmente).


e' cosi' :)

per prima cosa TIM non ha una classe A, per fortuna :)

http://thewholeinternet.wordtothewise.com/

ma dal log che mi hai passato (finche' sono poche linee neppure asbesto
si lamenta se le passi in lista), sono scan automatici che provengono da
macchine infette.

prima di vedere il log mi stavo facendo un trip immaginando un provider
che fa verifiche automatiche ai servizi esposti.

e poi al fatto che nel 2007 avere tante regole di iptbles non fanno male...

allora perche' non fare cosi'. ti metti tutte le porte aperte in un
file, si puo' partire da qui:

root@unnamed:~# netstat -nat | awk {'print $4 '} | sed -es/.*:// | sort
- -n | uniq | grep -E [0-9]
22
68
80
443
8080

poi lo rendi come il file "lista" qui sotto, l'ho fatto a mano non ho
trovato un modo piu' rapido:

root@unnamed:~# foca=`cat lista`
root@unnamed:~# echo $foca
1:21 23:67 69:79 81:442 444:8079 8081:65535

con iptables puoi impostare una regola con DNAT perche' una porta
contattata sia rigirata su di un'altra.

e oltre che porte singole, anche i range inizio:fine sono accettati.

root@unnamed:~# for i in $foca; do iptables -t nat -A PREROUTING -p tcp
- --dport $i -j DNAT --to-destination IP_INTERFACCIA:8080; done

e tutte le porte chiuse (secondo netstat) vengono rigitare sulla 8080,
rendendo la vita interessante a chi ti vorra' davvero scannare. (o
scansire ? o portscansire ? o portscannare ? o portscansionare ?)


aumentando cosi' il nervosismo al mondo.