IPtable : Conseil sur les forums

Sur les forums il est conseillé de filtrer :

# iptables -A INPUT -s 61.40.0.0/16 -j DROP
# iptables -A INPUT -s 66.210.251.136/32 -j DROP
# iptables -A INPUT -s 202.215.160.75/32 -j DROP

Japan Network Information Center : 202.215.160.75/32
Cox : 66.210.251.136/32 : http://ipv4info.com/domains-in-block/scb470e/66.210.240.0-66.210.255.255.html ( Je pense que c’est contre le SPAM )

A suivre.

My Current iptable-save to filter some IP

My Current iptable-save :

# cat /etc/iptables/rules.v4 
# Generated by xtables-save v1.8.2 on Tue Dec  1 17:22:33 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 112.126.90.41/32 -j DROP
-A INPUT -s 116.147.2.110/32 -j DROP
-A INPUT -s 122.14.209.13/32 -j DROP
-A INPUT -s 158.69.13.199/32 -j DROP
-A INPUT -s 193.112.88.67/32 -j DROP
-A INPUT -s 210.21.218.26/32 -j DROP
-A INPUT -s 223.75.249.2/32 -j DROP
-A INPUT -s 27.50.160.35/32 -j DROP
-A INPUT -s 49.233.63.234/32 -j DROP
-A INPUT -s 91.242.37.16/32 -j DROP
-A INPUT -s 103.87.167.253/32 -j DROP
-A INPUT -s 113.160.229.252/32 -j DROP
-A INPUT -s 113.160.229.252/32 -j DROP
-A INPUT -s 123.201.235.83/32 -j DROP
-A INPUT -s 156.221.147.68/32 -j DROP
-A INPUT -s 171.236.213.49/32 -j DROP
-A INPUT -s 176.240.226.165/32 -j DROP
-A INPUT -s 202.90.133.210/32 -j DROP
-A INPUT -s 216.104.201.88/32 -j DROP
-A INPUT -s 175.172.174.191/32 -j DROP
-A INPUT -s 123.132.65.176/32 -j DROP
-A INPUT -s 103.145.13.43/32 -j DROP
-A INPUT -s 175.21.153.128/32 -j DROP
-A INPUT -s 178.63.34.189/32 -j DROP
-A INPUT -s 74.120.14.36/32 -j DROP
-A INPUT -s 34.240.212.8/32 -j DROP
-A INPUT -s 167.248.133.52/32 -j DROP
-A INPUT -s 162.142.125.52/32 -j DROP
-A INPUT -s 197.53.220.102/32 -j DROP
-A INPUT -s 134.209.87.169/32 -j DROP
-A INPUT -s 66.151.211.226/32 -j DROP
COMMIT
# Completed on Tue Dec  1 17:22:33 2020

On debian it’s necessary to install :

# apt-get install iptables-persistent
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Les paquets supplémentaires suivants seront installés : 
  netfilter-persistent
Les NOUVEAUX paquets suivants seront installés :
  iptables-persistent netfilter-persistent
0 mis à jour, 2 nouvellement installés, 0 à enlever et 2 non mis à jour.
Il est nécessaire de prendre 21,8 ko dans les archives.
Après cette opération, 80,9 ko d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer ? [O/n] O
Réception de :1 http://ftp2.fr.debian.org/debian buster/main amd64 netfilter-persistent all 1.0.11 [10,1 kB]
Réception de :2 http://ftp2.fr.debian.org/debian buster/main amd64 iptables-persistent all 1.0.11 [11,7 kB]
21,8 ko réceptionnés en 0s (82,8 ko/s)         
Préconfiguration des paquets...
Sélection du paquet netfilter-persistent précédemment désélectionné.
(Lecture de la base de données... 122784 fichiers et répertoires déjà installés.)
Préparation du dépaquetage de .../netfilter-persistent_1.0.11_all.deb ...
Dépaquetage de netfilter-persistent (1.0.11) ...
Sélection du paquet iptables-persistent précédemment désélectionné.
Préparation du dépaquetage de .../iptables-persistent_1.0.11_all.deb ...
Dépaquetage de iptables-persistent (1.0.11) ...
Paramétrage de netfilter-persistent (1.0.11) ...
Created symlink /etc/systemd/system/multi-user.target.wants/netfilter-persistent.service → /lib/systemd/system/netfilter-persistent.service.
Paramétrage de iptables-persistent (1.0.11) ...
Traitement des actions différées (« triggers ») pour man-db (2.8.5-2) ...
Traitement des actions différées (« triggers ») pour systemd (241-7~deb10u4) ...

Vulnabilitée elrekt.php afin de lister les IPs qui font des scans

La commande pour avoir les IP :

zgrep "elrekt.php" /var/log/apache2/error* | awk '{print $10}' | sed 's/:/ /g' | awk '{print $1}' | sort  | uniq -c
      1 112.126.90.41
      1 116.147.2.110
      1 122.14.209.13
      1 158.69.13.199
      1 193.112.88.67
      1 210.21.218.26
      1 223.75.249.2
      1 27.50.160.35
      1 49.233.63.234
      1 91.242.37.16

Ensuite un petit blocage :

iptables -A INPUT -s 112.126.90.41 -j DROP
-> China Hangzhou Aliyun Computing Co. Ltd 
iptables -A INPUT -s 116.147.2.110 -j DROP
->  China Nanjing China Unicom 
iptables -A INPUT -s 122.14.209.13 -j DROP
-> China Beijing Beijing Teamsun Technology Co.ltd. 
iptables -A INPUT -s 158.69.13.199 -j DROP
-> Canada Montreal Portalpbx Eirl 
iptables -A INPUT -s 193.112.88.67 -j DROP
-> China Beijing Tencent Cloud Computing (beijing) Co. Ltd 
iptables -A INPUT -s 210.21.218.26 -j DROP
-> China Shenzhen Shenzhen Branch China Netcom Corp 
iptables -A INPUT -s 223.75.249.2 -j DROP
-> China Xiangyang China Mobile Communications Corporation 
iptables -A INPUT -s 27.50.160.35 -j DRO
-> China Zhengzhou Henan Xinfeijinxin Computer Co. Ltd 
iptables -A INPUT -s  49.233.63.234  -j DROP
-> China Beijing Tencent Cloud Computing (beijing) Co. Ltd. 
iptables -A INPUT -s 91.242.37.16  -j DROP
-> RUSSIAN FEDERATION

Comment filtrer rapidement des IP qui attaquent via currentsetting.htm ( Faille de routeur Netgear)

J’ai donc fait la commande :

cat /var/log/apache2/access.*.log | grep currentsetting.htm | awk '{print $1}' | sort -n | uniq -c | sort -n
      1 103.87.167.253
      1 113.160.229.252
      1 113.170.143.127
      1 123.201.235.83
      1 156.221.147.68
      1 171.236.213.49
      1 176.240.226.165
      1 202.90.133.210
      1 216.104.201.88

J’ai donc fait :

iptables -A INPUT -s 103.87.167.253  -j DROP
iptables -A INPUT -s 113.160.229.252  -j DROP
iptables -A INPUT -s 113.160.229.252  -j DROP
iptables -A INPUT -s 123.201.235.83  -j DROP
iptables -A INPUT -s 156.221.147.68  -j DROP
iptables -A INPUT -s 171.236.213.49  -j DROP
iptables -A INPUT -s 176.240.226.165  -j DROP
iptables -A INPUT -s 202.90.133.210  -j DROP
iptables -A INPUT -s 216.104.201.88  -j DROP

Un grand merci à Netgear de faire des failles qui nous permet ensuite de repérer les IP des hackers.

Misère.