Támadás a webszerver ellen!

[quote:2aa6a7305f="meditor"][quote:2aa6a7305f="bitumen"]

Jut eszembe erről: nem kéne egy jó kis gyűjtőtopikot indítani,
amiben szépen listaszerűen összegyűjtenénk azokat az
IP-ke, ahonnan támadást véltünk felfedezni? Hátha felbukkannak
ismétlődő elemek! Mi a véleményetek erről?

Végül is nem olyan rossz ötlet. Én pp scriptet írok, amelyik sql-adatbázisba tárolja autómatikusan a scannelős ipket. A firewall-script pedig sql adatbázisból olvassa ki a blacklistet...
Egy ilyet publikussá is lehetne tenni, csak az a gond, hogy biztos valaki telenyomja fake-címekkel meg 0.0.0.0/4-el és akkor b@szhatjuk...

Hát valami "zártkörű" klubban azért lehetne ilyet csinálni.
És egy hiteles oldalon közzétenni, a címeket időnként ellenőrizni,
listát karbantartani. Szóval lenne vele meló, de megérné.

Egy nulladik verziót megpróbálhatunk úgy, hogy nyitunk
egy topikot neki és ott gyűjtsük a címeket. Én szívesen kirakok
egy táblázatot ezzel kapcsolatban a honlapomra.

Mondjuk így:

|ipcím|feltételezett tartomány|első észlelő|összes észlelő |szolgáltatás |megjegyzés|

Biztos lesznek köztük egyszerhasználatos címek is.

Akkor mar inkabb szerintem.
Banned network tabla:
ID, remote_ip, supposed/24_network, first_encounter_reporter, first_encounter_time, dest_port, notes
User tabla:
userid, user, stb...
Reports:
reportid, userid, attackid

(Nem vagyok angloman, csak sqlmezoneveket default angolul irom ujabban, oszt raszoktam).

A /16-ra kiterjesztest veszelyesnek tartom, mert whoisolni meg egyebet csinalni teljesen automatizaltan nem biztos hogy tul szerencses. A szolgaltatasbol a port nem kovetkeztethető automatikusan szerintem.

Ha a kezdmenyezeshez tarhely kell, akkor mysql+phpsat tudok prezentalni.

@ andrej_

http://hup.hu/modules.php?name=Forums&file=viewtopic&p=49871&sid=8354528b7e9966c5e835ebc2b45654ea#49871

köszi a lehetőséget, de már csináltam helyet a webszerveren. Persze elegánsabban is meg lehet oldani, kb úgy, ahogy te írtad. Egyenlőre erre volt időm + energiám.
Viszont jó lenne, ha páran kipróbálnák a scriptet, hogy egy "próbaüzemet" csináljunk. Aztán majd elöntjük, hogy lessz e valami belőle vagy nem...

Üdv, Csaba

Nekem végül is mindegy minek hívjuk a mezőket. Bitumennek van egy
scriptecskéje, közzé is tette, nála landolnának az adatok.
Az a bajom vele, hogy nem látom miként különbözteti meg
az egyszerű tévedést a támadástól. Egy balfácánt nem
szivesen tiltanék ki csak azért, mert rendszeresen felcseréli
a jelszavába mondjuk az y-t a z-vel. Én szívem szerint
eleinte a kézi válogatást javasolnám, aztán ha van elég
tapasztalat, akkor írni rá valamit.

Van egy másik topik (Gonosz ip-k vagy valamiilyesmi,
közösségi kerekasztal), gyere át oda, ott vitassuk tovább a
dolgokat.

[quote:b0905786b4="meditor"]
Az a bajom vele, hogy nem látom miként különbözteti meg
az egyszerű tévedést a támadástól. Egy balfácánt nem
szivesen tiltanék ki csak azért, mert rendszeresen felcseréli
a jelszavába mondjuk az y-t a z-vel.

Nekem pl ilyen bejegyzések vannak a logfájlban:
[**] [100:1:1] spp_portscan: PORTSCAN DETECTED from 195.38.118.146 (THRESHOLD 4 connections exceeded in 0 seconds) [**]
[**] [100:2:1] spp_portscan: portscan status from 195.38.118.146: 10 connections across 1 hosts: TCP(10), UDP(0) [**]
[**] [100:3:1] spp_portscan: End of portscan from 195.38.118.146: TOTAL time(3s) hosts(1) TCP(10) UDP(0) [**]
[**] [100:1:1] spp_portscan: PORTSCAN DETECTED from 195.38.118.146 (THRESHOLD 4 connections exceeded in 1 seconds) [**]
[**] [100:2:1] spp_portscan: portscan status from 195.38.118.146: 10 connections across 1 hosts: TCP(10), UDP(0) [**]
[**] [100:2:1] spp_portscan: portscan status from 195.38.118.146: 9 connections across 1 hosts: TCP(9), UDP(0) [**]
[**] [100:3:1] spp_portscan: End of portscan from 195.38.118.146: TOTAL time(9s) hosts(1) TCP(19) UDP(0) [**]

Azért itt nem mondható el hogy véletlen baleset volt. Ez engem jobban idegesít mintha ssh-n akarna bejönni.

[quote:db22f4fd7d="CCrash"][quote:db22f4fd7d="congo"]fogadok egy pizzába hogy megtörték... ez reinstall lesz :(

Félek igazad van.
Csak az asszonynak hogy magyarázom el, hogy megint egy hétig csak gépet simogatok?

Valami ötlet?

egy teljes reinstall osszes beallitassal max 3ora

inkabb minden kapcsolat alapbol DROPolni kene, nem?ha nem megoldahato kesobb megnyitod szolgaltatast amit akarsz engedelyezni. de ssh-nak NEM szabad alapbol nyitottnak lennie mindenki fele. nekem pl mindig is igyvolt es nem tortek meg "server"em... jelenleg 2.4.27-grsec van rajta. nem is fogom upgradelni mer minek joezigy.
reszlet iptables -nvL bol:
[code:1:d3fdb1f749]
Chain INPUT (policy DROP 1813K packets, 592M bytes)
Chain FORWARD (policy DROP 319 packets, 26633 bytes)
Chain OUTPUT (policy DROP 567M packets, 441G bytes)
[/code:1:d3fdb1f749]
eleg gyakori toresi kiserletek.
mai nap ezidaig 3455 probalkozas erkezett (20:42). ebbol nagyresze 135, 445 os, utobbi idoben meg 45973 es 54162 portokra erkezik. szal szerencsere foleg wint celozzak ki maguknak hekkerek bar utolso 2 port nemtom mi lenne...

+erdemes megfigyelni mennyi fele orszagbol jon cucc...
reszlet log elejerol (mai):
[code:1:d3fdb1f749]
macskas:~/scripts/perl# ./blocked.pl ppp0 '.*' 1
[Feb 25 06:34:40] [ppp0] [FROM: 83.222.36.123 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 34912] [DPORT: 45973] -> LU (Luxembourg)
[Feb 25 06:34:43] [ppp0] [FROM: 212.64.16.211 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 1623 ] [DPORT: 45973] -> NL (Netherlands)
[Feb 25 06:34:43] [ppp0] [FROM: 83.222.36.123 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 34912] [DPORT: 45973] -> LU (Luxembourg)
[Feb 25 06:35:02] [ppp0] [FROM: 195.33.208.131 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 55800] [DPORT: 45973] -> TR (Turkey)
[Feb 25 06:35:29] [ppp0] [FROM: 66.131.165.237 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 13213] [DPORT: 52630] -> CA (Canada)
[Feb 25 06:35:38] [ppp0] [FROM: 66.131.165.237 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 13213] [DPORT: 52630] -> CA (Canada)
[Feb 25 06:35:52] [ppp0] [FROM: 195.33.208.131 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 55800] [DPORT: 45973] -> TR (Turkey)
[Feb 25 06:36:01] [ppp0] [FROM: 81.7.122.22 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 63085] [DPORT: 45973] -> LT (Lithuania)
[Feb 25 06:36:04] [ppp0] [FROM: 81.7.122.22 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 63085] [DPORT: 45973] -> LT (Lithuania)
[Feb 25 06:36:06] [ppp0] [FROM: 70.185.4.232 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 62950] [DPORT: 45973] -> US (United States)
[Feb 25 06:36:22] [ppp0] [FROM: 82.36.53.252 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 4053 ] [DPORT: 45973] -> GB (United Kingdom)
[Feb 25 06:36:41] [ppp0] [FROM: 218.208.220.213] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 33125] [DPORT: 45973] -> MY (Malaysia)
[Feb 25 06:37:31] [ppp0] [FROM: 222.152.63.151 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 4480 ] [DPORT: 45973] -> NZ (New Zealand)
[Feb 25 06:37:33] [ppp0] [FROM: 84.67.183.205 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 3214 ] [DPORT: 45973] -> GB (United Kingdom)
[Feb 25 06:37:42] [ppp0] [FROM: 84.67.183.205 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 3214 ] [DPORT: 45973] -> GB (United Kingdom)
[Feb 25 06:38:03] [ppp0] [FROM: 83.222.36.123 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 35535] [DPORT: 45973] -> LU (Luxembourg)
[Feb 25 06:38:21] [ppp0] [FROM: 202.47.155.234 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 3389 ] [DPORT: 45973] -> GU (Guam)
[Feb 25 06:38:22] [ppp0] [FROM: 202.47.155.234 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 3091 ] [DPORT: 45973] -> GU (Guam)
[Feb 25 06:38:42] [ppp0] [FROM: 82.157.32.179 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 1076 ] [DPORT: 45973] -> NL (Netherlands)
[Feb 25 06:39:05] [ppp0] [FROM: 195.217.169.221] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 4911 ] [DPORT: 1433 ] -> GB (United Kingdom)
[Feb 25 06:39:22] [ppp0] [FROM: 202.47.155.234 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 3286 ] [DPORT: 45973] -> GU (Guam)
[Feb 25 06:39:45] [ppp0] [FROM: 24.21.18.92 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 62447] [DPORT: 45973] -> US (United States)
[Feb 25 06:39:57] [ppp0] [FROM: 202.47.155.234 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 3694 ] [DPORT: 45973] -> GU (Guam)
[Feb 25 06:40:02] [ppp0] [FROM: 81.86.233.252 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 3980 ] [DPORT: 45973] -> GB (United Kingdom)
[Feb 25 06:40:24] [ppp0] [FROM: 64.208.31.130 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 60638] [DPORT: 45973] -> US (United States)
[Feb 25 06:40:41] [ppp0] [FROM: 67.118.165.102 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 57441] [DPORT: 45973] -> US (United States)
[Feb 25 06:41:05] [ppp0] [FROM: 67.118.165.102 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 57441] [DPORT: 45973] -> US (United States)
[Feb 25 06:41:22] [ppp0] [FROM: 220.236.186.54 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 57649] [DPORT: 45973] -> AU (Australia)
[Feb 25 06:41:41] [ppp0] [FROM: 69.200.200.82 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 1169 ] [DPORT: 45973] -> US (United States)
[Feb 25 06:42:07] [ppp0] [FROM: 82.34.56.42 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 1753 ] [DPORT: 45973] -> GB (United Kingdom)
[Feb 25 06:42:22] [ppp0] [FROM: 202.47.155.234 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 4017 ] [DPORT: 45973] -> GU (Guam)
[Feb 25 06:42:46] [ppp0] [FROM: 83.235.224.86 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 43471] [DPORT: 45973] -> GR (Greece)
[Feb 25 06:43:02] [ppp0] [FROM: 83.222.36.123 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 36180] [DPORT: 45973] -> LU (Luxembourg)
[Feb 25 06:43:42] [ppp0] [FROM: 219.95.64.109 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 50910] [DPORT: 45973] -> MY (Malaysia)
[Feb 25 06:43:45] [ppp0] [FROM: 219.95.64.109 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 50910] [DPORT: 45973] -> MY (Malaysia)
[Feb 25 06:44:08] [ppp0] [FROM: 24.19.248.122 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 2373 ] [DPORT: 45973] -> US (United States)
[Feb 25 06:44:26] [ppp0] [FROM: 69.196.124.138 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 4051 ] [DPORT: 45973] -> CA (Canada)
[Feb 25 06:44:44] [ppp0] [FROM: 195.181.251.50 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 4481 ] [DPORT: 45973] -> DK (Denmark)
[Feb 25 06:44:56] [ppp0] [FROM: 195.181.251.50 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 4481 ] [DPORT: 45973] -> DK (Denmark)
[Feb 25 06:45:04] [ppp0] [FROM: 222.152.63.151 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 4652 ] [DPORT: 45973] -> NZ (New Zealand)
[Feb 25 06:45:22] [ppp0] [FROM: 83.151.207.163 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 4028 ] [DPORT: 45973] -> GB (United Kingdom)
[Feb 25 06:45:43] [ppp0] [FROM: 24.57.206.0 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 63301] [DPORT: 45973] -> CA (Canada)
[Feb 25 06:46:08] [ppp0] [FROM: 80.219.148.68 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 21258] [DPORT: 45973] -> CH (Switzerland)
[Feb 25 06:46:27] [ppp0] [FROM: 83.222.36.123 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 36752] [DPORT: 45973] -> LU (Luxembourg)
[Feb 25 06:46:37] [ppp0] [FROM: 67.118.165.102 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 57441] [DPORT: 45973] -> US (United States)
[Feb 25 06:46:44] [ppp0] [FROM: 24.57.206.0 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 63594] [DPORT: 45973] -> CA (Canada)
[Feb 25 06:46:52] [ppp0] [FROM: 80.219.148.68 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 21258] [DPORT: 45973] -> CH (Switzerland)
[Feb 25 06:47:02] [ppp0] [FROM: 24.253.41.120 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 2249 ] [DPORT: 45973] -> US (United States)
[Feb 25 06:47:57] [ppp0] [FROM: 139.168.35.128 ] [TO: 213.163.8.1 ] [PROTOCOL: TCP] [SPORT: 46768] [DPORT: 45973] -> AU (Australia)

macskas:~/scripts/perl#
[/code:1:d3fdb1f749]
bocs sok adatert...

macskas

[quote:85eff1caaa="macskas"]mai nap ezidaig 3455 probalkozas erkezett (20:42). ebbol nagyresze 135, 445 os, utobbi idoben meg 45973 es 54162 portokra erkezik. szal szerencsere foleg wint celozzak ki maguknak hekkerek bar utolso 2 port nemtom mi lenne...

ezeknek nagy része egész egyszerűen windowsos vírusok által generált forgalom, vagyis nem 'hekkerek' állnak ezek mögött.

Bocsi,de eleg fura a hozzaallasod. Valahova a bix-be raksz egy upgrade-eletlen gepet minden biztonsagi elovigyazat nelkul, feltorik, es azon hezitalsz, hogy kihozd-e ujratelepiteni... Meg az a csoda, hogy nem futtatnak rajta valami olyat, ami miatt mar reg lehuztak volna francba..

[quote:b547282e68="tso"][quote:b547282e68="macskas"]mai nap ezidaig 3455 probalkozas erkezett (20:42). ebbol nagyresze 135, 445 os, utobbi idoben meg 45973 es 54162 portokra erkezik. szal szerencsere foleg wint celozzak ki maguknak hekkerek bar utolso 2 port nemtom mi lenne...

ezeknek nagy része egész egyszerűen windowsos vírusok által generált forgalom, vagyis nem 'hekkerek' állnak ezek mögött.

hat a dostrojan az magatl irodik meg egyeb virusok szted? amugy nem windowsos probalkozas csak 16db volt ... ezen belul ssh ra UK+2xCN.

De nem letezik, mert barhol elhelyezhetett egy backdoort vagy mas trukkot, amit nem tudsz mashogy eszrevenni, es barmikor visszajon rajta.
A kis gepek a legpotencialisabb celpontok, mert nem annyira vedettek, ezert konnyu bejutni rajuk, es roluk a legegyszerubb elrejtozve tamadast inditani barmi mas ellen.

hat a dostrojan az magatl irodik meg egyeb virusok szted? amugy nem windowsos probalkozas csak 16db volt ... ezen belul ssh ra UK+2xCN.

Örülj neki, nálam naponta kb 50szer próbálkoznak ssh-n. szemetek...

Nalam is probalkoztak, atraktam masik portra, azota nincsenek ilyen scriptes probalkozasok.

hmmm ezt most nem ertem...C Crash most akkor ki az admin???K felel a szerverert te vagy vki mas???

Mert ha te vagy az admin, akkor sztem TE FELELSZ a serverert es nem mas...

Legalabb vald be, h hibaztal nem bun az(na jo lehet:) )

De akkor ne mentegesd magad itt h nem az en hibam, meg nem en vtam a lusta...

Akkor kerdem en: ki nem rakott fel tuzfalat,updatet,security-patcheket?????????

na ezen gondolkozz el...

Byee dozen

[quote:de810a78e8="onyx"]Nalam is probalkoztak, atraktam masik portra, azota nincsenek ilyen scriptes probalkozasok.

jah, én ezt a suliszerveren csináltam. a 22-es port kívülről nem volt nyitva, hát átraktam 522-re az ssh-t. Így otthontól is be tudok lépni... Adminnak meg mind1 lehet, ha eddig nem vette észre :roll:

[quote:91df6b1196="CCrash"]
Kikunyerálni a bix-ből az maga 3 óra, főleg, hogy nem pesti vagyok.
Meg bevallom a szoftveres raid-del is szívtam annak idején. Aztán a felhasználók.

Egyszóval nem szívesen állnék neki. Pedig lehet, hogy az lesz!

mindjart megsajnallak

akkor most kicsit masik oldalrol nezzuk a dolgot

egy upgadeletlen gepet beraksz 100megara(neadj isten gigara de arra remelem nincsen loved) felnyomjak es mondjuk engem dosolnak onnan

szted ez milyen ha forditva tortenik meg?

es itt hezitalsz hogy ujrahuzzad-e?

ilyen mentalitassal nem kell ujrahuzni hanem kapcsold le es vidd vissza a boltba a gepet ahol vetted es ne nyuljal tobbet serverekhez

bizd ezt olyan emberekre akik ertenek hozza es nem lustak upgadelni

mindenkinek jobb lenne

Remélem, én nem kerülök soha ilyen kezekbe.

A tanulság tényleg megvolt...

amúgy backup nincsen??? 8O

[quote:ea0f2b8aad="bitumen"]amúgy backup nincsen??? 8O

AHAHHAHAHAHHA

de van b+

rootkit included

[quote:5ca25ac198="CCrash"][quote:5ca25ac198="dozen"]

Legalabb vald be, h hibaztal nem bun az(na jo lehet:) )

Légyszi figyelmesebben olvass! Háromszor írtam le, hogy hibáztam, ebből kétszer magát ezt a szót használtam.

Bár leírtam azt is, hogy nem én hibáztam csakhogy az nem az elhanyagolt kötelességekre vonatkozott, hanem arra, hogy sztem nem bűn az, ha valaki nem úgy él, hogy állandó támadástól retteg, és készül rá.
Vagy így kéne? Elgondolkoztam. Tényleg én lennék a bűnösen naív? Lehet, hogy neked van igazad. Elismerem, h lehet. De akkor elég szomorú világban élünk!

Pedig az van, hogy egyesek poenbol is torogetnek gepeket, vagy scriptek nyalaznak vegig ip tartomanyokat rest keresve. Jo pelda a legutobbi vadallat, a phpbb worm. "Kicsit" naiv ez az ugysem tornek fel hozzaallas azt hiszem.

Nekem az ssh portomat scannelic állandóan, de a root useren
kívül eddig semmi nem volt jó, amit próbáltak. A root jelszót
meg nem nagyon fogják kitalálni.

Ez egy elméleti kérdés:

Kinyitsz néhány portot, ami kell, mondjuk ftp, ssh, pop3, smtp.
Ezeket átengeded a tűzfalon, merthogy neked is be kell
jönnöd kívülről néha. Az alsó portcím-tartományban csak ezek a
szolgáltatások futnak.

A kérdés arra irányul: van-e értelme a tűzfalnak, ha minden
futó szolgáltatást átengedsz rajta.

(nagyon láma kérdés volt, ne cikizzetek!)

[quote:4e151f468b="macskas"]hat a dostrojan az magatl irodik meg egyeb virusok szted? amugy nem windowsos probalkozas csak 16db volt ... ezen belul ssh ra UK+2xCN.

látom nagyon megy neked hogyan kell kiforgatni az ember szavait.
a 135,445-ös portokról beszéltem, az hogy nem windowsos 'próbálkozásból' csak 16 db volt az pont ezt mutatja de mind1.

[quote:e3c5a7d360="meditor"]de a root useren
kívül eddig semmi nem volt jó, amit próbáltak.

/me kardba dől.

Pedig az van, hogy egyesek poenbol is torogetnek gepeket, vagy scriptek nyalaznak vegig ip tartomanyokat rest keresve

Kéne egy scriptet írni, amelyik az auth.log-ból kiszedi az ip-ket és fóóóóóóódol vmi 10gbit-et. Ilyet eddig csak webszerver-dos-al csináltam, de igazán megérdemlik ezek a trágya alakok! :twisted:

aztán majd jöhetsz az NBH-ba elbeszélgetésre :wink: :twisted:

[quote:9f898c339c="congo"]aztán majd jöhetsz az NBH-ba elbeszélgetésre :wink: :twisted:

amúgy miről szól egy ilyen beszélgetés? Mik a következmények? Nem azé mer csinánám, csak mert érdekel. (amúgy mint tudjátok, traffic is expensive...)

akarom mondani mehetsz
a fenéért kell kiforgatni az ember minden elírt szavát... :?

"Nekem az ssh portomat scannelic állandóan, de a root useren
kívül eddig semmi nem volt jó, amit próbáltak. A root jelszót
meg nem nagyon fogják kitalálni."

Na nee. Nem sshzunk rootkent...

[quote:bf3b446fef="meditor"]Nekem az ssh portomat scannelic állandóan, de a root useren
kívül eddig semmi nem volt jó, amit próbáltak. A root jelszót
meg nem nagyon fogják kitalálni.

Ez egy elméleti kérdés:

Kinyitsz néhány portot, ami kell, mondjuk ftp, ssh, pop3, smtp.
Ezeket átengeded a tűzfalon, merthogy neked is be kell
jönnöd kívülről néha. Az alsó portcím-tartományban csak ezek a
szolgáltatások futnak.

A kérdés arra irányul: van-e értelme a tűzfalnak, ha minden
futó szolgáltatást átengedsz rajta.

(nagyon láma kérdés volt, ne cikizzetek!)

Azert mondjuk az SSH DSA kulcsossa teheto es NEM sshzunk rootkent, sot tiltjuk azt, oszt van allowusers is es a su-t is erdemes csak a wheel csoportnak engedni peldaul. Az ftp/smtp autholhat mysqlbol es az ssh-t sem kell mindenhonnan engedni, aztan lehet chrootolni (ahogy a postfix default chrootolja a kivulrol elerheto reszeit). En pl. nem egy kinai meg koreai meg mittom milyen tartomanyt tettem DROP-ra ilyen szkenneleses jatek miatt. A tuzfallal rengeteg localhoston futo alkalmazast tudsz megvedeni, amiket meg veletlenul sem akarod, hogy kivulrol elerjenek vagy csak adott IP-krol.

Auth.log + script: Dosolni mast teljesen folosleges, a szolgaltatoddal baxol ki. Jobb ha a /16 vagy /24-es tartomanyt DROP-ra teszed es hello. Egyebkent akkor mar a maillogot es ftplogot is figyeld, mert smtp authra es default ftp jelszora is jaccanak.

Hmm... te mit ertesz azon, h a bix-en?? Mert sztem a Bix(Budapest Internet eXchange) szal szte m a te szervered nem ott van, hanem a Victor Hugo 18-22 ben egy szerverszobaban...

Jo tanacs: 20.000Ft-ert egy hozzaerto felpakol neked egy FreeBSD-t 4.000Ft-ert havonta kapsz csomagszuro szolgaltatast es van egy egesz secure szervered ...

Ezt ajanlom, vagy maradsz a hagyomanyos "debain confignal, ahogy eddig" es ezzel veszelyeztetsz mindenkit...

En sem orulnek, ha eppen a te gigabites szerveredrol elkezdene vki/vmi DOS-olni a szerverem...

Szal sztem fogadd meg a tanacsom...Az arak tajekoztato jelleguek...de kb. egyeznek a valosaggal :)

na byee dozen

PS: es vigyazz a serveredre....

hi!!

Talaltam neked vmit:
http://www.hup.hu/modules.php?name=Downloads&d_op=viewdownloaddetails&lid=8&title=Biztons%E1gos%20WEB%20server%20%E9pit%E9se

ezt olvasd vegig tuzetesen, hatha ....

byee dozen

[quote:7e209b8930="dozen"]Hmm... te mit ertesz azon, h a bix-en?? Mert sztem a Bix(Budapest Internet eXchange) szal szte m a te szervered nem ott van, hanem a Victor Hugo 18-22 ben egy szerverszobaban...

Jo tanacs: 20.000Ft-ert egy hozzaerto felpakol neked egy FreeBSD-t 4.000Ft-ert havonta kapsz csomagszuro szolgaltatast es van egy egesz secure szervered ...

Ezt ajanlom, vagy maradsz a hagyomanyos "debain confignal, ahogy eddig" es ezzel veszelyeztetsz mindenkit...

En sem orulnek, ha eppen a te gigabites szerveredrol elkezdene vki/vmi DOS-olni a szerverem...

Szal sztem fogadd meg a tanacsom...Az arak tajekoztato jelleguek...de kb. egyeznek a valosaggal :)

na byee dozen

PS: es vigyazz a serveredre....

alapvetoen el kene olvasni nehany doksit, es akkor nem kellene senkinek fizetni...

[quote:213a5cb214="andrej_"]

Azert mondjuk az SSH DSA kulcsossa teheto es NEM sshzunk rootkent, sot tiltjuk azt, oszt van allowusers is es a su-t is erdemes csak a wheel csoportnak engedni peldaul. Az ftp/smtp autholhat mysqlbol es az ssh-t sem kell mindenhonnan engedni, aztan lehet chrootolni (ahogy a postfix default chrootolja a kivulrol elerheto reszeit). En pl. nem egy kinai meg koreai meg mittom milyen tartomanyt tettem DROP-ra ilyen szkenneleses jatek miatt. A tuzfallal rengeteg localhoston futo alkalmazast tudsz megvedeni, amiket meg veletlenul sem akarod, hogy kivulrol elerjenek vagy csak adott IP-krol.

Kössz Andrej, nagyon világos amit írtál. Egyébként nagyjából
úgy csinálom ahogy írtad (DSA, su, chroot), de inkább ösztönösen,
mint tudatosan. A tűzfal mögötti gépeken egyébként soha nem
tapasztalok semmit, tehát VALÓBAN szűri a vonalat.

Jut eszembe erről: nem kéne egy jó kis gyűjtőtopikot indítani,
amiben szépen listaszerűen összegyűjtenénk azokat az
IP-ke, ahonnan támadást véltünk felfedezni? Hátha felbukkannak
ismétlődő elemek! Mi a véleményetek erről?

Azon röhögök egyébként hogy ezek a próbálgatások abból
indulnak ki, hogy mindenkit joe-nak mary-nek vagy bill-nek
hívnak, valamint mindenhol van egy web vagy egy admin
user.

hi zsirfeka!

Tudom, sztem is az lenne a legjobb, ha o oldana meg a dolgot, ez csak egy alternativa volt...

bye dozen

Inkább kérjen (bízzon) meg vkit a telepítéssel és a felügyelettel, majd utána tanuljon bele. Azért nem kevés idő megismerni az apacsot, postfixet, miegymást.

Ahogy elnézem, ez a szerver futni fog így is, úgy is. Jobb lesz mindenkinek, ha egy hozzáértő pakolja fel a rendszert.

Na nee. Nem sshzunk rootkent...

igaz, root-ként csak telnetezni szabad :wink:
akkor szted ssh mint uzer aztán su?

Ha már itt tartunk, akkor elmesélem a történetemet:
Másfél évvel ezelőtt jön a felhasználó, hogy "nem megy a net", mire mondom neki, ilyen nincs. Aztán be akartam ssh-zni a szerverre ami nat-ot csinál, lám, még a ping sem jön vissza... Odamegyek, felcsavarom a képernyőt, hát úgy fagyott mint egy java-t futtató NT. (c) az volt a szerencsém, hogy egy ettercap éppen futott amikor feltörték, és a fagyott képernyőn ott volt az aktív ssh-kapcsolat + ip. restart után eléggé üres volt a /. :roll:

Nem az hibázik, aki pici kerítést épít, nem az, aki nem hord magánál önvédelmi fegyvert! Nem az hibázik, aki nem tanul gyilkolni, nem az aki, nem erőszakol meg fiatal lányokat. S nem az a rossz ember, aki utálja az agressziót!

Ez sztem kicsit mellé ment. Nekem nem kell fegyver, mert az öklöm is elég erős. Ezen kívül produkciós környezetben azért illene apt-get update/upgradelni...
Mind1, elcseszték a szerveredet, velem is ugyanez megtörtént tavaly... hát, az a pár óra az újratelepítésre szerintem tanulópénz...

hat ja

[quote:e81896eb45="CCrash"]Nem én vagyok a hibás!

Jah, sztem is inkább a szomszéd zöldséges. Vazz, verd már orrba légyszi.
Köszi.

[quote:cb56285d6c="Aewyn"][quote:cb56285d6c="CCrash"]Nem én vagyok a hibás!

Jah, sztem is inkább a szomszéd zöldséges. Vazz, verd már orrba légyszi.
Köszi.

a zöldséges nagyon találó :lol:

[quote:6d32fd2c0e="CCrash"]Nem az hibázik, aki pici kerítést épít, nem az, aki nem hord magánál önvédelmi fegyvert! Nem az hibázik, aki nem tanul gyilkolni, nem az aki, nem erőszakol meg fiatal lányokat. S nem az a rossz ember, aki utálja az agressziót!

Jah, és nem az a buzi aki hátul kivágott bőrnadrágban tipeg, tudjuk. :wink:

Jó, én nem is akarlak bántani, alapvetően megértem a problémádat, a többieknek meg jelezném, hogy tessék nyugodtan körülnézni saját házuk tájékán, mert nem az a béna, aki észreveszi, hogy feltörték, hanem az, aki nem. :D

Persze tudom... könnyű észrevenni, ha nem megy a bejelentkezés, de ez még egy szerencsésebb eset, mert a profik nem csinálnak ilyen bakit. :!:

Jut eszembe erről: nem kéne egy jó kis gyűjtőtopikot indítani,
amiben szépen listaszerűen összegyűjtenénk azokat az
IP-ke, ahonnan támadást véltünk felfedezni? Hátha felbukkannak
ismétlődő elemek! Mi a véleményetek erről?

Végül is nem olyan rossz ötlet. Én pp scriptet írok, amelyik sql-adatbázisba tárolja autómatikusan a scannelős ipket. A firewall-script pedig sql adatbázisból olvassa ki a blacklistet...
Egy ilyet publikussá is lehetne tenni, csak az a gond, hogy biztos valaki telenyomja fake-címekkel meg 0.0.0.0/4-el és akkor b@szhatjuk...

[quote:b6876f68b7="bitumen"]

Jut eszembe erről: nem kéne egy jó kis gyűjtőtopikot indítani,
amiben szépen listaszerűen összegyűjtenénk azokat az
IP-ke, ahonnan támadást véltünk felfedezni? Hátha felbukkannak
ismétlődő elemek! Mi a véleményetek erről?

Végül is nem olyan rossz ötlet. Én pp scriptet írok, amelyik sql-adatbázisba tárolja autómatikusan a scannelős ipket. A firewall-script pedig sql adatbázisból olvassa ki a blacklistet...
Egy ilyet publikussá is lehetne tenni, csak az a gond, hogy biztos valaki telenyomja fake-címekkel meg 0.0.0.0/4-el és akkor b@szhatjuk...

Hát valami "zártkörű" klubban azért lehetne ilyet csinálni.
És egy hiteles oldalon közzétenni, a címeket időnként ellenőrizni,
listát karbantartani. Szóval lenne vele meló, de megérné.

Egy nulladik verziót megpróbálhatunk úgy, hogy nyitunk
egy topikot neki és ott gyűjtsük a címeket. Én szívesen kirakok
egy táblázatot ezzel kapcsolatban a honlapomra.

Mondjuk így:

|ipcím|feltételezett tartomány|első észlelő|összes észlelő |szolgáltatás |megjegyzés|

Biztos lesznek köztük egyszerhasználatos címek is.

Hát valami "zártkörű" klubban azért lehetne ilyet csinálni.

Jah. A fórummal csak az a baj, hogy nehéz karbantartani, felhasználni az információkat.
Én egyenlőre az említett scripteket fejlesztem (nemsokára kész lesz) és akkor a honlapomon kilistázom. Így egy autómatikusan frissülő adatbázisunk lesz. Aztán meg közzé teszem a scriptet "megbízható" emberkéknek, akik szintén ilyen problémával küzködnek. És akkor sok gép autómatikusan frissíti az adatbázist, ahonnan viszont mindenki kiolvashatja a címeket. (vagy sql-en keresztül, vagy webes felületen)

[quote:b48033245f="CCrash"]Talán fantasztikus egy kicsit, amit leírok, de igaz.

Vasárnap 0 órától nem ment a szerverünk. Debian stable, semmilyen upgrade, csak az alap. Hibátlan több, mint 1 éve.

Szal nem megy. Ping-elni lehet, de semmilyen porton nem enged be.
Hétfőn reboot. Működik. Csak. Van egy új felhasználó: 00:09 percnél. Nem én hoztam létre, más nem tudja a root jelszót!

syslog: Vasárnap 00:05-től hiányzik minden bejegyzés, egészen a hétfői rebootig.

Figyeljétek az időpontokat! 00:09 a felhasználói regisztráció! Tehát akkor még beengedett a gép, csak nem loggolt?

Valami nagyon nem stimm.
Ha valakit érdekel, szívesen szolgálok a részletekkel: username, syslog részlet, stb.

Hack?

hát ez tényleg fantasztikus, főleg ha a semmilyen upgrade a security frissítésekre vonatkozik
8O

fogadok egy pizzába hogy megtörték... ez reinstall lesz :(

[quote:1110192fde="CCrash"]Valóban nem voltak a security frissítések!

Tudom, lámer voltam, de eddigi alapelvem az volt, hogy ha egy rendszer hibátlanul működik, akkor isten ments hozzányúlni!

Tévedtem!

Hat pedig a debian fele secfixeket nyugodtan raengedheted a rendszerre, nem lattam meg olyat, hogy valami elromlott volna tole. Gondolom tanulsag ez a kovetkezo rendszerhez. Gondolom tedd, amit ilyenkor javasolni szoktak, regi rendszer elment valahova, komplett reinstall, aztan a mentes atnyalazasa, hogy mi hogy tortent, tanulsagkepp.

onyx

[quote:83c833e98a="CCrash"][quote:83c833e98a="congo"]fogadok egy pizzába hogy megtörték... ez reinstall lesz :(

Félek igazad van.
Csak az asszonynak hogy magyarázom el, hogy megint egy hétig csak gépet simogatok?

Valami ötlet?

Jó barát ahol tud segít: az asszonyt bevállaljuk egy hétre. (-::

[quote:e54c3128e8="meditor"]Jó barát ahol tud segít: az asszonyt bevállaljuk egy hétre. (-::

ROTFLMAO :lol:

huhhaa eleg sokaig birta a debianod(1ev) bugfixek nelkul...
Nem akarok beszolni, de napi update nelkul, alap 2.4.20-as kernellel kirakni egy debian szervert ELETVESZELY!!!

Ez most nem flame akart lenni, bocs ha kicsit az lett.

Jo tanacs: - napi update
- legfrissebbek bugfixek
- legeslegfrissebb kernel(grsecurity patchel)
- jol belott tuzfal
- Legfrissebb servicek security patchekkel(apache stb.)

Ha ezek megvannak, akkor mar 1-el nagyobb eselyed van, h betudsz lepni a serveredre, amikor csak akarod:))

byez dozen

grsec+gradm rbac system csutkara korlatozva :)

Sztem egyelore eleg lenne 1 normalisan konfigolt/upgrade-elt rendszer neki, aztan raer a grsec...

[quote:1553578405="YikeSS"]Sztem egyelore eleg lenne 1 normalisan konfigolt/upgrade-elt rendszer neki, aztan raer a grsec...

Azert abbol sosem lesz gond, ha legalabb egy alap grsec fennvan. Rengeteg dolgot megfog, vagy nehezkesse tesz. Ezert szeretjuk. :D

A grsecrol csak annyit, hogy hasznalnam en szivesen, ha nem akadna ossze mindenfelevel:
pl. fsav - jo biztos szarul van megirva
de most pl. egy sarge + raid + mdtools-nal = kernel panic bootolaskor.