Guclerımızı bılgılerımızı bırlestırelım

gelın ddos hakkında lamerlara karsı koymak ıcın bılgılerımızı guclerımızı bırlestırelım ben bıldıkleırmı yazıyorum sızde yazın mod arkadasta bunu sabıtlesın bı zahmet:
başlıyalım:

pico -w /etc/ssh/sshd_config

Find the line '#Port 22' and uncomment it and change it to look like 'Port [Random high level port here]'.

Request an ip from rackshack and create a nameserver using your registar (like the first time) that will point to that ip and wait till it resolves. (Note: You may have to add an A entry/DNS zone using cpanel or whatever you use as your control panel to get this to function.) Make the name of it something like 'ssh.domain.com', or 'shell1.domain.com'.

When it resolves, ssh into your box and find the line '#ListenAddress 0.0.0.0' and make it look like 'ListenAddress ##.##.##.##' replacing the number signs with the ip address.

Find the line '#Protocol 2, 1' and uncomment it and change it to look like 'Protocol 2'

Find the line '#PermitRootLogin yes' and uncomment it and make it look like 'PermitRootLogin no'.

Now restart SSH using the command:

/etc/rc.d/init.d/sshd restart
telnetı kapatalım

pico -w /etc/xinetd.d/telnet
Note: (change disable = no to yes)
Save and Exit
/etc/init.d/xinetd restart

apf kuralım

1. Make /usr/src the current working directory.
cd /usr/src

2. Fetch the most curent verison of APF.
wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

3. Expand the APF tar.gz file.
tar -xvzf apf-current.tar.gz

4. Remove the tar.gz file.
rm -f apf-current.tar.gz

5. Locate the APF directory.
ls -la

Look for a directory named apf-#.#/ where #.# represents the version of APF being installed (APF version 0.8.7 would be in a directory apf-0.8.7/ and version 0.9 would be in a directory named apf-0.9).

6. Make the APF directory the current working directory.
cd apf-0.9

Use the directory name you located in step 5.
Note that the numbers will change as new versions are released.

7. Run the APF install.
sh ./install.sh

8. Make /etc/apf the current working directory.
cd /etc/apf

9. Edit the conf.apf file as desired.
pico -w conf.apf

A very important part of this firewall you have to edit is the ports. These ports will allow services such as mail, ftp, and ssh come in and out of the server. If you have changed any ports, please modify them below and add/remove as needed.

################

# Common TCP Ports
TCP_CPORTS="21,22,25,26,53,80,110,143,443,2082,2083,2086,2087, 2095,2096,19638" // please note that ports 2082 to port 2095 is mostly used by cpanel, and port 19638 is only use in ensim.

# Common UDP Ports
UDP_CPORTS="53"

################

Note that you must set the DEVM parameter to "0" BUT only after full testing of the firewall. What DEVM does is that once you start APF with DEVM to 1, it will set a cron job to stop APF in 5 minutes so you don't end up locking yourself out.

Turn on Anti-DOS, and the block list for added security.

10. Start APF.
./apf -start
or
service apf start

Note: To stop or restart apf, use the "service apf restart/stop" commands.

11. Set APF to auto restart on reboot:

chkconfig --level 2345 apf on
remove it: chkconfig --del apf

bilgi paylaşımı ana dilimiz olan türkçe de olur arama motorunda iki üç kelime ile aratıp çıkan sonuçlardan bir, iki copy/paste ile olmaz, yukarıdaki yazdıklarını türkçe açıklaması ile yapdığında paylaşım olur, yoksa yukarıdaki yazının yazıların bulunduğu 20,30 siteye bir tane de sen katkı yapmış olursun, ana dilimizde düşünemeden hiçbir sorunu çözemeyiz.

bence sıkayetcı olacagına sende katıl...


Tarih: 30.05.2005 23:24

--------------------------------------------------------------------------------

APF kural tabanlı bir iptables firewalldır.Ayarlanması ve kullanılması özellikle sunucular için çok kolaydır.

Özellikleri:

- Kolay anlaşılan kural tabanlı ayar dosyası.
- Bağımsız giriş ve çıkış filtreleme.
- ID tabanlı çıkış kontrolu bu sayede belirtilen uygulamanın sahibine bakarak çıkış yapıp yapmamasına izin verebilirsiniz.
- Genell tcp/udp port ve icmp tipi ayarlar
- Sistemdeki her ip için özel yapılandırma.
- icmp ataklarını önlemek için icmp tabanlı koruma sistemi
- antidos yazılımı
- dshield.org engel listesi bu listede aktif olan saldırganlar tüm apf kullanan sunucularda erişim hakları engellenir.
- tcp/ip saldırılarını engelleemk için özel sysctl ayar dosyası
- İstenmiyen trafiği engellemekiçin özel hazırlanabilen kural dizisi
- Kernel seçeneklerini kullanabilme abort_on_overflow ve tcp syncookies gibi.
- Kolay yönetilebilir firewall yazılımı.
- Güvenebileceğiniz ve direk olarak engelleyeceğiniz hostları belirtebileceğiniz kural dosyası.
- APF ile uyumlu 3. parti uygulamaları.

Çok etkili bir firewall olmakla beraber sunucuların genelinde bu firewall kullanılmaktadır.Ayar dosyaları ve kurulumu kolaydır ve etkilidir.

Kurulum

1.) /usr/local/src dizinine geçiyoruz.

Kod:
cd /usr/local/src


2.) Dosyayı sunucuya indiriyoruz

Kod:
wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz


3.)Sıkıştırılmış arşiv dosyasını açıyoruz.

Kod:
tar -xvzf apf-current.tar.gz


4.)Uygulamanın bulunduğu dizine giriyoruz

Kod:
cd apf-0.9.5-1/


5.)Kurulum scriptini çalıştırıyoruz.

Kod:
./install.sh




yüklendiğine gösteren mesaj ekrana geliyor
Alıntı:
.: APF installed
Install path: /etc/apf
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/


6.)Ayar dosyasını açıp gerekli düzenlemeleri yapacağız

Kod:
pico /etc/apf/conf.apf


İlk önce değişkenlerin ne olduğunu size açıklayacağım sonra gerekli düzenlemeri yapacağız.

DEVM="1"evolopment mod olarak açıklanıyor firewall ilk kurulduğunda standart olarak bu modda siz ayarları yapana kadar her 5 dakikada bir firewall kurallarını temizliyor.Böylece ssh portunu engelleseniz bile 5 dakika içerisinde girebilirsiniz.Herşeyin yolunda gittiğini anladıktan sonra bu değeri 0 olarak ayarlayın ve firewall ı yeniden başlatın.

LGATE_MAC="": Yerek ağ mac adresidir.Buraya bir değer girildiği zaman sadece buradan gelen isteklere izin verilicektir.Biz bu değeri boş bırakacağız.

LGATE_LOG="0": Değeri 1 olarak ayarlarsanız bütün ağ trafiğinin kayıdı tutulucaktır.Biz bu değeride 0 olarak bırakacağız.

EN_VNET="0": Bu değeri 1 olarak ayarlarsanız sistemdeki tüm ipler için farklı kurallar kurabilirsiniz./etc/apf/vnet/ dizinine bu kuralı yerleştirebilrisiniz gene standart olarak bir template bu dizinde var.

TIF="":Güvenilen ağlar .

DROP_LOG="1": Kernel tabanlı loglama.

LRATE="60": Iptables in dakikada logladığı olay sayısı.

IG_TCP_CPORTS="22":Sistemde içeriye tcp portlarını belirtir.22 yazan yere virgul ile açılıcak portları yazının devamında ekleyeceğiz.

IG_UDP_CPORTS="": İçeriye açılıcak udp portlarını gösterir.

EGF="0":Bu değeri 1 olarak açıcağız çıkan paketlerin filtrelenmesi.


EG_TCP_CPORTS="22":Sitemden dışarıya açılacak tcp portları.

EG_UDP_CPORTS="":Sistemden dışarıya açılıcak udp portları.

USE_DS="0"Dshield.org un engellenenler listesine bu seçeneği 1 olarak seçerseniz katkıda bulunursunuz.

Şimdi cpanel sunucuları için yapacağımız değişiklikleri adım adım anlatalım.

Kod:
pico /etc/apf/conf.apf


1.)Yazarak tekrar ayar dosyamızı açıyoruz

Kod:
USE_DS="0"

ve 3 satır altındaki
Kod:
USE_AD="0"

kısımlarını bulup

Kod:
USE_DS="1"

Kod:
USE_AD="1"


olarak değiştiriyoruz.



2.) IG_TCP_CPORTS yazan kısmı buluyoruz

içindeki portları silip aşağıdaki portları ekliyoruz

Kod:
20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096

Görünümü şu şekilde oluyor

Kod:
IG_TCP_CPORTS="20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096"



3.) IG_UDP_CPORTS kısmını buluyoruz

içindeki portları silip aşağıdaki portları eklliyoruz

Kod:
21,53,873


Görünümü şu şekilde oluyor

Kod:
IG_UDP_CPORTS="21,53,873"




3.)EFG kısmını buluyoruz EGF="0" olan değeri EGF="1" olarak değiştiriyoruz.



4.) EG_TCP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.

Kod:
21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089


Görünümü şu şekilde oluyor

Kod:
EG_TCP_CPORTS="21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089"


5.) EG_UDP_CPORTS kısmını buluyoruz içindeki port listesini temizleyip aşağıdaki portları ekliyoruz.

Kod:
20,21,37,53,873


Görünümü şu şekilde oluyor

Kod:
EG_UDP_CPORTS="20,21,37,53,873"




ayar dosyası ile işimiz bitti dosyayı kaydedip çıkıyoruz.

Diğer kontrol paneli yazılımları için yapıcağınız değişiklikler de bunlardır.

Alıntı:
----Ensim -----
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638"
IG_UDP_CPORTS="53"

EGF="1"
EG_TCP_CPORTS="21,22,25,53,80,110,443"
EG_UDP_CPORTS="20,21,53"



----Plesk -----

IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,993,995,8443"
IG_UDP_CPORTS="37,53,873"

EGF="1"
EG_TCP_CPORTS="20,21,22,25,53,37,43,80,113,443,465,873"
EG_UDP_CPORTS="53,873"




6.) Kod:
/usr/local/sbin/apf -s
komutunu uygulayarak firewall umuzu başlatıyoruz.SSH oturumumuzu kapatıp yeni bir oturum açıp sunucuya girmeye çalışıyoruz.Eğer herhangi bir sorunla karşılaşırda giremezseniz firewall kurallarının 5 dakika içinde silineceğini unutmayın.


7.)Başarılı bir şekilde giriş yaptıysanız editörümüz ile apf nin ayar dosyasını tekrar açıp devolopment moddan çıkartıcaz böylece artık firewall un kuralları 5 dakikada bir temizlenmeyecektir

Kod:
pico /etc/apf/conf.apf


DEVM="1" olan kısımı bulup DEVM="0" değiştiriyorsunuz.

8.) Kod:
/usr/local/sbin/apf -r
komutunu vererke firewall u yeniden başlatıyoruz.


Firewall ile kullanabileceğiniz parametreler

/usr/local/sbin/apf -s : Firewall u açar.
/usr/local/sbin/apf -r : Firewall u yeniden başlatır.
/usr/local/sbin/apf -st : Firewall un durumunu gösterir.
/usr/local/sbin/apf -f : Firewall u durdurur.
/usr/local/sbin/apf -l : Kuralları listeler.

Bir kullanıcının apf yardımı ile sistemden uzaklaştırılması

Kod:
/usr/local/sbin/apf -d ipnumarası
şeklindedir sistemden uzaklaştırmak istediğiniz ip numarası 81.214.247.127 ise
Kod:
/usr/local/sbin/apf -d 81.214.247.127
yazmanız yeterlidir.

Son olarak apf nin sunucu yeniden başlatıldığında otomatik olarak başlatılmasını sağlamak için aşağıdkai komutu giriyoruz.
Kod:
chkconfig --level 2345 apf on


Servera bir nmap çekip açık portlara bakalım.

Herşey istediğimiz gibi

APF antidos modülünün kurulumu:
Antidos modülü bir log analiz modülüdür arka arkaya gelen istekleri değerlendirerek bunu sizin belirlediğiniz değeri aştığında saldırganların sistemden uzaklaştırılmasını sağlamaktadır.

Kod:
/etc/apf/ad/conf.antidos

yazıp konfigurasyon dosyasını açıyoruz
LP_KLOG="0" kısmını bulup
LP_KLOG="1"
olarak değiştiriyoruz.

USR_ALERT="0" kısmını bulup
USR_ALERT="1" olarak değiştiriyoruz.
DET_SF="0" kısmını bulup
DET_SF="1" olarak değiştiriyoruz
Option: USR="[email protected]"kısmını bulup mail adresinizi yazıyorsunuz.
dosyayı kaydedip çıktıktan sonra
Kod:
crontab -e
yazarak crpntab ı açıyoruz buraya aşağıdaki girdiyi yazıyoruz
Kod:
*/2 * * * * root /etc/apf/ad/antidos -a >> /dev/lisanssız 2>&1

ve contabdan çıkıp
Kod:
/usr/local/sbin/apf -r
komutu ile firewall a restart atıyoruz.


APF Firewall unun durumu size mail ile bildirilsin
APF firewall unun durumunun yani çalışıp çalışmadığının ve loglarının size bildirilmesini istiyorsanız aşağıdaki değişikliği yapın

1.)/etc/cron.daily/ klasörüne giriyoruz

Kod:
cd /etc/cron.daily


2.)bilgilendirme dosyasını açıyoruz

Kod:
pico apfdurumbilgisi.sh


3.)İçinde aşağıdaki kodu yapıştırıyoruz mail adresinizi değiştirmeyi unutmayın.

Kod:
#!/bin/bash
tail -100 /var/log/apf_log | mail -s "APF Durum Bilgisi" [email protected]


4.)Kaydedip çıkıyoruz ve dosyaya gerekli izini vereceğiz şimdi.

Kod:
chmod 755 apfdurumbilgisi.sh


artık hergün elinize çalışıp çalışmadığına dair bir rapor gelicektir.

BFD(Brute Force Dedection)
BFD bir modüler shell scriptidir.Sitemdeki kayıtları takip ederek sshd,apache,proftpd,pureftpd,imap,pop3 gibi daemonlara yapılan başarısız girişler belli bir limiti aştığı zaman giriş yapmaya çalışan kullanıcı sistemden uzaklaştırılmaktadır.Kurulumu kolay ve fazla bir ayar gerektirmemektedir.Kuruluma başlıyalım.

Sisteme root olarak giriş yapın

1.)Dosyayı sistemimize çekiyoruz.

Kod:
wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz


2.)Sıkıştırılmış arşiv dosyasını açıyoruz.

Kod:
tar -xvzf bfd-current.tar.gz




3.)Kurulum klasörüne geçiyoruz.

Kod:
cd bfd-*


Uygulamayı sisteme kuruyoruz.

Kod:
./install.sh




4.)Ayar dosyasını açıp gerekli yerleri değiştireceğiz.

Kod:
pico /usr/local/bfd/conf.bfd


ALERT_USR="0"
kısmını
ALERT_USR="1"
şeklinde

EMAIL_USR="root"
kısmınıda mail adresiniz gelecke şekilde değiştiriyorsunuz

EMAIL_USR="[email protected]"

ctrl+x tuş kombinasyonunu kullanarak dosyayı kaydedip çıkıyoruz.

Eğer kendi ipnizin serverdan uzaklaştırılmamasını istiyorsanız;
Kod:

pico -w /usr/local/bfd/ignore.hosts
yazıp kendi ip numaranızı listeye ekliyorsunuz tabi ip numaranız sabir olmalı.

5.)Bfd yi çalıştırıyoruz.
Kod:
/usr/local/sbin/bfd -s

nonamez' Alıntı:

bence sıkayetcı olacagına sende katıl...

Genişletmek için tıkla ...

bu şikayet değil , türkçe içerik veya birşeylere destek konusunda yaptıklarımızın veya inşasında olduklarımızın bir kısmı bu forumda mevcut.