Доброго времени суток!
Ребята, с недавнего времени возниклы некие вопросы по непонятному поведению роутера. Роутер работает прекрасно с сетью netbynet.ru, работает SAMBA, dropbear, ftp и WWW. Домашняя сеть состоит из 2х компьютеров - ноутбука во WiFi и системника по Ethernet кабелю.
После установки SSH (dropbear) и открытию порта 22 наружу (телнет отключён раз 22й открыт), начали ломиться и брутфорсить 22й порт - ну да ладно, я сделал post-firewall:
Code:
#!/bin/sh
## WEB,SSH and FTP access from WAN
## Set default policy
iptables -P INPUT DROP
## Removes last default rule
iptables -D INPUT -j DROP
## Open FTP,SSH,WWW ports
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 22 -j brute_force
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
## Block SSH brute force attacks
iptables -N brute_force
iptables -F brute_force
iptables -A brute_force -m state --state NEW -m recent --name attack --set
iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -m limit --limit 1/minute --limit-burst 1 -j LOG --log-prefix 'SSH brute force attack'
iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -j DROP
iptables -A brute_force -j ACCEPT
## Drop other IPs
iptables -A INPUT -j DROP
#Test for post-firewall.log
echo "post-firewall running...">/var/log/post-firewall.log
Ломиться на 22й порт перестали. НО! я заметил, что заходя по SSH, директории появились масса файлов с настройками, которые я никогда не прописывал ручками.
Вот скриншот файлов:
Причем внутри скажем файла filter_rules можно увидеть следующее:
Code:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A SECURITY -p tcp --syn -m limit --limit 1/s -j RETURN
-A SECURITY -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN
-A SECURITY -p udp -m limit --limit 5/s -j RETURN
-A SECURITY -p icmp -m limit --limit 5/s -j RETURN
-A SECURITY -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -p tcp -m tcp -d 192.168.1.1 --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7776 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7777 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp --syn -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -o ppp0 ! -i br0 -j DROP
-A FORWARD -o vlan1 ! -i br0 -j DROP
-A FORWARD ! -i br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
Причем никаких портов 7777 и 7776 я не задавал. И WEB камеры у меня нет.
В логе стали появляться сообщения (обратите внимание на количество посланный и принятых байт).
Code:
Jan 22 11:53:38 pppd[112]: Child process /usr/sbin/pptp 10.7.255.249 --nolaunchpppd (pid 443) terminated with signal 15
Jan 22 11:53:38 pppd[112]: Modem hangup
Jan 22 11:53:38 pppd[112]: Connection terminated.
Jan 22 11:53:38 pppd[112]: Connect time 59.0 minutes.
Jan 22 11:53:38 pppd[112]: Sent 19494331 bytes, received 215195095 bytes.
Jan 22 11:53:38 pppd[112]: Connect time 59.0 minutes.
Jan 22 11:53:38 pppd[112]: Sent 19494331 bytes, received 215195095 bytes.
Jan 22 11:53:38 pppd[112]: Exit.
Jan 22 04:54:39 pppd[112]: Starting link
Jan 22 04:54:39 pppd[112]: Serial connection established.
Jan 22 04:54:39 pppd[112]: Connect: ppp0 <--> /dev/pts/0
Jan 22 04:54:39 pptp[390]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated
Jan 22 04:54:39 pptp[393]: anon warn[route_add:pptp_callmgr.c:457]: route_add: not adding existing route
Jan 22 04:54:39 pptp[393]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request'
Jan 22 04:54:39 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:732]: Received Start Control Connection Reply
Jan 22 04:54:39 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:766]: Client connection established.
Jan 22 04:54:40 pptp[393]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request'
Jan 22 04:54:40 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:851]: Received Outgoing Call Reply.
Jan 22 04:54:40 pptp[393]: anon log[ctrlp_disp:pptp_ctrl.c:890]: Outgoing call established (call ID 0, peer's call ID 32768).
Jan 22 04:54:40 pppd[112]: MPPE 128-bit stateless compression enabled
Jan 22 04:54:43 pppd[112]: Remote IP address changed to 192.168.254.10
Jan 22 04:54:43 PPTP: connect to ISP
Причем в это время (я знаю точно), компьютеры в локалке были выключены. Скажите, можно ли со всем этим разобраться, и что делать???
Прошу Вас протестировать мою систему на предмет уязвимостей, и помочь закрыть от атак мой роутер.
СПИСИБО!