CSF Config Advanced

http://community.mybb.com/thread-109982.html

 

Use CTRL + W to find the following, (one at a time)

Code:
CT_LIMIT
CT_SKIP_TIME_WAIT
SYNFLOOD

and adjust their values to look like this

Code:
CT_LIMIT = "50"
CT_SKIP_TIME_WAIT = "1"
SYNFLOOD = "1"

Now you are protected from DOS and SYN flood attacks, and will be notified by email when an IP is blocked.
——

Protection from spam attacks

You can configure CSF to block know spammers in the Dshield, Spamhaus and BOGON lists, to do this, open the CSF configuration file again,

Code:
cd /etc/csf
nano csf.conf

Use CTRL + W to find the following, (one at a time)

Code:
LF_DSHIELD = "0"
LF_SPAMHAUS = "0"
LF_BOGON = "0"

and adjust their values to look like this,

Code:
LF_DSHIELD = "86400"
LF_SPAMHAUS = "86400"
LF_BOGON = "86400"

BOGON is optional, I don’t recommend it as much.
Now your server and forum is protected from a huge list of known bad IP’s, ever growing.
———-

Other useful settings

You can block countries known to attack, find the following,

Code:
CC_DENY = " "

and modify it to suit your needs, so if you want to block all incoming traffic from Great Britain and China, adjust it like this,

Code:
CC_DENY = "GB,CN "

———-

You can configure lfd to watch directories for suspicious files, find the following,

Code:
LF_DIRWATCH

and give it a value of 300,

Code:
LF_DIRWATCH = "300"

If a suspicious file is found, you will receive an email.
———-

ตรวจสอบว่าเครื่องถูกยิง และวิธีแก้ไขสถานการเบื้องต้น

bunyiam:
สืบเนื่องจากวันนี้ server ของน้องคนหนึ่งถูกกระหน่ำยิงจนไม่สามารถทำงานได้ แล้วผมก็เคยเห็นหลายๆ คนเคยตั้งคำถามไว้ว่าจะรู้ได้อย่างไรว่าเครื่องเราโดนยิงเข้าให้แล้ว วันนี้ก็ถือเป็นโอกาสอันดีที่จะนำความรู้เท่าหางอึงอันน้อยนิดนี้มาแบ่งกัน

การตรวจสอบว่าเราถูกยิงหรือไม่ผ่านคำสั่ง netstat
หลายๆ คนคงรู้วิธีใช้งาน netstat กันบ้างแล้ว คราวนี้จะมาดูวิธีการใช้งาน netstat อย่างประยุคๆ หน่อย
— การใช้ netstat ตรวจสอบการถูกยิงด้วย syn
คำสั่ง netstat -ntu | grep SYN_RECV | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr  อันนี้จะบอกว่า ณ ขณะเวลานั้นๆ มีคนส่ง syn เข้ามาเพื่อขอเชื่อมกับ server ของเรา โดยปกติไม่ควรเกิน 10 ครั้งต่อ 1 IP หากเกินกว่านั้นท่าน Block ได้เลย
— การใช้ netstat นับจำนวน connetion ของแต่ละ IP
คำสั่ง netstat -ntu | grep ESTABLISHED | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr  อันนี้จะบอกว่า ณ ขณะเวลานั้นๆ แต่ละ IP มีการเชื่อมต่อกับเรากี่ connetion  โดยปกติไม่ควรเกิน 10-20 ครั้งต่อ 1 IP หากเกินกว่านั้นท่าน Block ได้เลย

การใช้ netstat ตรวจสอบได้กับ tcp จะง่าย แต่ถ้าเป็น udp icmp ผมจะใช้โปรแกรม iptraf ช่วยอีกแรง ดูง่ายหน่อย
ติดตั้ง yum -y install iptraf
วิธีใช้พิมพ์คำสั่ง iptraf จากนั้นดูว่ามี packet udp icmp วิงผิดปกติหรือเปล่า ถ้ามีก็ดู ip นั้นๆ แล้วนำมา block

การ Block ก็ง่ายๆ ไม่ยากด้วย iptables
ตัวอย่าง

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP ความหมาย -A = เพิ่ม (add), -s = IP ต้นทาง, -j DROP = Block IP นั้นซ่ะ

Block เป็น class

iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -j DROP
Block เป็น Protocal

iptables -A INPUT -p udp –dport 80 -j DROP ความหมาย -p = เลือก Protocal ที่ต้องการ (udp,tcp) , –dpoprt = Port ปลายทาง, –spoprt = Port ต้นทางทาง

แล้ว ก็ฝากเตือนทุกๆ คนที่ server โดยยิง ไม่ว่าจะอย่างไรห้ามยิงกลับเป็นอันขาดนะครับ ต้องป้องกันให้ดีที่สุด เก็บ log แล้วก็แจ้งความเท่านั้นนะครับ เพราะถ้าเรายิงกลับเราจะเป็นฝ่ายที่โดนจับเสียเอง

from : http://www.thaihosttalk.com

DHCP: The MAC address filtering configuration

To add a MAC address to the DHCP allow list

  1. Click Start, point to Administrative Tools and then click DHCP.
  2. In the console tree, expand the applicable DHCP server, expand IPv4, and then expand Filters
  3. Click Allow, click New Filter…, type the Mac address and Description of the client to allow, and then click Add.

To remove a MAC address from the DHCP deny list

  1. Click Start, point to Administrative Tools and then click DHCP.
  2. In the console tree, expand the applicable DHCP server, expand IPv4, and then expand Filters
  3. Click Deny, right-click the MAC address of the client with the corresponding reservation, click Delete and then click Yes.
———————

IPTABLES เซฟไว้อ่านเอง

iptables -A OUTPUT -p udp -m owner –uid-owner `cat /etc/passwd|grep apache: |cut -d: -f3` –dport ! 53 -j DROP

iptables -A OUTPUT -d 202.65.158.84 -j DROP

พอซักพักผมรู้สึกเครื่องหน่วงๆไปอีกจนใช้งานแทบไม่ได้ ไปตรวจสอบดูดันกลายเป็นมี icmp package จำนวนมาก
ผมใช้คำสั่ง block ICMP ทั้ง in และ out
iptables -A OUTPUT -p icmp -j DROP
iptables -A INPUT -p icmp -j DROP
(ไอซ์บอกไม่ค่อยดีนัก)

iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP  +++ ของไอซ์

How to install CSF Firewall

yum install -y perl-libwww-perl
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
perl /etc/csf/csftest.pl
sh /etc/csf/remove_apf_bfd.sh

Change following in csf.conf and save your change and restart csf and lfd. 

SYNFLOOD = "1"
SYNFLOOD_RATE = "25/s"
SYNFLOOD_BURST = "80" 

VERBOSE = "1" 

PS_INTERVAL = "60"
PS_LIMIT = "5" 

LF_NETBLOCK = "1"
LF_NETBLOCK_INTERVAL = "86400"
LF_NETBLOCK_COUNT = "4"
LF_NETBLOCK_CLASS = "C"

http://www.directadmin.com/forum/showthread.php?p=142884

*LF_INTEGRITY = “3600” คือเชค ใน รอบ 1 ชม
*LF_TRIGGER_PERM = “3600” คือ ใครโดนเบนจะแบน 1 ชม
*DENY_TEMP_IP_LIMIT = “100” คือ ไอพีแบนสูงสุด 100 คน

แบบละเอียดล่าสุด

http://www.hosttook.com/wwd/announcements.php?id=21