Я использую сервер с Centos 7 под управлением KVM / виртуализации, я получаю доступ с помощью сервера VNC.
Сегодня я получил предупреждение о том, что мой сервер используется для атаки на другой сервер с использованием порта 111, я полностью потерян. Мой пароль к серверу очень очень сложный, я сомневаюсь, что кто-то может заставить его за несколько лет ... проблема в том, что мне нужно защитить, можно ли отключить этот порт? Мне это нужно? я использовал
netstat -l
в то время как на машине и не видел 111 вхождений, так что, если я блокирую, могу ли я войти в машину и продолжать работать? Если да, как я могу это сделать? Я попробовал это iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT
но не сработало, вывод:
Bad argument `192.168.0.0/24'
Есть ли способ заблокировать его или сделать его доступным только для моей локальной сети / локального хоста (если блокировка заблокирует доступ к серверу)?
Предупреждение, которое я получил:
Общедоступное устройство в вашей сети, работающее по IP-адресу (IP ADDRESS), использует службу сопоставления портов RPC, отвечая на UDP-порт 111, и участвовало в крупномасштабной атаке на нашего клиента, генерируя ответы на поддельные запросы, которые требовали быть от цели атаки.
Пожалуйста, рассмотрите возможность перенастройки этого сервера одним или несколькими из следующих способов:
- Добавление правила брандмауэра для блокирования всего доступа к UDP-порту 111 данного хоста на границе сети (в этом случае он будет по-прежнему доступен на TCP-порту 111).
- Добавление правил брандмауэра для разрешения подключений к этой службе (через порт UDP 111) с авторизованных конечных точек, но блокирует подключения от всех других узлов.
- Полностью отключить службу сопоставления портов (если она не нужна).
Я не использую брандмауэр.