Crashe oraz ataki na serwer - jak się zabezpieczyć?

[PablooSik]

Witam,

Postawiłem Teamspeak.

Ostatnio przyszedł do nas koleś, który zapytał gdzie można zareklamować innego Teamspeaka i po odpowiedzi jednego z adminów, że nie ma takiej opcji u nas, zapytał o możliwość otrzymania rangi administrator kanału by pokazać pewną sztuczkę.

Gdy się dowiedział że nie dostanie, ale może sobie założyć kanał tymczasowy (30 sekund), to poszedł w odpowiednie miejsce i założył takowy - po czym wywaliło serwer na czas istnienia tego kanału (mam skrypt który odpala teamspeaka).

Pytanie - jak to zrobił by to zabezpieczyć? Ma ktoś jakieś pomysły?

 

Ja po tym dziwnym wydarzeniu zrobiłem te kroki:

http://www.mpcforum.pl/topic/690282-poradnik-blokada-telnetu-team-speak-3/

http://www.mpcforum.pl/topic/682069-zabezpieczenie-serwera-przed-atakiem-dos-oraz-ddos/

 

Dzisiaj miałem kolejny atak - wbił koleś, nazwał się Server i poke'ował każdego wpisując że jest nowy Teamspeak (podał też IP) i po chwili TS'a wywaliło na kilka minut.

Proszę o pomoc przy rozwiązaniu takich problemów, zacząłem dość niedawno administrować więc nie znam się na wszystkim, ale wszystkiego się uczę więc proszę o wyrozumiałość jeśli akurat czegoś nie zrozumiem Zależy mi, żeby problemu się pozbyć (komu by nie zależało?), a już nie wiem co to może być.

 

Proszę o wszelkie rady jak można lepiej zabezpieczyć maszynę i samego Teamspeaka.

[Anonnus]

Zależy mogą to być ataki typu DoS lub DDoS to radziłbym zrobić firewalla a jesli po prostu wywala ci ludzi z jakoms informacją to radzę z updatować ts3 do wersji 3.0.11.4 póki niema 3.0.12 stabilnej .

[PablooSik]

A te robienie firewall to jakie kroki trzeba zrobić? Bo dodawanie do IPTable z tych 2 linków zrobilem. Tsa mam w wersji 3.0.11.3, ale nie wywala ludzi (czasem tylko connection lost, ale ostatnio nie ma tego problemu).

Raczej są to ataki DoS lub DDoS bo server uptime mam dalej ponad 100 dni.

[Gorzał]

Jaka masz wersje serwer + gdzie wykupujesz serwer(hosting)

[PablooSik]

Ubuntu 15.04 w Kimsufi

[Gorzał]

Ubuntu 15.04 w Kimsufi

Wersja serwera ts3  + mówisz, że reklama potem -> ts padł, polecam Ci hosteam tam masz troszkę lepsze zabezpieczenia.

Co do wersji ts'a zrób update do najnowszej jeśli nie masz bo na niej tylko dziala jeden explo który ma mało osób

[PablooSik]

Wersja serwera ts3

A post wyżej co masz? 

 

mówisz, że reklama pod ts padł, polecam Ci hosteam tam masz troszkę lepsze zabezpieczenia.

Nie rozumiem tego początku - ni to składu, ni to ładu.

Pisałem, że ktoś chciał reklamować, ale nie dostał zgody i poszedł założyć kanał by pokazać sztuczkę, którą wcześniej wspomniał. Wtedy TS padł na chwilę.

Później pisałem, że dzisiaj znów był jakiś atak bo wszedł gościu, poke'ował każdego z nowym IP i po chwili padło połączenie z TS (pewnie atak bo uptime jest nadal ten sam).

[Gorzał]

A post wyżej co masz? 

 

Nie rozumiem tego początku - ni to składu, ni to ładu.

Pisałem, że ktoś chciał reklamować, ale nie dostał zgody i poszedł założyć kanał by pokazać sztuczkę, którą wcześniej wspomniał. Wtedy TS padł na chwilę.

Później pisałem, że dzisiaj znów był jakiś atak bo wszedł gościu, poke'ował każdego z nowym IP i po chwili padło połączenie z TS (pewnie atak bo uptime jest nadal ten sam).

Wybacz, zwróciłem uwagę na to ubuntu co napisałeś.

Słuchaj, zrób update do bety 3.0.12 albo 3.0.11.4, powinno pomóc.

[PablooSik]

Ok, spróbuję to zrobić późnym wieczorem

Tylko co lepsze? Beta czy jednak te ~11.4

Jeszcze pytanie: jak zrobiłem te rekordy w IPTable to jak teraz łączyć się z telnetem? Bo jak wpiszę telnet 127.0.0.1 to mam connection refused o ile dobrze pamiętam.

[PablooSik]

Ma ktoś jeszcze jakiś pomysł jak dodatkowo zabezpieczyć się przed atakami prócz tego co jest w linkach w 1 poście?
 
 
P.S Jeśli to też ma znaczenie to mam JTS3ServerMod 5.5.4

[PablooSik]

@Refresh +
 
Mógłby ktoś pomóc i podać co trzeba dodać do iptables, aby działał JTS3ServerMod?
Bo po wykonaniu tych wpisów oraz z tego tematu:
http://www.mpcforum.pl/topic/690282-poradnik-blokada-telnetu-team-speak-3/

Nie działa mi ten bot:

`JTS3ServerMod 5.5.4 (11.07.2015) Instance Manager started...
bot1: Virtual bot instance "bot1" starts now
bot1: Unable to connect to Teamspeak 3 server at 127.0.0.1!
bot1: java.net.ConnectException: Connection timed out
bot1: Reconnecting in 65 seconds...

Próbowałem i zrobiłem:
iptables -A INPUT -i eth0 -p tcp -s 127.0.0.1/19 --dport 10011 -j ACCEPT
Ale pewnie to nie to :P

[dopobraniapotrz]

@PablooSik - query Ci się nie może zalogować bo zablokowałeś dostęp... iptables -F usuwa wszystkie regułki. Wpisz i dodaj na nowo tylko potrzebne...

[PablooSik]

Wiem co zrobiłem, już sobie wpisałem iptables -F, tylko że wolałbym mieć dobrze zabezpieczone, ale żeby bot też działał

[dopobraniapotrz]

@PablooSik - to wpisz tylko reguły które nie blokują Ci operacji wykonywanych na co dzień.

[K-Scripts]

Stwórz plik firewall w środku wpisz:

#!/bin/sh

if [ "$1" = "stop" ]
then

echo "Czyszczenie firewalla query rozpoczete"
iptables -F
iptables -t mangle -F
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -X syn-flood
/bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
/bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_source_route
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "0" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/log_martians
echo "Czyszczenie zakonczone"
echo "Firewall query  wylaczony"
exit
fi

echo "Konfiguracja firewalla query rozpoczeta"

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians


iptables -A INPUT -p tcp --dport 10011 -j DROP
iptables -A INPUT -p udp --dport 10011 -j DROP
iptables -I INPUT -p tcp -s 208.167.241.190 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 208.167.241.185 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 208.167.241.186 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 108.61.78.147 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 108.61.78.148 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 108.61.78.149 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 108.61.78.150 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 178.217.189.54 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 86.1.250.241 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 37.59.31.160 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 85.25.120.233 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 178.217.187.56 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 37.187.129.55 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 127.0.0.1 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 178.180.52.52 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 46.205.188.154 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 37.31.113.89 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 37.30.123.106 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 178.217.189.54 --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 178.217.187.196  --dport 10011 -j ACCEPT
iptables -I INPUT -p tcp -s 127.0.0.1 --dport 10011 -j ACCEPT



echo "Konfiguracja firewalla query zakonczona"
echo "Firewall query wlaczony"

Włączanie:

./firewall start

 

Wyłączanie:

./firewall stop

 

 

Ps. Skonfiguruj pod siebie

[PablooSik]

@KlassKai..

Dzięki. Jeszcze mam pytanie co do tego skryciku, co to za IP:

iptables -A INPUT -p tcp --dport 10011 -j DROP

iptables -A INPUT -p udp --dport 10011 -j DROP

iptables -I INPUT -p tcp -s 208.167.241.190 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 208.167.241.185 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 208.167.241.186 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 108.61.78.147 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 108.61.78.148 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 108.61.78.149 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 108.61.78.150 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 178.217.189.54 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 86.1.250.241 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 37.59.31.160 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 85.25.120.233 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 178.217.187.56 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 37.187.129.55 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 127.0.0.1 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 178.180.52.52 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 46.205.188.154 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 37.31.113.89 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 37.30.123.106 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 178.217.189.54 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 178.217.187.196 --dport 10011 -j ACCEPT

iptables -I INPUT -p tcp -s 127.0.0.1 --dport 10011 -j ACCEPT

EDIT: Pierwsze 9 rozumiem (po 2 pierwszych to IP gametrackera)

 

 

Jeśli to ważne to dwa razy jest wpis:

iptables -I INPUT -p tcp -s 127.0.0.1 --dport 10011 -j ACCEPT

 

Dzięki za skrypcik

[Gorzał]

@KlassKai..

Dzięki. Jeszcze mam pytanie co do tego skryciku, co to za IP:

 

Jeśli to ważne to dwa razy jest wpis:

 

Dzięki za skrypcik

127.0.0.1 to jest localhost serwera 

[PablooSik]

Jeśli KidMod to ktoś kto ma być później modem, to staraj się czytać uważniej temat.

Twój post to jak dla mnie nabijanie licznika, bo ktoś kto by przeczytał treść tematu by nie napisał co to jest 127.0.0.1 jeśli by nie chciał nabić posta

[Gorzał]

Jeśli KidMod to ktoś kto ma być później modem, to staraj się czytać uważniej temat.Twój post to jak dla mnie nabijanie licznika, bo ktoś kto by przeczytał treść tematu by nie napisał co to jest 127.0.0.1 jeśli by nie chciał nabić posta

To następnym razem staraj sie wyraźniej pisać.

Wziąłeś to w kodzie napisałeś co to za IP, dostałeś opowiedz

[PablooSik]

Co jest niezrozumiałego dla Ciebie w poście #11?

Bo jak dla mnie skoro pytam o pomoc, przy działaniu bota i sam próbuję dodać adres IP 127.0.0.1 to wychodzi na to, że wiem co to za adres, a twój post to nieśmieszny żart.

Jeszcze bym zrozumiał gdyby to napisał zwykły user, bo tacy zrobią wszystko by nabić sobie posta, bądź robić sobie jaja (i nie czytają całego tematu), ale nie KidMod.

[Gorzał]

Co jest niezrozumiałego dla Ciebie w poście #11? :DBo jak dla mnie skoro pytam o pomoc, przy działaniu bota i sam próbuję dodać adres IP 127.0.0.1 to wychodzi na to, że wiem co to za adres, a twój post to nieśmieszny żart.Jeszcze bym zrozumiał gdyby to napisał zwykły user, bo tacy zrobią wszystko by nabić sobie posta, bądź robić sobie jaja (i nie czytają całego tematu), ale nie KidMod.

Dobra to inaczej hehe, o które addresy Ci chodzi, jeśli o całą resztę poza pierwszymi 9 to jakies addresy które ktos sobie dodał, mogą to być prywatne addresy albo serwerow zewnętrznych

Możesz je spokojnie edytować na swoje albo usunąć.

[Itan]

Dostałeś prosty exploit na kanał, a nikt nie potrafi Ci tego wprost powiedzieć

Zabezpiecz kanały bo to podstawa. 

 

P.S.

Wersja 3.0.12 też już nie jest stabilna 

[PablooSik]

O jakim zabezpieczaniu kanału piszesz, bo jakoś nie kojarzę o co może ci chodzić

[KaaCeeQ]

O jakim zabezpieczaniu kanału piszesz, bo jakoś nie kojarzę o co może ci chodzić

 

np. wyłączenie możliwości edycji opisu kanału przez użytkowników. (daj tą opcję tylko administracji)

[PablooSik]

Akurat tego nie mają goście, którzy mogą stworzyć sobie kanał tymczasowy, a jakoś koleś musiał coś zrobić (sytuację opisałem w pierwszym poście na początku), będąc gościem.