[webbaccess]

Halloj...
Började få en del trafik så jag installerade snort på servern.
Har under en tid fått anslutningar som följande

Kod:

[**] [1:2050:7] MS-SQL version overflow attempt [**]
[Classification: Misc activity] [Priority: 3]
01/29-05:10:14.126973 218.22.xxx.xxx:3061 -> 87.237.xxx.xxx:1434
UDP TTL:99 TOS:0x0 ID:7117 IpLen:20 DgmLen:404
Len: 376
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]

Så min fråga är;
Hur blockerar jag port 1434 så dom inte kan ansluta? Har ingen MS-SQL server aktiv så det är egentligen inget större problem med säkerhetshål men vill gärna slippa raderna i loggarna.

Tack på förhand

Edit: Insåg att jag skrev fel i rubrik... Skulle skrivit "Blockera anslutningar till port", så om någon mod kan kanske ändra?

[emilv]

Det unterlättar om du säger vilket operativsystem du kör :-)

[najk]

Med en lämplig brandvägg, iptables, ipfw, pf.. mfl..
Ett tips är att du bör tänka tvärt om, öppna endast de portar du använder och sen blockera alla (resterande).

[najk]

Citat:

Originally posted by emilv@Jan 29 2009, 07:32
Det unterlättar om du säger vilket operativsystem du kör :-)

Står i rubriken, "i Debian"

[emilv]

Citat:

Ursprungligen postat av najk

Citat:

Står i rubriken, i Debian

Aha, jag brukar inte läsa de där smårubrikerna.

I Debian är iptables standardbrandväggen (liksom på de flesta andra distributioner).

iptables -A INPUT -p udp --dport 1434 -j REJECT
eller
iptables -A INPUT -p udp --dport 1434 -j DROP

Den senare skickar inget meddelande tillbaka om att den stängt anslutningen, den kastar bara paketen som de kommer in. Jag rekommenderar också att du har ett skript för dina iptables-regler så att du enkelt kan ladda in dem när du startat om datorn (fast du bör nog inte ha iptables som autostart). Och egentligen är det bättre att ha defaultpolicyn REJECT eller DROP och sedan bara tillåta de portar som du vill att man ska kunna ansluta till.