Security-all

Érdekes válfajával találkoztam.

A támadás lényege, hogy valami robot/zombi hálózat feliratkozni "próbál" a cél emailcímével.

Ez a klasszikus Email Bomb, annyival megspékelve, hogy ezt kicsit nehéz kiszűrni.

Valami elképzelés a védekezésre? Szűrőkkel ez mennyire fogható meg?

UPDATE: Már tudom mire ment ki a játék. Megpróbálták elrejteni, hogy valakinek a kártya adataival neten rendeljenek egy drága eszközt. Azt nézték be, hogy ma kaptam egy order infokkal egy emailt. Természetesen jelszót is váltottam, valamint customer support kapott emailt, hogy azonnal törölje a rendelést. A tracking adatok alapján még nem adták postára, szóval ha nem béna a customer support még fájdalommentesen meg tudják fogni.

A kérdésem kicsit programozási témájú.

Kapunk naponta 50-100 PDF fájlt és ebből szövegállományokat generálok. Ezeket az állományokat eddig tároltam egy könyvtárban, de most nézem, hogy 20 ezer fájl egy kicsit sok. Ezért arra gondoltam, hogy a fájlokat SHA256SUM segítségével azonosítom és ezt az azonosítót tárolom egy SQLite adatbázisban. Mivel a txt állományok tartalma nem fontos, ezért a tárolásuk sem létfontosságú, a lényeg, ha ugyanolyan PDF-et küldenek ami már volt akkor azt ki tudjam szűrni.

Ez jó megoldás lehet vagy teljesen tévúton járok?

Lehet hogy már létezik ilyen, csak én nem hallottam róla. Ebben az esetben bocs.

Egyre több kis eszköz van amiben nyílt forrású kódokat használnak fel. Igazi nagy IoT-s robbánás után még bizarabb lesz a helyzet.
Két nagyobb problémát látok jelenleg:
-forráskód elérhető legyen mindenki számára egyszerűen, egy helyen
-ezeknek a kódoknak a karbantartása, főleg biztonsági szempontból hagy kivetn valót maguk után (beépítik valahova, majd szépen hagyják a kódot az eszközzel megrohadni)

A közös adatbázis könnyen áttekinthető lenne:
-milyen kód, milyen eszközben lett felhasználva (serialn., productn.)
-figyelmeztető rendszer kritikus sérülékenység esetén
-bug tracking
-esetleg support forum

Én jó néven venném, ha beírnám az okos égőm vonalkódját, és kidobná, hogy kukába vele, mert sebezhető. Vagy itt a közösségi frissítés hozzá, saját felelősséggel frissítheted.
De talán a legjobb esetben termék regisztrációkor plusz egy pipa, hogy kívánom fogadni a sérülékenységekel kapcsolatos emaileket a közös adatbázisból.

Mi a véleményetek?

Böngésztem a kernel.log-ot és olyan időpontokban (14:46 óra) van bejegyzés benne mikor elvileg senki nem tartózkodott itthon.
Lehetséges, hogy valahonnan rossz időpontot kapott a rendszer és azért írt be fals időket?

Átnézve az aznapi bejegyzéseket hajnal 02:30 kor kezdett el logolni a rendszer amikor megint csak nem lehetett bekapcsolva a gép.
A gépet először 04:30, kor kapcsoltuk be tehát van 2 óra eltérés.
A 14:46-os fura időpont is megmagyarázható lenne ezzel a két óra eltéréssel, mert kb. 16:46-kor lett újra bekapcsolva a gép.

Viszont este direkt csináltam egy tesztet, kikapcsoltam majd újra bekapcsoltam a gépet, és akkor már jó időpontok szerepeltek a kernel.log-ban.

Létezik, hogy fals idők kerülhetnek a logba? Ha igen akkor mi lehet az oka?

Hellósztok,

Van egy rég óta hiba nélkül menő MS Radius + OpenVPN telepítés (2012-n fut a Radisu szerver és CentOS 7 az OpenVPN).

Most előjött az igény, hogy kéne two factor (TOTP mondjuk), ami nem gyártó specifikus (mint pl. az RSA).

Neten utánanézve, ez annyira nem is nagy meló, ha mondjuk FreeRadiusom lenne, vagy az OpenVPN pam-nól autholna. Nade én olyat próbálnék keresni, ahol az MS-es Radius szerver marad, és a helyi pam auth nem megoldható (viszont a radiust akár lecserélhetem ldap-ra az openvpn-ben ha az jobb).

Azt láttam, hogy a fizetős OpenVPN-be benne van egyszerre a kettő (google authenticator + radisu/ldap auth), gondolom ők akkor az openvpn-be oldják meg, saját scripttel vagy mi lehet a nyerő?

Tud valaki valami jó megoldást, amivel viszonylag könnyedén lehet implementálni a fentit?

Melyik VPN-t érdemes választani 2016-ban - Ár/Érték/Biztonság/Megbízhatóság - szempontjából?

Használat
- Multiplatform, többfelhasználós (win, droid, linux)
- Kollégiumi, Otthoni és utazási (vonat, pláza etc.) általános titkosítás.
- torrent (persze "valószinűleg" csak linux ISO seed) :D
- Online TV (KODI)

nos, kb ennyi, mondhatni általános otthoni használat

Röviden: keresek egy előfizethető, virustotal.com-hoz hasonlító szolgáltatást, ahol lehetőség van minél több antivirus motoron átkergetni a tartalmat. Fizetni leginkább az ellenőrzött fájlok darabszáma, vagy az ellenőrzés erőforrás-használata alapján szeretnék.

Hosszabban: jelenleg kétféle vírusirtót és egyféle spamszűrőt használunk, de ezek összesített hatékonysága nem éri el a kívánt szintet. A virustotal.com-on megfuttatva ezeket a fájlokat az látszik, hogy az ottani 54-55 féle ellenőrző eszközből jellemzően 6-8 fogja meg ezeket, és persze mindig más és más, így nem tudtuk levonni azt a konklúziót, hogy melyik 1-2-3 vírusirtó megvásárlásával érnénk el a kívánt eredményt.

Arra nyilván nincs pénzünk, hogy 15-20 féle virusirtót licenszeljünk. Az ellenőrzendő dokumentumok száma egyébként nem túl nagy, napi párezer darab.

A virustotal.com tökéletesen megfelelne a célra, de ha jól látom, az csak tesztelésre használható, for-profit használatra nem lehet előfizetni.

Nálam kliens oldalon Linux van, de leginkább az tetszene, ha felhőalapú megoldás volna, tehát POST-olom az ellenőrzendő tartalom hash-ét, és visszakapok egy true/false értéket, vagy valami részletesebb jelentést, valamilyen emészthető formában.

Olyan jelszókezelő beépülőt keresek Firefoxhoz, ami minden oldalhoz külön-külön tud nekem egy biztonságos jelszót generálni, és azt újra és újra előállítani ha visszatérek az adott oldalra. Olyasmi kellene, ami mondjuk a dominnév és egy mesterjelszó alapján tenné meg ezt.

Sziasztok!

Adott egy TUN / TCP alapú VPN, 10.8.0.0/24-es OpenVPN hozzáférés, ahol van pár gép, amit el kell érni, a lényeg:

10.8.0.22:
- HTTP/HTTPS
- SSH
- Samba
- IMAP/POP3

Szerepkörök, akik hozzáférnek:
- ADMIN: minden porthoz/szolgáltatáshoz
- FELHASZNÁLÓ: csak HTTP/HTTPS és Samba
- VENDÉG: csak HTTP/HTTPS

Az most működik, hogy mint ADMIN mindent elérek. Azt kellene a legésszerűbben megoldani, hogy ezt a másik 2 szerepkört korlátozni tudjam, hogy az adott IP címen ne tudjanak hozzáférni a szolgáltatásokhoz.

Amire gondoltam:

1. Lehetőség: Nem 1, hanem 3 OpenVPN szervert futtatni, különböző portokon.
Például: 1001 port = ADMIN, 1002 port = FELHASZNÁLÓ, 1003 port = VENDÉG

Majd beállítani a 10.8.0.22-es szervernek több IP címet, és az iptables-ben beállítani, hogy a különböző IP cím tartományokon át csak limitált portokat tud elérni. Tehát például az ADMIN maradna a 10.8.0.0/24, a FELHASZNÁLÓ lenne a 10.9.0.0/24, a VENDÉG lenne a 10.10.0.0/24.
Iptables-ben meg beállítani, hogy a 10.10.0.0 tartományban csak a 80 és a 443-as port legyen nyitva.
A 10.9.0.0 tartományban a Samba portjai és a HTTP portjai.

2. Lehetőség: ? :)

Másik fő kérdés, hogy melyik a legegyszerűbb módja, hogy különböző felhasználói csoportokat kezeljek OpenVPN alatt, mármint lehetőség van megadni, hogy melyik szerver (porton) melyik felhasználók férjenek hozzá?
ifconfig-pool-persist ipp.txt
Ezzel érdemes ezt megadni, vagy másik módon?

Az is szempont lenne, hogy ha van egy VPN kulcs, ami már létrejött, úgy lehessen később a csoportot változtatni, hogy nem kell új kulcsot generálni.
Tehát például a FELH123 eleinte VENDÉG volt, és át lehessen állítani, hogy ugyanaz a kulcs később a FELHASZNÁLÓ csoportban működjön, tehát hozzáférjen a Sambához is, ne csak a HTTP-hez.

Nyilván az nem működhet, hogy átírja a FELH123 a saját OpenVPN client.conf-ban a
remote 192.168.2.33 1003
címet
remote 192.168.2.33 1001
-re, és akkor onnantól adminként látja a Sambát és az SSH-t is.
Tehát valahogy konfiguráció szinten szeretném megadni, hogy ki melyikhez jogosult.

Továbbá ha több OpenVPN fut egyszerre, hogy nézzen ki a mappa struktúra?

/etc/openvpn/ -ben van most minden, itt van

easy-rsa
easy-rsa/keys(kulcsok helye)
clients (üres)
keys(üres)
servers (üres)

mappa.

Hogy érdemes, ha lenne még 2 porton futó szerver?
Generálok mindegyikhez külön ca/dh/server kulcsot, majd külön klienseket?
Úgy látom, hogy az /etc/init.d/openvpn elindítja a *.conf -ot az /etc/openvpn/ mappában.
Akkor ide rakjam a konfigokat? Itt tartok.

Köszönöm az észrevételeket.

Meglehetősen érdektelen site-om logjában azt látom, hogy a derék userek legális forgalma mellett időről-időre jön egy-egy kérés a /admin/config.php-ra. De csak arra, más php-ra nem.

Nyilván tudnak valamit, amit én nem, és ez egy kicsit érdekel. Egyébként beraktam nekik egy konstans szöveget (hogy 'köszönjük érdeklődését, nincs elérhető adat') de nem változott semmi, ugyanannyi kérdés jön.

Szerk: az egyik jóembert megtaláltam, úgy látszik, másokat is ezzel bosszant: https://www.abuseipdb.com/check/190.85.162.83