我管理的其中一个云实例被黑了。它目前已关闭,但我想将其与互联网断开连接。所以我可以检查和分析它,它继续造成伤害。
我需要做什么才能做到这一点?
我有一个带有来自不同 ISP 的两个 WAN 连接的路由器。当我从 ISP-A 查询 8.8.8.8 的域时,我得到了完全不同的回复,与我从 ISP-B 查询 8.8.8.8 的同一个域时得到的回复完全不同。
我开始认为他们中的一个正在将流量从 8.8.8.8 和 8.8.4.4 重新路由到他们自己的 DNS 服务器,以避免在他们的主管道上携带该带宽。因此,对域的 IP 所做的更改不会在我认为重新路由流量的那个站点上显示得那么快。
如果 ISP 对此不采取任何措施,是否有人可以抱怨喜欢 ICANN、LACNIC 或 ARIN?谁来监管 ISP?我将如何收集证据?DIG 屏幕截图?
我添加了 20000 条这样的 iptable 规则:
iptables -A INPUT -s 108.62.150.0/24 -j DROP
iptables -A INPUT -s 109.108.64.0/19 -j DROP
iptables -A INPUT -s 109.110.32.0/19 -j DROP
从我的服务器阻止俄罗斯和东欧 ips。
但是,对于这些范围内的许多 ip,我的 fail2ban 仍然无效。
我的规则集的开头看起来像这样:
Chain INPUT (policy DROP)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 127.0.0.0/8
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 224.0.0.0/4 0.0.0.0/0
PUB_IN all -- 0.0.0.0/0 0.0.0.0/0
PUB_IN all -- 0.0.0.0/0 0.0.0.0/0
PUB_IN all -- 0.0.0.0/0 0.0.0.0/0
PUB_IN …