Sziasztok!
Az index-en olvastam, hogy Bezárt a legnagyobb magyar kalózszerver. Korábban azt írták, hogy föltehetőleg cryptofs-t használnak az adatok tárolására.
Ez azt jelenti, hogy Linux alól futott a rendszer?
Ha tényleg cryptofs-t használnak, akkor honnan tudja az ASVA, hogy hány film volt a gépen?
Tudtok egyéb részleteket?
Sziasztok, debian sarge-t használok. Feltettem a tripwire-t, a postinst scriptel létrehozatttam a site és a local keyt, majd utána parancssorból létrehoztam az adatbázist tripwire --init
A problémám az, hogy a tripwire --check nél szövegel, hogy egy csomó fájl megváltozott a /proc könyvtárban. Nézegettem a twpol.txt, de számomra nem egyértelmű, hogy hol adjam meg neki, hogy a /proc-al ne foglalkozzon.
A twpol.txt fájlban pedig van egy ilyen rész, amit nem értek.
#
# Critical devices
#
(
rulename = "Devices & Kernel information",
severity = $(SIG_HI),
)
{
/dev -> $(Device) ;
/proc -> $(Device) ;
}
Az a kérdésem, hogy miként javasolt beállítani a twpol.txt fájlt? Nem nagyon értem, hogy a default installnál miért futok bele ebbe, ezen már valaki dolgozott.
Sziasztok,
A problemam amiben segitsegre lenne szuksem, az egy ACL-ezheto disztro kivalasztasa lenne. A gep kozvetlenul a netre lesz dugva, Apache 2, PowerDNS, GIT, SSH es SQUID fog futni rajta. Amire szuksegem lenne meg az >=2.6.13 kernel, SSP, PaX, grsec, vagy rsbac amelyiket tamogatja alapbol, ill. jol jonne, ha a fenti alkalmazasokat a disztro tamogatna hivatalos csomagokkal.
Nem igazan szeretnek hozza C fordito jelenletet, tehat sajnos Gentoo nem nagyon johet szoba.
Distrowatch-ot bongesztem, jonehany disztro oldalat is felkerestem az ugyben, lehuztam par disztrot is probakeppen. Adamantixszal, CentOS-sel kiserleteztem, de sajnos nem hoztak el vart eredmenyt. Adamantix meg nagyon uj, 2.4-es kernel van rajta alapbol, ill. CentOS alapbol SELinuxszal van szerelve ami pedig eleg macera tud lenni, ill. hallottam egy-ket negativ tapasztalatot rola (ne flame-eljunk ezen legyszi :-) ).
OpenBSD-t ill. FreeBSD-t nem vettem gorcso ala erre a feladatra, de az mar biztos, hogy mindkettonel problema lenne az egyik driverrel, amire meg a Linuxos tamogatas is csak 2.6-hoz van es kulon forgatni kell, raadasul prop licensz van hozza.
Tudom, hogy kicsit RTFM a topic, de inkabb leirom par sorban, mint sem hetekig disztrokat toltogessek es kiserletezzek. Hatha valakinek van jo tapasztalata es a fenti problemara hasra csapva is tud megoldast.
Koszi elore is. :-)
Üdv
Már hetek óta "verekedek" egy T-online-os géppel, amiről állandó jelleggel inet@microsoft.com
küldő névvel próbál valaki rajtam keresztül gyömöszölni levelet. A címzettek teljesen fake címek
a saját domainomra (pl.:sdfigew@valahol.hu). Nem nagyon akar sikerülni neki de már nagyon
megelégeltem a log fájlban a sok sort, amit okoz.
2 hete beácsoltam egy-két scriptet, amik egy részről átnézik a log fájlokat és kiveszik
azokat az IP címeket, ahonnan ilyen és ehhez hasonló csúnyaságok érkeztek illetve egy magodott
számú próbálkozás után berakják feketelistába az adott napra. Egy másik pedig folyamatosan az
adott napnak megfelelő feketelista alapján bállítja a tűzgal megfelelő részét.
A tűzfal szerkezetéről részletesen itt lehet látni infót: http://goshawk.myip.hu
A scripteket is felrakom egyszer csak még rendbe kell raknom őket.
A scriptnek hála már csak 1 percig képes a szervert nyomni.
Viszont kezdek kiváncsi lenni mi a fenét akar átpumpálni rajtam.
Kerestem Postfix manualban valami beállítást, ami hatására hibás levélküldés esetén
a levelet az adminnak is továbítja de nem nagyon találtam. Volt egy luser_relay de az nem működött.
Valakinek esetleg tippje lenne?
Sziasztok,
Otthon pörgeti a villanyórát egy kis szerver (Apache/2.0.54 (Ubuntu) PHP/4.4.0-3ubuntu2), amin drupal (4.6) cms és egy torrettrader tracker fut. Tegnap egy jóember -valószínüleg nagyon unatkozhatott- úgy gondolta, hogy kipróbálja ezt az orosz c99shell php scriptet ezen a szerveren. Mivel az oldalon van egy file feltöltési lehetőség -egy perl script- amihez még nem kell regisztrálni, így azzal feltöltötte a bab.php nevű játékszerét.
Ezekután a vakszerencsémnek köszönhetem talán a következőket:
Kereste, de nem találta a szerveren :)
Mivel ő a standard helyeken (upload(s), uploaded, files.. ) kereste a feltöltött file-t, viszont nálam nem ilyen beszédes helyekre kerülnek a feltöltött fileok.
A szerencsém az volt, hogy az illető valószínüleg egy pancser lehetett mert csak 4-5-öt probálkozott a dologgal aztán otthagyta a dolgot. (a logokból legalábbis ez látszik)
Ha regisztrált volna egy kamu logint magának és azzal fellép az oldalra, akkor sajnos az ott megjelenő menüpontok között könnyen rátalált volna a feltöltött filokat listázó menüpontra.. :(
És itt jön képbe a bénaságom (rutintalanságom), ugyanis sajnos abban a könyvtárban az apache vígan futatta a .php fileokat :( Nem volt tiltva ez a lehetőség. Mostmár ezen ténykedéséről természetesen lebeszéltem.
Tegnap még kíváncsiságból elinditottam azt a php scriptet.. de csak utánna jutott eszembe, hogy azzal hogy futtatom lehet, hogy hülyeséget csináltam, mert mivan, ha húsvéti tojásokat tud így is elrejteni a rendszerben..
Ezekután átnéztem a rendszert.. futó processzek, web,tmp könyvtárak tartalma, chkrootkit report (ez egyébként naponta is lefut), illetve netstat bogarászás de nem találtam egyelőre számomra semmi gyanús dolgot...
A kérdésem az lenne, hogy tud-e valaki esetleg valami jó szisztematikus eljárást/tool-t, hogy ilyen esetekben -a totál rendszergyalú kivételével- hogyan lehet nagy biztonsággal a rendszert tisztába rakni/ellenőrizni?
Illetve volt-e már dolga valamelyikőtöknek ezzel a c99shell nevű php csodavitamingombóccal?
Van egy hosszú problémám.
Csináltam Ubuntu Linux Dapper alatt egy OpenSSL-es CA-t (legyen demoCA). Ennek a konfigja olyan hogy az /etc/ssl/demoCA alatt van a CA tanusítvány, a privát key meg a többi marhaság. A gond ott kezdődik, hogy képtelen vagyok olyan user certificatet kiadni ami "hiteles" a win szerint. Arra már rájöttem, hogy a CA tanusítványát a saját kulcsával aláíratom, akkor "hiteles tanusitványkiadó" tanusitvánnyá leszen (Belső CA lenne).
Ám akár hogyan iratom vagy nem iratom alá a generáltatott tanusítványokat, azok az életbe hitelesek nem lesznek a Win szerint.
A kérdés: mi a fenét csináljak a tanusítványokkal, hogy azok hitelesek legyenek???
Ráér, mert egyelőre csak teszt dolog, de jó lenne...
Sajnos Google nem vitt messzire mert nincs keresőszavam...
Lécci segíítsetek Google keresőszavakka, dokumentációval, howtoval, vagy bármi jól jönne....
Sziasztok!
Most vettem csak észre, hogy a tűzfalamul szolgáló gépem /root könyvtárában van egy 3 hónapos a.out nevű fájl. Nem emlékszem, hogy 3 hónapja bárminek a fordításával próbálkoztam volna.
A gépem leginkább RH9-re hasonlít, mivel valamikor abból indult, de saját készítésű a kernel is, meg az SSH is. A kernel ráadásul grsec-kel patch-elt, szintén házi készítésű RBAC-t futtat. Létezik, hogy betörtek volna a tűzfalamra?
Hello!
A gw es a felhasznalok kozt van egy forgalom mero masina, melyen a halo bridgelve van. Csak ip szerint van a forgalom loggolva, viszont nekem szuksegem lenne, az ip-khez tartozo halozati kartyak mac addressere is.
Hogyan lehetne minden "athalado" gep ipcime melle a mac address-t is loggolni? Illetve hogyan lehetne mindezt, egy kulon faljba loggoltatni? Tudnatok mutatni egy examplet is?
Debian sarge fut a masinan.
Koszonom.
Udv: Saynos
Sziasztok!
A következőt szeretnem megcsinalni:
net->(pop3s)->linux gw->(pop3)->belso srv.
Tudtok ehhez jó leítast, linket, ötletet adni?
Köszönöm, üdv:Woo
Sziasztok!
Az lenne a kérdésem mi az a "setsecurity"?Mire való?
Valami egyedi azonosító fajta?Bocsi ha már volt fórum téma.
Köszi a válaszokat előre is!
Üdv: Anthony_