Linux-security

libinjection sosks fingerprint

 ( plt | 2018. december 10., hétfő - 13:52 )

Egy friss mod_security blokkol egy eddig jól működő weboldalt.
A naplók alapján egy coockie-ra illeszkedik a libinjection "sosks" fingerprint-je.
Még a libinjection forrásába is belenéztem, de nem találom, mit jelent ez az ujjlenyomat, milyen mintára illeszkedik az adott cookie, ami amúgy normálisnak, biztonságosnak tűnik.

ISSQL: libinjection fingerprint 'sosks' matched input 'a:2:{i:0;s:28:\"/cikkek/kategoriak/tartalom/\";i:1;s:5:\"index\";}'

Egyébként szinte minden más url-re is illeszkedik a minta. Érdekes azonban, hogy a nyitóoldali

Melyik RBL-re sikerült felkerülni?

 ( pista_ | 2018. október 25., csütörtök - 12:22 )

Hi!

Néhány user gyenge jelszava kikerül, így szépen kiment néhány 1000 levél. Erre persze blokkoltak pár helyen, de egy címmel továbbra sem boldogulok, mert csak ennyit ír:
======================
(host mailgw8.chrobinson.com[168.208.16.177] refused to talk to me: 554-mailgw8.chrobinson.com 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
======================

FreeRADIUS 3.0 quickstart - help

 ( uid_7086 | 2018. április 27., péntek - 18:29 )

Szerver: Ubuntu 18.04, 17.10-ről upgrade-elve, rajta FreeRADIUS 3.0

Szeretném a wifimet végre átállítani RADIUS-ra, első körben csak usernév-jelszó authentikációval.

iptables reális titlásszám?

 ( plt | 2018. március 19., hétfő - 9:58 )

Vannak rosszindulatú klienseim, akiknek az IP címe, a tevékenységük kiderülése után blokkolásra kerül az iptables paranccsal.
Jelenleg 369 ilyen IP cím van a tűzfalban, de elég tevékenyek a fiúk, így nem tudom, meddig fog ez a szám nőni.
Mennyi IP címet lehet, szoktak, érdemes így blokkolni, és mi van, ha ezt a mennyiséget meghaladja?
Hány közös alhálózatba tartozó IP után érdemes, illő, szokás az IP-k helyett már a teljes alhálózatot blokkolni?
Van értelme elévülési időt is kezelni? Én elsőre azt gondolnám, hogy nincs.

fail2ban érdekesség vagy bug?

 ( plt | 2018. február 14., szerda - 10:19 )

Fail2ban véd egy email szervert. Mivel vannak, akik ritkán, de kitartóan próbálkoznak, a findtime = 86400 (egy nap), a maxretry = 5. Ez általában jól is működik, de most egy új támadó 5 órája szinte percenként próbálkozik, ám az IP címe mégsem került tiltásra.
Csak nem fogja kivárni az 1 napot a fail2ban, hogy tiltsa? A fail2ban szerint a findtime értékét csak a tiltás feloldásához használja, a tiltáshoz nem.
Van valakinek ötlete, hogy miért nem kerül blokkolásra az új IP?

Megtörték egy régebbi szervert, hogyan?

 ( gaabeesz | 2018. január 3., szerda - 11:42 )

Üdv,

Egyik ismerősöm szerverét megtörték.

Nem igazán nagy szerver guru, egy egyszerű kis vm amin a saját kis dolgait tárolja, így a biztonsághoz sem ért igazán valószínüleg ez lett a veszte.

Ami történt:

/opt/ng99 mappába rootként feltölttek egy nginx vagy annak álcázott programot és a 8080-as porton csinált valamit, ami miatt a szolgáltatója leállította a vm-et.

A folyamatokat kilőttem, lepucoltam a programot. Root login ssh-n letiltva ssh port megváltoztatva, más káros dolgot nem találtam.

PAM auth module androidos push login-hoz

 ( nagylzs | 2017. november 9., csütörtök - 7:32 )

Sziasztok!

Van néhány gép amire úgy kaptam a root jelszót valakitől, és nem szabad megváltoztatnom. Ezen felül az ssh root login le van tiltva, ezért csak úgy tudok bemenni root-ként, hogy először normál user-rel bejelentkezek, utána sudo-zok. Viszont a sudo mindig a titkos jelszót kéri, ami nagyon fárasztó. (Főleg úgy, hogy az a jelszó megjegyezhetetlen, és nem szabad megváltoztatnom.)

User írásjogának globális elvétele (linux)

 ( plt | 2017. június 16., péntek - 15:33 )

Van egy apache webszerverem php-val, mpm_itk modullal. Minden domain egy önálló user nevében kerül kiszolgálásra. Ugyanez a user másolhatja fel ftp-vel a fájlokat is a tárterületére.
Hogyan tudom a user írásjogát globálisan elvenni anélkül, hogy a teljes fájlrendszerben módosítanék minden jogot?
Van valamilyen kósza emlékem, hogy maszkolhatnám a user jogait, de nem tudom pontosabban, hol. Tud erről valaki valami részletesebbet? Vagy valamilyen más módszert, amivel blokkolható, majd egyszerűen visszaadható az írásjog userenként?

iptables logban találtam

 ( render_elek | 2017. április 25., kedd - 10:51 )

Sziasztok,

a legtöbb bejegyzés világos, de ezekkel a címekkel nem tudom mit tegyek, kell-e foglalkozni velük?

27.112.70.58 (icmp)
71.6.216.56 (SYN; invalid packets)
158.130.6.191 (SYN)
139.162.111.147 (SYN)

fail2ban vagy iptables?

 ( pepo | 2017. március 4., szombat - 11:03 )

Sziasztok!

Mindenféle próbálgatások jönnek az egyik szerveremre. Például (Logwatch-ból idézve az egyszerűség kedvéért.):

[code][...]http://1.x.1.x.1:80/2phpmyadmin/: 1 Time(s)
http://1.x.1.x.1:80/MyAdmin/: 1 Time(s)
http://1.x.1.x.1:80/PMA/: 1 Time(s)
http://1.x.1.x.1:80/PMA2011/: 1 Time(s)
http://1.x.1.x.1:80/PMA2012/: 1 Time(s)
http://1.x.1.x.1:80/admin/: 1 Time(s)
http://1.x.1.x.1:80/admin/db/: 1 Time(s)
http://1.x.1.x.1:80/admin/pMA/: 1 Time(s)
http://1.x.1.x.1:80/admin/phpMyAdmin/: 1 Time(s)
http://1.x.1.x.1:80/admin/phpmyadmin/: 1 Time(s)

apache NTLM auth helyett valami mást

 ( heroes83 | 2017. január 25., szerda - 20:20 )

Sziasztok!

Érdeklődni szeretnék, hogy valaki használ -e valami más technológiát apache szerver domain auth-ra?
Igazából valami olyasmi kellene, hogy a felhasználó a böngészőjével belépne egy weboldalra és automatikusan felküldi a domain name és password párost, viszont ha nem tartományi gép lépne be a felületre, akkor az kézzel beírja a felhasználói név és jelszópárost, aztán kész :)

Idáig a apache kerberos moduljával szívtam, de az istennek sem jön össze :(

Valakinek ötlete?

Köszönöm szépen

Tűzfal port nyitás SMS-sel, e-mail-lel

 ( dotnetlinux | 2016. december 22., csütörtök - 10:00 )

Kedves Fórumozók! Néha hozzászólok, néha kérdezek. Most ez utóbbi...

Alapfelállás, hogy a CentOS7 szervereink tűzfalában a 22-es port egy fix IP-ről érhető el. Néha az itthoni munkához jó lenne belépni. Alternatív megoldás az irodai gépemre RDP, ott putty, tűzfal ki+be, közben belépés itthonról.

PolKit és systemd

 ( xian | 2016. november 26., szombat - 23:25 )

RHEL7.2-n:

# pkaction -v -a org.freedesktop.login1.power-off
org.freedesktop.login1.power-off:
  description:       Power off the system
  message:           Authentication is required for powering off the system.
  vendor:            The systemd Project
  vendor_url:        http://www.freedesktop.org/wiki/Software/systemd
  icon:
  implicit any:      auth_admin_keep
  implicit inactive: auth_admin_keep
  implicit active:   yes

A polkit manualja szerint:

[code]
allow_active

Mi a fene van a Linux kernel háza táján?

 ( locsemege | 2016. november 21., hétfő - 14:41 )

Az utóbbi vanilla kernelek ilyen időközökkel jöttek ki egymás után:

10 nap
5 nap
4 nap
2 nap

Mindegyikhez egyben tartozott egy-egy longterm kiadás is, sőt, longtermben volt olyan, hogy az adott verzió megjelenését egy nappal követte a következő. Mindezt november elejétől nézem. A changelogok mérete sem elhanyagolható, nem egy-egy patch-ről van szó.

Valaki tud valamit? Auditálják a kódot? Több szem többet lát?

CVE-2016-4484: Cryptsetup Initrd root Shell

 ( Cybernet | 2016. november 16., szerda - 7:59 )

Nem szoktam minden CVE bejegyzest kovetni, de azert ez megdobbentett.
Tegnap ki is probaltam, es fekszik a story.

Ami engem zavar, ez a panic mode. Barmilyen gond adodik az initramfs noramal futsa soran, dob egy root emergency shellt.
Mintha single userkent inditottuk volna a gepet. Es ami a legrosszabb, hogy switchroot sem szukseges.

SELinux biztonság

 ( locsemege | 2016. szeptember 18., vasárnap - 14:01 )

Könnyednek szánom a felvetést, mert nem jártam alaposabban utána a kérdésnek, így lehetnek tévedéseim. Mégis megosztok egy érdekes tapasztalatot.

squidclamav és securiteinfo privatelife kérdés

 ( tmms | 2016. szeptember 9., péntek - 8:33 )

Sziasztok!

Az lenne a kérdésem, hogy miért írja ezt squid, mikor sem virustotal, sem nod nem jelez az adott oldalra?

The requested URL http://trackitonline.ru/?action=login contains a virus
Virus name: SecuriteInfo.com.JS.Privatelife-1.UNOFFICIAL

Captive portal alapok

 ( pekob | 2016. augusztus 17., szerda - 12:10 )

Sziasztok!

Meglévő Wifi hálózatot kellene kiegészítenem egy captive portal-lal, ami egy jelszó után engedné a netet. Úgy olvastam talán a Pfsense a legmegfelelőbb erre.
Hülye kérdésem az lenne, hogy a fizikai kiépítés hogy nézne ki? A meglévő wifi routeren le kéne tiltani a wifi-t és a pfsense-et futtató gépbe kellene egy wireless kártya? Vagy maradhat a router a wifi kiszolgáló?
Vagy két hálókártya a pfsense-be, egyikbe a net, másikba a router?

Köszönöm!

[MEGOLDVA] Amavisd vírus átengedése

 ( cadmagician | 2016. augusztus 10., szerda - 9:37 )

Sziasztok,

Nemrég napvilágra látott a Win.Exploit.CVE_2016_3316-1, az amavisd pedig a levelezőszerveren szépen elkezdte a word docokat megfoni, nem továbbengedni. Infected, kész.

Kérdésem lenne, hogy hogy lehetne azt az amavisdnak megmondani pl egy regexppel, hogy milyen virusokat engedjen át? ez globális lenne, nem domainhez, vagy sender köthetően.

Talán másnál is aktuális (lesz) a probléma.

köszönöm.

Malware honnan

 ( makgab | 2016. június 26., vasárnap - 7:48 )

Üdv!
Egy up-to-date CentOS6-ra milyen módon mehet fel egy "Unix.Malware.Agent-1434809"? Mindig ugyanott jelenik meg bouncer néven.
(clamav megtalálja persze)
Elvileg csak egy usernek van belépése ssh-n (nem is a default porton). Támadó bejutására nem láttam utalást a logokban.
Lehet a távoli user gépe fertőzött?

Linux - alapszintu HDD titkositas

 ( davs | 2016. június 13., hétfő - 12:31 )

Hello,
azon gondolkozom epp, hogy a notebookom SSD+HDD-jet letitkositanam. Igazabol semmi extrem fontos dolog nincs a gepen, csak a szemelyes dolgaim. Az en elkepzelesem az lenne, hogy egy viszonylag egyszeru titkositasi modszert alkalmaznek, ami cserebe gyors lenne (melyiket?). Szamomra eleg, hogy ha valaki ellopna, akkor ne jusson az adataimhoz erofeszites nelkul (annyira fontos adatok pedig _szerintem_ nem lesznek a notebookomon, hogy megerje nekik a gep feltoresevel szarakodni). Egy i5-3220M mobil processzoros geprol van szo (ebben ugye elvileg van hardveres AES-NI) 8GB rammal.

T450+Debian+LUKS+TPM működhet?

 ( krisztianmukli | 2016. május 17., kedd - 6:43 )

Adott egy Thinkpad T450 Debian Jessie-vel, amin backportolt 4.5-ös kernel szaladgál, egy LUKS-által titkosított LVM diszkről (a /boot és a /boot/efi nincs titkosítva). Ehhez gondoltam hozzápasszítani a gépben lévő TPM-chipet, amit a LUKS-kulcs tárolására használnék, ha ez megoldható.

Ubuntu 14.04: Freshclam: Can't download daily [Megoldva]

 ( mooattyi | 2016. március 18., péntek - 7:07 )

Sziasztok!

WARNING: Can't download daily.cvd from db.local.clamav.net

Mi a teendő? Már letöröltem a /var/lib/clamav/mirrors.dat-ot, semmi változás.

Rejtélyes fájlátnevezés valami.php-ról valami.php.suspected-re

 ( kavacs | 2016. január 12., kedd - 11:35 )

Sziasztok!

Egy nagyon érdekes esettel találkoztam a napokban.

Van egy Debian Jessie szerver, mely weboldalakat hosztol. Főként CMS-eket, WordPress-szeket.

Előfordul olykor, hogy bizonyos fájlokat valami átnevez pl.: wp-db.php-ről wp-db.php.suspected-re. A legutóbbit ftp-n át történő feltöltéskor nevezte át, és benne is van a ProFTPd transfer logban. Mindezt úgy, hogy abban a fájlban semmi gyanús nincs, viszont a szájt persze lehal nélküle. De előfordult már, hogy ténylegesen ártalmas kódot tartalmazó fájlt talált meg és nevezett át.

wine vírus?

 ( zz7 | 2015. december 27., vasárnap - 9:58 )

Ubuntu alatt .wine könyvtár vizsgálat után.