Linux-security

http://www.openwall.com/lists/oss-security/2015/01/27/9

https://rhn.redhat.com/errata/RHSA-2015-0090.html

https://security-tracker.debian.org/tracker/CVE-2015-0235

Üdv!

Az imént megnyitottam a Gnome System Monitort (Ubuntu 14.10), hogy kilőjek egy feladatot, amit én indítottam... és akkor nézem, hogy gzip fut, ~36% cpu idővel.
Ez most mégis mi? Én nem indítottam tömörítést! Hirtelen arra gondoltam egyből, hogy esetleg... valaki a gépen kotorászik... de ha igen, hogyan? Gyorsan kilőttem a folyamatot, nem tudván, miért is fut.

Van ötlete valakinek?

Szerk.: A cat is fut, én magam ellenben semmit sem olvastam vele.

Sziasztok,

Egy CentOS 5.10 32bit szerverem van a Digital Ocean (DO)-n, és feltörték. Most fut rajta egy ilyen trójai: http://tinyurl.com/trojai és DDOS-olna nagy erőkkel. Csak azért nem teszi, mert a DO izolálta a virtuálvasat.

Így, izolált módban csak egy webVNC-s klienssel tudok rá belépni, hálózat nincs, és nem tudok rá vírusirtót telepíteni. Single User Mode sincs, a legtöbb, amit kis ugrálással elérhetek, hogy egy recovery ISO-ról bootoltatom be (továbbra is offline-ban).

A trójai tehát megvan, de ha kill-ezem azonnal újraindul más néven és helyen, root felhasználói jogokkal. Mi a teendő? Köszi előre is.

sziasztok!

kérdésem az lenne, hogy hogyan tudom a 122.225.x.x címtartomyánt teljes egészében tiltani???

fail2ban aktív és fél óránként kb. 5 db próbálkozás jön ebből a tartományból /ssh/... persze fail2ban elkergeti...

van esetleg 5lete valakinek????

előre is köszi!

Hi,

este bejutottak 2 gépemre is, ahol nem frissítettem a bash-t. :(
/etc/init.d/kjfdjfdjl - véletlenszerű karaktersorozat nevű fájl létrejön, ami a /boot/kjfdskdj -t indítja.

rescue lemezzel kiszedtem az init.d-ből + /boot-ból, de ismét elindult más néven.

találkozott ilyennel valaki?

Lokális hálózaton adva van néhány gép. A sajátomról belépnék az egyikre, hogy karbantartsam, mire azt a hibaüzenetet kapom, hogy a known_hosts-ban tárolt kulcshoz képest változott, amivel a gép azonosítja magát, így lehet, hogy man in the middle típusú támadás ért. Na jó, de nem éreztem reálisnak, hiszen lokális hálózat, nincsenek hozzáértő vicces emberek a hálózaton.

Sebaj, kitöröltem a known_hosts-ból a releváns sort, majd újra próbálkoztam. Kérdezi, stimmel-e a fingerprint, mondom neki, yes. Akkor jelszót kér, megadom, majd kiröhög azzal, hogy nem jó. A jelszó biztosan jó, hiszen ezt a gépet gyakran karbantartom így.

Mi történhetett?

Mivel lokális hálózaton van a gép, ha nem is most, de el tudom érni fizikailag is, megsasolom majd a logokat, de szeretném érteni, hogyan fordulhat elő ilyesmi, ezért kérdezek most.

Update:

Ugyan pontosan nem tudom, mi oldotta meg, de azért sejtem. Az sshd_config régi volt, néhány, a kulcsokra vonatkozó beállítást módosított a disztribútor, ugyanakkor ez nem jutott érvényre, mivel én magam is írtam a konfigurációs állományba, nevezetesen

AllowUsers én
PermitRootLogin no

Fedora ilyenkor frissítés alkalmával nem írja felül a konfig file-t - még szép -, hanem mellé teszi az újat valami.rpmnew névvel. Csináltam a kettőből egy diff-et, s láttam, hogy csak a fentebbi módosítást írtam én bele, tehát az új konfigfile-ba beleírtam a saját dolgaimat, majd sshd_config.rpmnew-ról átneveztem sshd_config-ra az állományt. Ezen felül frissítettem az oprendszert, mert már majdnem 2 hete nem volt.

A kliens, amiről ssh-ztam, viszont nagyon új, a még meg sem jelent Fedora 21.

Az ismert hosztokból megint törölnöm kellett a távoli géphez tartozó bejegyzést, de ezek után már beenged. Természetesen az sshd-t újraindítottam, helyesebben szólva, mivel a kernel is frissült, az egész gépet.

Köszönöm a segítséget, ötletelést!

nem igazán komoly security kérdés, csak amolyan miafene lehet ez: adott egy arch-linux. aminek a gyökerében kb 1 hónapja láttam ezt a könyvtárat: (a könyvtár neve kettőspont)
[nosy@levanael /]$ find :
:
:/home
:/home/nosy
:/home/nosy/go
:/home/nosy/go/bin
:/home/nosy/go/bin/go
:/home/nosy/go/bin/gofmt

ezt akkor letöröltem. most megint "megjelent" :). golangot-t kb májusban használtam utoljára. a gépnek nincs publikus ip-je, ssh server van az ide-oda scp-hez. egyebkent semmi szerver dolog.

El lehet indítani openvpn szervert más porton is mint 1194?
Mert hiába adom be a configba, hogy "port 9876" fütyül rá és továbbra is 1194-es portot használja.

Adott a préri közepén egy magánhálózat egy adatgyűjtő linux szerverrel. Az adatokat titkosított volumon tárolja. Emberi felügyelet nélkül működik. Internet hol van, hol nincs.

Hogyan lehet azt megcsinálni, hogy ha helyben újraindul a gép akkor felcsatolja a titkosított volumot, ha viszont elmozdítják (pl: ellopják és máshol helyezik üzembe) akkor ne. Még akkor se ha egy linuxguru kezébe kerül.

Kézenfekvő egy eldugott segédszerver alkalmazása, amin a kulcs van a volumhoz, de hátha van valami jobb ötletetek.

Sziasztok!

A hálózati forgalom átfut egy Zorp tűzfalon és a következő probléma állt elő:

A külsős ügyfeleknél néha felbukkan egy request timeout üzenet, amit a zorp dobál nekik.
Érdekesség, hogy a logban ennek se híre se hamva se nyoma se semmi, továbbá csak Chrome-ot használó ügyfeleknél jött elő ez a hiba (vagy még csak ők reportoltak ;) ).

A legrosszabb az egészben, hogy reprodukálni se sikerül a jelenséget.

Ha bárkinek bármilyen ötlete van ezzel kapcsolatban, azt szívesen várom :)

Egy kép a hibaüzenetről:
http://www.myimg.de/?img=unnamedd9adc.png