В IPTables добавляются новые правила. Сервер взломан?

Защита сервера от взлома, антивирус, файрвол, SSL-сертификаты и прочие вопросы, связанные с безопасностью данных.
Ответить
Azzie
Сообщения: 3
Зарегистрирован: Пт фев 04, 2022 1:43 am

В IPTables добавляются новые правила. Сервер взломан?

Сообщение Azzie » Ср июл 06, 2022 3:03 pm

Проблема началась несколько дней назад.
Автоматически блокируется доступ к серверу с разных ip адресов.

Также добавляются множество правил, например

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 ctstate NEW
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 ctstate NEW

В последний раз, пропал доступ к серверу, и восстановился только после перезагрузки, при этом в IPTables появились правила

DROP udp -- !192.168.1.0/24 0.0.0.0/0 udp dpt:111
DROP tcp -- !192.168.1.0/24 0.0.0.0/0 tcp dpt:111

Значит ли это что, сервер взломан, или правила могли генериться панелью автоматически?

И вопрос - какие правила должны быть прописаны по умолчанию?
Попытка "Восстановить конфигурацию правил" - не срабатывает, сервер перестает отвечать, до перезапуска

Аватара пользователя
alenka
Сообщения: 2194
Зарегистрирован: Ср сен 27, 2017 11:10 am

Re: В IPTables добавляются новые правила. Сервер взломан?

Сообщение alenka » Чт июл 07, 2022 8:22 am

В панели интегрирован csf фаервол, он по своим алгоритмам добавляет правила в iptables

Аватара пользователя
sbury
Сообщения: 1463
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: В IPTables добавляются новые правила. Сервер взломан?

Сообщение sbury » Чт июл 07, 2022 9:18 am

DROP udp -- !192.168.1.0/24 0.0.0.0/0 udp dpt:111
DROP tcp -- !192.168.1.0/24 0.0.0.0/0 tcp dpt:111

Значит ли это что, сервер взломан, или правила могли генериться панелью автоматически?
Нет, эти правила добавляет панель автоматически

вы можете попробывать отключить временно csf -x. Его можно будет активировать в любой момент csf -e

Azzie
Сообщения: 3
Зарегистрирован: Пт фев 04, 2022 1:43 am

Re: В IPTables добавляются новые правила. Сервер взломан?

Сообщение Azzie » Чт июл 07, 2022 1:50 pm

Спасибо за ответы. Пытаюсь посмотреть что за правила установлены в csf.
csf -l
Вылетает ошибка
- Error: FASTSTART: (Packet Filter IPv6) [] [ip6tables-restore: line 2 failed]. Try restarting csf with FASTSTART disabled, at line 5825 in /usr/sbin/csf

Аватара пользователя
sbury
Сообщения: 1463
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: В IPTables добавляются новые правила. Сервер взломан?

Сообщение sbury » Пт июл 08, 2022 7:05 am

systemctl status lfd -l
systemctl status csf -l

Аватара пользователя
Billy Bons
Сообщения: 71
Зарегистрирован: Чт дек 14, 2017 7:56 pm

Re: В IPTables добавляются новые правила. Сервер взломан?

Сообщение Billy Bons » Чт дек 15, 2022 8:53 pm

sbury писал(а):
Чт июл 07, 2022 9:18 am
Нет, эти правила добавляет панель автоматически
вы можете попробывать отключить временно csf -x. Его можно будет активировать в любой момент csf -e
У меня csf вообще не установлен, но правила в iptables панель всё равно добавляет. Например, упорно пытается прописать разрешающее правило для доступа к себе через порт 8002 по http из настроек.
Можно как-то попросить панель, чтобы она самовольно не добавляла правила в файрвол?

Аватара пользователя
alenka
Сообщения: 2194
Зарегистрирован: Ср сен 27, 2017 11:10 am

Re: В IPTables добавляются новые правила. Сервер взломан?

Сообщение alenka » Пт дек 16, 2022 8:35 am

Billy Bons писал(а):
Чт дек 15, 2022 8:53 pm
sbury писал(а):
Чт июл 07, 2022 9:18 am
Нет, эти правила добавляет панель автоматически
вы можете попробывать отключить временно csf -x. Его можно будет активировать в любой момент csf -e
У меня csf вообще не установлен, но правила в iptables панель всё равно добавляет. Например, упорно пытается прописать разрешающее правило для доступа к себе через порт 8002 по http из настроек.
Можно как-то попросить панель, чтобы она самовольно не добавляла правила в файрвол?
Покажите правило, которое добавляется.

Аватара пользователя
Billy Bons
Сообщения: 71
Зарегистрирован: Чт дек 14, 2017 7:56 pm

Re: В IPTables добавляются новые правила. Сервер взломан?

Сообщение Billy Bons » Пт дек 23, 2022 9:47 pm

alenka писал(а):
Пт дек 16, 2022 8:35 am
Покажите правило, которое добавляется.
Что-то зря наверное написал: вроде добавлялись, а сейчас смотрел - не добавляются. Извините.

Ответить