Betörés?

Udv!

Mostanában nagyon elszaporodtak ezek a primitív "ssh bruteforce"-ok, több gépen is érzékelhetők, nekem már durván 2 hónapja próbálgatja egy lengyel mailserver a gépeket, ráuntam és írtam nekik egy mail-t, szinte azonnal válaszoltak, hogy van egy zombi gépük amin valaki root jogokhoz jutott és azóta ők sem férnek hozzá távolról, de dolgoznak a problémán és nagyon sajnálják a kellemetlenségeket, megjegyzem egy kis cinikus felhangal, hogy még fel is ajánlották, idézem:

"You need any security configurations help from us -
there is no problem.

We are truly sorry for the inconvenience."

Ja a lengyel támadó gép egy debian woody, blaster.motronik.com.pl, a szörnyű az, hogy már szinte mindegyik gépükről ömlik a szenny, úgyhogy valamit nagyon elnéztek a lengyel srácok.

[quote:82ee312b7e="macroharddoors"]...
Ja a lengyel támadó gép egy debian woody, blaster.motronik.com.pl, a szörnyű az, hogy már szinte mindegyik gépükről ömlik a szenny, úgyhogy valamit nagyon elnéztek a lengyel srácok.

Biztosan világuralomra tör a gép, mert tudatára ébredt, hogy debian alatt élni rossz és ezért most wines szervert keres amiről majd tudja magát klónozni :lol:

[quote:6d39259841="XmIsTeR"]Tűzfalon alapból mindent blokkoltam(Még a pingre se kap választ senki)
Ami nekem kell port engedélyeztem, és az ssh-t más portra raktam.
Sztem nem találnak rá...

nmap -v -sS -O -sV -P0 x.x.x.x

és már meg is van az az ssh szerver.....hiába teszed át más portra.

[quote:ee69d56483="XmIsTeR"]Tűzfalon alapból mindent blokkoltam(Még a pingre se kap választ senki)
Sztem nem találnak rá...

Ha betörtek rá, akkor vsz. már rég IRC-n keresztül irányítgatják. Azon meg semmit sem segít a bejövő kapcsolatok szűrése (mert a géped nyitja kifelé a kapcsolatot, hogy "irányíts, mester").
Futtass rajta chkrootkitet. Ha nem-valami-bonyolult root jelszavad volt (és nem volt kitiltva), akkor szinte biztosan kitalálták a jelszót és úgy léptek be.
IMHO nagyon valószínűtlen, hogy az IP-det hamisították volna.

Tok ecceruen ugy lehet megoldani a problemat, hogy iptables-szel csak azokrol az ipkrol engeded a belepest ahonnan te jossz :)

iptables -A OUTPUT -o $IFACE -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i $IFACE -s x.x.x.x/24 -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT

Rootkitek és biztonsági gondok, stb. felderítésére én a RootkitHuntert szeretem használni, szerintem próbáld ki. :)

http://www.rootkit.nl/projects/rootkit_hunter.html

[quote:1dfe268119="drastik"][quote:1dfe268119="XmIsTeR"]Nos emberek, van egy debian szerverem, egy szerverhoszting alatt.
A napokban jött egy levél a szerverhoszintgnak egy francia cégtől, hogy az ő szerverüket megpróbálják feltörni és az ip az én szerveremé volt, hogyan lehetne lenyomozni, hogy ez, hogyan történhetett? Milyen IP-kről jelentkeztek be SSH-n, stb. ? Köszi a segítséget

szolsz egy debian default installnal jobban a rendszerhez erto embernek hogy csinalja meg, kifizeted es megkoszonod neki

de ne drastiknak szolj, mert o nem ebbe a csoportba tartozik... :D

[quote:acd1661019="Sea-you"]Tok ecceruen ugy lehet megoldani a problemat, hogy iptables-szel csak azokrol az ipkrol engeded a belepest ahonnan te jossz :)

iptables -A OUTPUT -o $IFACE -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i $IFACE -s x.x.x.x/24 -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT

Ha tok egyszerusegrol beszelunk, akkor:
/etc/hosts.deny :
sshd: ALL
/etc/hosts.allow:
sshd: x.x.x.x

Arrol nem is beszelve, hogy a fenti 2 sor iptablesnek nem lesz semmilyen hatasa ACCEPT policys chaineken. Hogy az policy ACCEPT a jelen esetben, az ugye nem kerdes. :)

[quote:7083622168="macroharddoors"]Udv!

Mostanában nagyon elszaporodtak ezek a primitív "ssh bruteforce"-ok, több gépen is érzékelhetők, nekem már durván 2 hónapja próbálgatja egy lengyel mailserver a gépeket, ráuntam és írtam nekik egy mail-t, szinte azonnal válaszoltak, hogy van egy zombi gépük amin valaki root jogokhoz jutott és azóta ők sem férnek hozzá távolról, de dolgoznak a problémán és nagyon sajnálják a kellemetlenségeket, megjegyzem egy kis cinikus felhangal, hogy még fel is ajánlották, idézem:

"You need any security configurations help from us -
there is no problem.

We are truly sorry for the inconvenience."

Ja a lengyel támadó gép egy debian woody, blaster.motronik.com.pl, a szörnyű az, hogy már szinte mindegyik gépükről ömlik a szenny, úgyhogy valamit nagyon elnéztek a lengyel srácok.

Esetleg ha átállítod hogy az ssh ne a default porton figyeljen, hanem egy másikon? Korábban nekem is volt ilyen problémám, hogy Japánból meg Indiából próbálkoztak ezerrel, és miután megváltoztattam az ssh portját, megszűntek a dolgok. Persze ez még közel sem elég, de jóval kevesebben fognak rátalálni a nyitott ssh portodra.

Laci

nem tom lehet hogy hülyeséget mondok de nem egyszerűbb letiltani a root bejelentkezését hálózatról? szerintem azzal megoldódna a gondod.

hali

most nemazé, de ha felmerült a gyanú, hogy esetleg feltörték a rendszered, érdemesebb adatmenteni, s reinstall.. ha ügyes volt a betörő nem feltétlenül jössz rá mit tett a géppel..

[quote:8dd9ec7b5e="zsosza"]hali

most nemazé, de ha felmerült a gyanú, hogy esetleg feltörték a rendszered, érdemesebb adatmenteni, s reinstall.. ha ügyes volt a betörő nem feltétlenül jössz rá mit tett a géppel..

Ahaa és ha mondjuk egy php a bibis,akkor a visszaállított cuccok között ott lesz a bug és ismét minden jön előröl. ;)

[quote:06621bb9d4="XmIsTeR"]
Fontos információkat nem találnak a szerveren szal sok értelme nincs ide betörni...

Viszont ugródeszkának kiváló :(

A portváltoztatás után, csak olyan van, hogy
CRON opened session for root
CRON closed session for root
ugyanabban a másodpercben

Nemrég volt alkalmam látni egy felfúrt debian woodyt. Ott a /var/tmp könyvtárban lakott jópár file, köztük egy futtatható crond. És persze futtatva is volt. A lecserélt ps, ls, netstat, stb. parancsok meg nem mutattak semmit...

[quote:5e4835cb83="macroharddoors"]
nmap -v -sS -O -sV -P0 x.x.x.x

és már meg is van az az ssh szerver.....hiába teszed át más portra.

Ennyivel még nincs meg, legfeljebb ha hozzáteszed azt, hogy -p1-65535, mert az nmap alapértelmezésben csak az általa ismert szolgáltatások általában használt portjai után kutat, ami elég sok portot jelent ugyan - de mégsem mindet. Szóval, ha olyan portra teszi az SSH-t, ami egyáltalán nem szokványos service port és jóval pl. 40000 felet van, akkor kevesebb az esélye annak, hogy valaki "véletlenül" rátalál... bár tény, hogy ha valaki kifigyeli a szervert és komolyabban ránéz a gépre, az így is meg fogja lelni a kapukat rajta. :(

[quote:9e77d89f85="furge"]nem tom lehet hogy hülyeséget mondok de nem egyszerűbb letiltani a root bejelentkezését hálózatról? szerintem azzal megoldódna a gondod.

Hát nagyon nem, mert 1szerűen bejelentkezik más felhasználó alatt, aztán meg su.
Egyépként preparálhat magának kis background-scripteket, php-fájlokat, lecserélhet binárist...
Én például már csináltam olyat, hogy egy bizonyos url-t letölt, és a file tartalmát mint root futtatja. Ez nem buzdítás, meg saját szerveren sem csinálnék ilyet, csak mondom, hogy a root-háló-login-tiltás nem visz sorka...

[quote:7d9e6f776e="bitumen"][quote:7d9e6f776e="furge"]nem tom lehet hogy hülyeséget mondok de nem egyszerűbb letiltani a root bejelentkezését hálózatról? szerintem azzal megoldódna a gondod.

Hát nagyon nem, mert 1szerűen bejelentkezik más felhasználó alatt, aztán meg su.

Feltéve, ha tudja a felhasználó nevet. Azonkívül egy átlagosnál biztonságosabb rendszeren nem minden felhasználónak van joga su-t futtatni (lásd BSD-k). Szóval azért itt van 1-2 plusz akadály, amit át kell még ugrani ergo biztonságosabb letiltani a root ssh hozzáférést. RTFM Securing Debian Manual 5.1-es pont.

van egy szervered, hostingon, es nem tudod, hogy hol vannak a bejelentkezesi logok?

tail /var/log/messages altalaban.

debian eseten inkabb a

/var/log/auth.log

1. lehet hamisitani az ipt. ergo lehet, hogy nem toled mentek, csak pont a tiedet hazudtak

2. mibol gondolod, hogy nem leptek be? Az, hogy nem latod a logokban, semmit nem jelent. Ha en betornek valahova, elso dolgom lenne, a "nyomokat eltuntetni".

futtass le egy chkrootkit -et, nezegesd a fileok jogosultsagait (furcsasagokra figyelj), figyeld a kimeno forgalmat, hogy van-e ott valami furcsasag, stb, stb.

Szerintem csekkold le a filerendszert a mar jo elorelatoan elkeszitett aide-adatbazisoddal (ugye van??? Legkozelebb legyen... :) )

FoREE: lehet hamisitani az ipt. ergo lehet, hogy nem toled mentek, csak pont a tiedet hazudtak

Ezt hogyan? Addig OK, hogy barmilyen cimrol tudsz csomagokat kuldeni, de valahogy vissza is kell talalniuk... Persze lehet, h. az adott alhalozaton ervenyes cimet hasznal, es promiscous modban osszeszedi a valaszcsomagokat, de ettol meg barmilyen cimet nem talalhat ki maganak... Vagy rosszul gondolom?

Udv. eax

[quote:f70b31a1a5="XmIsTeR"]Nos emberek, van egy debian szerverem, egy szerverhoszting alatt.
A napokban jött egy levél a szerverhoszintgnak egy francia cégtől, hogy az ő szerverüket megpróbálják feltörni és az ip az én szerveremé volt, hogyan lehetne lenyomozni, hogy ez, hogyan történhetett? Milyen IP-kről jelentkeztek be SSH-n, stb. ? Köszi a segítséget

szolsz egy debian default installnal jobban a rendszerhez erto embernek hogy csinalja meg, kifizeted es megkoszonod neki

Jot szoltal. Egy root login tiltas valamit IP korlatozasok, hogy honnan lephetnek csak be szerveredre, szinte tokeletes parositas. De jol tudjatok, es ezt mar jopar konyv es tapasztalat is bizonyitja, hogy feltorhetetlen rendszer nincs :(