Per iptables alles von innen und aussen sperren

[heikoch]

Kann mir jemand einen Tip geben wie ich per iptables alles von innen und aussen, ausser ssh, Sperren kann?

Habe im Moment keine zeit zum Lesen habe die Erik-Konsole nur zwei Stunden.

Vielen Dank

[rootsvr]

Du sollst Dich nicht einlesen wenn Du es brauchst sondern vorher bescheid wissen.

Mein tip (aus dem Kopf, keine Ahnung ob danach noch was geht:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p tcp -i eth0 --dport 22 -d {IP} -s 0.0.0.0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --sport 22 -s {IP} -d 0.0.0.0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT


Keine Gewähr Du solltest Dich selber damit beschäftigen bevor dir was schlimmes passiert.

[heikoch]

Keine Gewähr Du solltest Dich selber damit beschäftigen bevor dir was schlimmes passiert.

Ist leider schon...

Vielen Dank

[standbye]

wenn der server gehackt wurde und ein rootkit drauf ist werden dir iptables evtl auch nicht mehr helfen.

Da müsstest du einen Server DAVOR haben der nicht kompromitiert ist.

[heikoch]

Hetzner hat mir eine Erik-Konsole gestellt.
Soll nun alles ausser ssh dicht machen.
Dann hätte ich die Möglichkeit Daten zu sichern.
Wenn ich die Daten habe mach ich eine Neuinstallation.

Eine Frage zum Script...
Muss in {IP} die IP des Servers rein?


Heiko Koch

[rootsvr]

Nein .. die von http://www.ichhabekeineAhnung.de ..
natürlich die vom Server.

Servergehackt bedeutet meist: alte Mambo oder Forenscript Version.. schau in den logfiles was es war, fahr alle Dienste Runter die Du finden kannst und mach die Kiste platt.. generell finde ich dein Unwissen eigentlich erschreckend.. ich würde die Zeit nutzen Logfiles zu sichten (während alles andere abgeschaltet ist), die Schwachstelle zu finden und dann die Kiste neu aufzusetzen.

[mattiass]

Hetzner hat mir eine Erik-Konsole gestellt.

Ist das ein Co-Location? Für Mietserver bietet Hetzner Rettungssysteme, die per PXE booten -- bei Co-Location muss man sie unter Angabe der MAC-Adresse erst ordern (AFAIK).

Von einem sauberen PXE-Rettungssystem aus tust Du Dir mit der Rettung via rsync leichter als vom kompromittierten System aus.

[rootsvr]

jau.. man kann sich bei Hetzner aber auch ne Lara ordern wenn man wirklich wissen will was vorgeht.. warum hiernicht mit nem Rettungssystem versucht wird weiß (hoffentlich) nur der Ersteller.

[heikoch]

Auf dem Server ist eingebrochen wurden und dann vom Server im Hetzner-Netz versucht wurden andere zu kompromitieren.
Jetzt hat Hetzner den Server vom Netz genommen.

Heiko Koch

[mattiass]

Auf dem Server ist eingebrochen wurden und dann vom Server im Hetzner-Netz versucht wurden andere zu kompromitieren.
Jetzt hat Hetzner den Server vom Netz genommen.

Aber Hetzner bootet auf Anfrage auch ein Rettungssystem drauf! Damit kannst Du besser arbeiten und musst nicht auf nem kaputten OS mit Iptables rumpfuschen.

Ruf am Besten im RZ an und rede mit einem diensthabenden Admin.

[heikoch]

Das versuche ich seid 2 Stunden. nach dem 10. Klingeln fliege ich raus.

Heiko

[rootsvr]

Im Robot Rettungssystem aktivieren und die Kiste rebooten.. Unter der Supporthotline hab ich bei Hetzner immer jemanden erreicht, im Notfall weiterversuchen..

[mattiass]

Das versuche ich seid 2 Stunden. nach dem 10. Klingeln fliege ich raus.

Dann löse über den Robot einen Incident aus -- der kostet schlimmstenfalls ein paar Euro, Hetzner ruft aber in der Regel innerhalb von 45 Minuten zurück.

Mann, bin ich froh, dass ich Colocation-Kisten habe, da wird man meist prompter bedient. Kostet halt auch mehr...