Bloqueio de scanners

Exploitz0day
(usa Outra)

Enviado em 16/03/2020 - 02:41h

existe alguma maneira de eu bloquear scanners de vulnerabilidade web no meu servidor? uma vez tentei dar scan em um site a alguns anos atrás e automaticamente o mesmo detectava que se tratava de uma requisição de um scanner, e o mesmo já bloqueava a solicitação (comunicação da minha máquina). alguém sabe uma maneira de fazer isso?

/bin/laden
(usa Void Linux)

Enviado em 17/03/2020 - 17:07h

Testa a seguinte regra do iptables:

#

# Bloqueio contra escaneamento de portas utilizando a porta 22 (SSH) como "isca"

#



#1 - Limita a quantidade de pacotes com flags RST (quanto maior a quantidade de flags RST, maior a probabilidade de estar ocorrendo um portscan)

iptables -t mangle -A PREROUTING -i $IFACE_WAN -p tcp --tcp-flags RST RST -m limit --limit 5/second --limit-burst 2 -j ACCEPT



#2 - Se a 1a regra for verdadeira, define-se a regra de bloqueio (PORT-SCAN) e seu periodo de duracao (24h)

# a partir da qual, toda e qualquer comunicacao do IP do atacante ao servidor sera bloqueada (independente da porta)

iptables -t mangle -A PREROUTING -i $IFACE_WAN -m recent --name PORT-SCAN --rcheck --seconds 86400 -j DROP



#3 - Passada as 24h remove-se a regra de bloqueio

iptables -t mangle -A PREROUTING -i $IFACE_WAN -m recent --name PORT-SCAN --remove



#4 - Adicione a porta 22 como alvo da regra 

iptables -t mangle -A PREROUTING -i $IFACE_WAN -p tcp --dport 22 -m recent --name PORT-SCAN --set -j DROP 

Não esquece de mudar "$IFACE_WAN" pra tua interface de rede conectada à internet.

##########################
echo 1244394795515721490698P | dc