Shorewall Blacklist

• ใช้ได้กับ Shorewall 4.4.12 ขึ้นมา
• แก้แฟ้ม /etc/shorewall/interfaces โดยเพิ่มความว่า blacklist ต่อท้ายของเดิม เป็น

net eth0 detect tcpflags,logmartians,nosmurfs,blacklist

• เพิ่มลิสต์ที่ต้องการบล็อคลงไปในแฟ้ม /etc/shorewall/blacklist
• ตัวอย่างค้นหาเครื่องที่ต้องการบล็อคการเข้าถึงพอร์ต 80 และ 443

grep -R phpmyadmin/scripts/setup.php /var/log/apache2|cut -d: -f2|awk '{ print $1 }'|sort -t'.' -n -k1,1 -k2,2 -k3,3 -k4,4|uniq

• จากตัวอย่างในเครื่องเราไม่มี phpmyadmin แต่มีคนพยายามเข้าถึงตัวติดตั้ง phpmyadmin ฉะนั้นบล็อค IP พวกนี้ไว้ก่อน (บล็อคถาวรกรั่กๆ…)
• เอา IP จากข้อที่แล้วมาใส่ในแฟ้ม /etc/shorewall/blacklist รูปแบบ

#ADDRESS/SUBNET PROTOCOL PORT

• เช่น

93.115.210.90 tcp 80,443
93.174.93.153 tcp 80,443
94.23.58.185 tcp 80,443
94.102.51.155 tcp 80,443
103.247.21.60 tcp 80,443
107.6.88.155 tcp 80,443
109.163.232.218 tcp 80,443
110.170.34.220 tcp 80,443
111.90.168.5 tcp 80,443
115.84.101.78 tcp 80,443
115.238.101.45 tcp 80,443
115.239.253.11 tcp 80,443
116.93.105.112 tcp 80,443
117.35.96.146 tcp 80,443
118.140.120.26 tcp 80,443
119.52.254.20 tcp 80,443
119.57.51.154 tcp 80,443
122.49.0.220 tcp 80,443
123.125.148.79 tcp 80,443
125.210.204.242 tcp 80,443

• restart shorewall

sudo shorewall restart

• IP ที่ถูกแบล็คลิสต์ อาจหายไปจากสารบบ ทำให้ shorewall start ไม่ขึ้น ต้องลบไอพีดังกล่าวออกไปก่อนจึงจะ start ได้

Compiling /etc/shorewall/blacklist...
ERROR: Unknown Host (93.x4.93.153) : /etc/shorewall/blacklist (line 23)

• จบ… ขอให้สนุกครับ

ที่มา http://shorewall.net/manpages/shorewall-blacklist.html

• คีย์เวิร์ดสำหรับแบน
• /CFIDE/administrator/enter.cfm
• /MyAdmin/scripts/setup.php
• /myadmin/scripts/setup.php
• /phpMyAdmin/scripts/setup.php
• /pma/scripts/setup.php
• /w00tw00t.at.blackhats.romanian.anti-sec:)
• เป็นต้น