This media is not supported in your browser
VIEW IN TELEGRAM
Мудрые вещи говорит
Да как же ебал Telegram со своими багами: случайно открываешь фото, сразу же закрываешь, и приложение превращается в кирпич
👍1
Forwarded from sans corporation (sans {{)
с помощью Iptables можно очень хорошо защитить сервис, смотрящий напрямую в интернет.
я покажу несколько примеров с набором правил iptables. начнём с защиты от сканирования портов. будем банить на 10 минут всех, кто обратится не на открытые порты, например, 5060 и 22.
попробуйте с помощью telnet тыкнуться в любой другой порт, отличный от 22 и 5060. тут же получите бан.
защита от bruteforce средствами iptables на примере ssh порта:
разрешаем только 3 запроса в минуту, третий должен быть удачным, чтобы подключиться, иначе ip адрес уходит в бан на 60 секунд.
можно то же самое сделать с помощью модуля hashlimit. с одного ip разрешаем 2 запроса на соединение (NEW) в минуту (2/m) все остальные пакеты (NEW) c этого ip блокируется:
посмотреть содержимое создаваемого списка BANLIST можно так:
cat /proc/net/xt_recent/BANLIST
src=192.168.13.15 ttl: 128 last_seen: 4295998682 oldest_pkt: 1 4295998682
src=10.8.0.2 ttl: 127 last_seen: 4296007032 oldest_pkt: 4 4295389944, 4295734397, 4295895199, 4296007032
подобные приёмы настраиваются относительно просто для тех, кто хоть немного разбирается в iptables, но при этом очень сильно повышают защищённость сервиса. заблокировав скан портов и повесив службу на нестандартный порт, вы фактически скроете её от посторонних глаз. найти её будет можно, но значительно сложнее, чем без подобной защиты.
полный рабочий набор правил iptables с примерами выше:
https://log.serveradmin.ru/OpfLstlV
заметку рекомендую сохранить.
#iptables #security
я покажу несколько примеров с набором правил iptables. начнём с защиты от сканирования портов. будем банить на 10 минут всех, кто обратится не на открытые порты, например, 5060 и 22.
iptables -A INPUT -m recent --rcheck --seconds 600 --name BANLIST -j DROP
iptables -A INPUT -p tcp -m multiport ! --dports 22,5060 -m recent --set --name BANLIST -j DROP
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 5060 -j ACCEPT
попробуйте с помощью telnet тыкнуться в любой другой порт, отличный от 22 и 5060. тут же получите бан.
защита от bruteforce средствами iptables на примере ssh порта:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BANLIST --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BANLIST --update --seconds 60 --rttl --hitcount 3 -j DROP
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
разрешаем только 3 запроса в минуту, третий должен быть удачным, чтобы подключиться, иначе ip адрес уходит в бан на 60 секунд.
можно то же самое сделать с помощью модуля hashlimit. с одного ip разрешаем 2 запроса на соединение (NEW) в минуту (2/m) все остальные пакеты (NEW) c этого ip блокируется:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit
--hashlimit-name BANLIST --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -j DROP
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
посмотреть содержимое создаваемого списка BANLIST можно так:
cat /proc/net/xt_recent/BANLIST
src=192.168.13.15 ttl: 128 last_seen: 4295998682 oldest_pkt: 1 4295998682
src=10.8.0.2 ttl: 127 last_seen: 4296007032 oldest_pkt: 4 4295389944, 4295734397, 4295895199, 4296007032
подобные приёмы настраиваются относительно просто для тех, кто хоть немного разбирается в iptables, но при этом очень сильно повышают защищённость сервиса. заблокировав скан портов и повесив службу на нестандартный порт, вы фактически скроете её от посторонних глаз. найти её будет можно, но значительно сложнее, чем без подобной защиты.
полный рабочий набор правил iptables с примерами выше:
https://log.serveradmin.ru/OpfLstlV
заметку рекомендую сохранить.
#iptables #security
❤4
Forwarded from 御魂Hacker_🇨🇳-军火库 (黑 大帅🇨🇳)
https://github.com/coffinxp/loxs
best tool for finding SQLi,XSS,LFi,OpenRedirect
#github #tools #SQL #xss
best tool for finding SQLi,XSS,LFi,OpenRedirect
#github #tools #SQL #xss
🥰2
Forwarded from 御魂Hacker_🇨🇳-军火库 (黑 大帅🇨🇳)
https://github.com/iamunixtz/LazyXss
Automation tool to testing and confirm the xss vulnerability.
#github #tools #xss
Automation tool to testing and confirm the xss vulnerability.
#github #tools #xss