[TIP] Adios Hacks en Pservers

Topic created · 15 Mensajes · 3579 Visitas
  • Ya creo saber el porque! xDDDD creo que haciendo una previa configuracion en el pf.conf de la seccion rc.conf puede que se evite el ataque. Mira el post de Kratoz tendre que preguntarle a wgk puede que el nos ayude.

  • @shino said:

    NO NARCOTICO REQUESO ME DIJO K SU IP SE UNO CON LA MIA Y K EL SERVIDOR NO PUEDE DEFINIR CUAL DE LAS 2 IP ES LA REAL X ESO SE CAE^^

    shino , aqui te dejo una explicación de lo que es un ataque ddos , eso de que se junte tu ip con la suya me suena un poco a pelicula del oeste pero bueno ai te dejo una explicación 🙂

    ¿qué es un ataque distribuido de denegación de servicio (DDoS)?. Intentaré explicarlo de manera muy simple.

    Hace algunos días, mi sitio en Internet estuvo off-line (fuera de línea) durante 45 minutos. La causa fue un masivo ataque distribuido de denegación de servicio contra mi hosting. Para explicar este tipo de ataques los invito a utilizar su imaginación...

    Imagínate que estás en un Bar junto a un amigo, bebiendo unas cervezas, aparte de ti y tu amigo hay dos personas más, un empleado público con su amante. La persona que atiende el Bar es un tipo fortachón llamado Hugo. De pronto tú y tu amigo quieren más cerveza, y llaman a Hugo, les sirven otra corrida, al mismo tiempo el empleado fiscal y su amante también piden otra corrida de cervezas heladas.

    Todo sigue tranquilo, cada 15 minutos aproximadamente llega una persona más al Bar y Hugo le sirve una cerveza. ¡De pronto!, aumenta la frecuencia de clientes al Bar, ya no son los 4 iniciales, ahora son 15. Hugo comienza a transpirar por tanta demanda. A poco andar, la cantidad se duplica y en el Bar sólo se escucha: "Hugo...otra corrida", "Hugo...por acá por favor", "Más Hugo", "Hugo", "Hugo por favor","che flaco" (ese era argentino).

    Hugo comienza a sentirse apremiado de tanta solicitud de cerveza pero atiende sin mayores problemas. El Bar tiene a esas alturas 55 personas. ¡De pronto!... llega todo un equipo de fútbol amateur a celebrar la obtención del campeonato y la misma canción: "Hugo", "hey hugo, por acá", "hugo", "hey amigo", "hugooooo", "huguitoooo".

    Ahora sí, Hugo comienza a dar signos de colapso. De pronto llega otro equipo más (el que perdió el campeonato) y luego los árbitros y luego todo el público que había en el estadio. Resultado: Hugo colapsado, ahora yace desmayado en una esquina del Bar, ya no puede atender a tanta gente. En eso, tú pides una cerveza pero el pobre Hugo no responde, a ti se te ha denegado el servicio a la cerveza.

    Hugo→ El Servidor, las 55 personas del bar → los usuarios. Los árbitros, los equipos de fúlbol y el público → falsos usuarios. Hubo alguien, mal intencionado por cierto, que envío a toda esa gente (falsos usuarios) al Bar de Hugo, sabiendo que no sería capaz, éste despreciable personaje es el atacante del Bar de Hugo, es decir, un Hacker o varios de ellos.

    Fuente : [http://www.maestrosdelweb.com/editorial/ddos/][0]">[http://www.maestrosdelweb.com/editorial/ddos/][1]

    [0]: <a href=
    [1]: http://www.maestrosdelweb.com/editorial/ddos/

  • **Muy buena tu referencia ElixD, me ayudo bastante apartir de esa busqueda.

    Encontre algo referente de un ataque ddos en plataformas BSD (es lo donde estamos) dejo link aqui

    Saludos.**

  • E PROBADO ESTO EN MI SERVER Y UN INSTANTE DE PRUBEA Y ME DIO UN ERROR AL INICIAR EL SERVER :wiii:

    MEN ENVES DE CORREGIR Y COPIAR Y MIRA BN PARA QUE VEAS QUE LAS IP SE UNO DE VES DE TRAFEIRIR 32KSB TRANSFIEREN 64000 ASI K DEBES DE CORREGIR DEBES DE AYUDAR YA QUE E SIDO EL PRIMERO JAJAJ K NOFICFICA ESTA VAINA ^^ DE ESTE ATAQUE k para mi es muy peligroso asi que este foro dever de ser el primero en hacer un aporte NARCOTICO CUALQUIERA COSA QUE SE TE OCURRA HABLAME X MSN AVER y ni sikieran ME DISEN" GRACIAS SHINO X AVISAR DE ESTE ATAQUE ASI LOGRAREMOS JUNTOS PARA CORREGIR ESTE PROBLEMA SI NO LO QUE AHCEN ES CORREGIR LA PROXIMA VES K VEA ARGO K NO SEPAN ME LO GUARDARE Y VALLEN ALA MIERDA "
    @Anghios: Si vas de listillo conmigo, lo llevas claro :icon_redface:

  • **Por el momento lo del Ataque Ddos se puede discutir en Ayudas y preguntas, dejando discutir este tema sobre los hacks.

    Dejo el post original de Kratoz, para que hagan las pruebas correspondientes a lo del Ataque Ddos:**

    [Link

    Hello la communauté,

    Sur ce topic je vais vous faire part de mon petit système de sécurité vraiment très basique. Je met anti-ddos entre "" car rien ne peut vraiment stopper ces attaques.

    Il se compose d'une règle pf, d'une table contenant les ips à bloquer ainsi que d'un script modifier récuperer sur un forum allemand très connu pour ses divers cheats, hacks et développement pour les serveur privé Metin2 big_smile

    Alors je commence mon tuto :

    Premièrement vous devez activer le pf sur votre machine.

    Pour cela direction le rc.conf ( dans /etc )

    Par commande sa donne :

    ee /etc/rc.conf
    

    Vous y ajouter ceci, en même temps on en profite pour déclarer le fichier qui contient les règles du pf :

    pf_enable="YES"
    pf_rules="/etc/pf.conf"
    

    (le pf.conf sera le fichier contenant les règles)

    Je ne connais pas la commande pour activer le pf sans reboot, alors ici vous devez rebooter afin de l'activer, si quelqu'un sait comment l'activer sans rebooter faites m'en part j'éditerais mon sujet smile

    Voila, après le reboot logiquement pf est activé.

    Si vous voulez le désactiver :

    pfctl -d
    

    Et pour le réactiver :

    pfctl -e
    

    Ensuite passons aux règles du pf.conf.

    Créez donc le fichier pf.conf

    ee /etc/pf.conf
    

    Puis ajoutez y :

    pass in all
    table  persist file "/etc/spammer"
    block in from 
    pass in all
    set skip on lo0
    

    Puis faites :

    pfctl -f "/etc/pf.conf"
    

    Afin de recharger les règles et ainsi prendre en compte les modifications du fichier.

    J'explique le fonctionnement :

    La première ligne :
    pf laisse passer toute les ips.

    deuxième ligne :
    on déclare la table contenant toutes les ips détectées comme "floodeuses"

    troisième ligne :
    on bloque toute les ips indésirable contenues dans la table spammers

    quatrième ligne :
    on laisse donc passer toute les ips car les ips indésirables ont été bloquées plus haut

    dernière ligne :
    je ne sais pas vraiment à quoi elle sert, j'avais poster sur des forums d'entraide mes anciennes règles pf et on m'a dit qu'il fallait rajouter "set skip on lo0" afin de ne pas bloquer la boucle locale.

    Maintenant on va créer un fichier vierge nommé "spammer"

    ee /etc/spammer
    

    Ce fichier contiendra toute les ips à bannir. Une ip par ligne.

    Ensuite on passe au script qui détecte les ips floodeuses :

    Direction le dossier /root
    perso j'ai nommé le script "ddos.sh"

    donc :

    ee /root/ddos.sh
    

    Ajoutez y :

    #!/bin/sh
    FR_MIN_CONN=50 #Nombre de requêtes max autorisées par ip
    TMP_PREFIX='/tmp/frrr'
    TMP_FILE=`mktemp $TMP_PREFIX.XXXXXXXX`
    /usr/bin/netstat -ntu -f inet| awk '{if(NR>2 && NF=6) print $5}' | cut -d. -f1-4 | grep '^[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}$' | sort | uniq -c | sort -nr > $TMP_FILE
    while read line; do
     CURR_LINE_CONN=$(echo $line | cut -d" " -f1)
     CURR_LINE_IP=$(echo $line | cut -d" " -f2)
     if [ $CURR_LINE_CONN -lt $FR_MIN_CONN ]; then
     break
     fi
    /sbin/route -q add $CURR_LINE_IP 127.0.0.1
    /bin/echo $CURR_LINE_IP >> /etc/spammer #On rajoute l'ip dans la table des spammers
    done < $TMP_FILE
    /bin/rm -f $TMP_PREFIX.*
    

    je ne saurais pas expliquer ce script en détails car il n'est pas de moi mais je vais vous dire ce que vous pouvez modifier.

    La première ligne correspond au nombre de requêtes simultanée à partir de laquelle celle-ci est détectée comme floodeuse. Donc ici à partir de 50 requêtes effectuée simultanément par une ip elle est détectée comme floodeuse.

    Quand une ip est détectée comme floodeuse que se passe t-il ?

    L'ip est simplement ajoutée au fichier /etc/spammer.

    Puis cette ip est bloquée par le pf.conf qui contient les règles du pf. Pas besoin de recharger les règles du pf à chaque nouvelle car celui-ci ne change pas, seul el fichier /etc/spammer modifie, et on peu dire qu'ici il est considérer comme une variable et donc pas besoin de recharger les règles.

    Dernièrement pour automatiser le script, on va utiliser le crontab

    ee /etc/crontab
    

    puis on y ajoute

    */1    *    *    *    *    root    cd /root; sh ddos.sh
    
    
    Ce qui aura pour effet de vérifier si une ip flood toute les minutes.
    
    Voila voila, vous avez de quoi bloquer les ips indésirables
    
    Si vous voulez bannir une adresse ip de joueur ou n'importe quelle ip il vous suffit de l'ajouter manuellement au fichier /etc/spammer.
    
    Quelque commande qui pourront vous être utiles :
    
    
    pfctl -e #active le pf
    pfctl -d #désactive le pf
    pfctl -f "/etc/pf.conf" #recharge les règles du pf si jamais vous faites des modifications sans devoir rebooter
    

    Voilà si vous avez des suggestions pour améliorer le système je modifierai mon post smile

    Bon ban d'ip

    Opcional, dejo tambien el post de SIOUX.

    Bonjour j ai trouvé sa sur le net a voir si sa marche:

    Premièrement ouvrez Putty

    puis : cd / root et aprés :ee ddos.sh

    Et copié cooler ce scripte:

    #!/bin/sh
    FR_MIN_CONN=200
    TMP_PREFIX='/tmp/frrr'
    TMP_FILE=`mktemp $TMP_PREFIX.XXXXXXXX`
    /usr/bin/netstat -ntu -f inet| awk '{if(NR>2 && NF=6) print $5}' | cut -d. -f1-4 | grep '^[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}$' | sort | uniq -c | sort -nr > $TMP_FILE
    while read line; do
     CURR_LINE_CONN=$(echo $line | cut -d" " -f1)
     CURR_LINE_IP=$(echo $line | cut -d" " -f2)
     if [ $CURR_LINE_CONN -lt $FR_MIN_CONN ]; then
     break
     fi
    /sbin/route -q add $CURR_LINE_IP 127.0.0.1
    /bin/echo $CURR_LINE_IP >> /root/banlist.txt
    /bin/echo "Subject: $CURR_LINE_IP ipden $CURR_LINE_CONN Connect Refused." | /usr/sbin/sendmail -F DDOS@YOURHOST.com -t YourMail@root-tr.com
    done < $TMP_FILE
    /bin/rm -f $TMP_PREFIX.*
    

    sauvegardé le script

    metter le en chmod 777 le ddos.sh

    faire: ee banlist.txt

    mettre:

    ######BANLIST#######
    

    Mais vous devez exécuter Se Script Tous less Semaines minimum

    souce: elit pvpers
    Je n 'est pas utilisé desolé pas eu le temps donc pas sur que sa marche.

    Nota: A peticion de EB-Fr editare este mensaje dentro de 24 horas.]0