Security-all

Egy olyan jelszot szeretnek eloallitani, amivel xy user csak bizonyos ideig johet be, azaz az IP-cim es usernev alapjan egy az adott oraban hasznalhato jelszot general.

Az alabbira gondoltam:


sub a {
my($ipaddr, $username) = @_;
my $secret = '2km hosszu kozos titok, amit csak a jelszot generalo / ellenorzo program ismer';


@c = (0..9, 'A'..'Z', 'a'..'z');
my $s = '';

$t = time();
$t -= $t % 3600;

$digest = sha256_hex(sha256_hex($ipaddr . "+" . $username . "+" . $t . "+" . $secret) . $secret);

$digest = hmac_hex($ipaddr . "+" . $username . "+" . $t, $secret, \&sha256);

for($i=0; $i<(length $digest)/4; $i++) {
$a = substr($digest, $i*4, 4);
$s .= $c[hex($a) % @c];
}

return $s;
}

A kerdes az, hol van a gyenge pont (ha van) az algoritmusban?

Sziasztok.

Megoldást keresek arra, hogy minden féle számora fontos adataimat hosszú távon (mondjuk 100-év biztosan elég) eltárolhassam. Van egy csomó olyan file aminek nagyon nem örülnék ha baja lenne. Ezeket cd-dvd-n több példányban másolgatva tárolom, és kicsit unom, hogy 2-3 évnél nem igazán tudom biztonságban hosszab távon. Előre is köszönöm. Nekem pl az is jó, ha valahol kiirják olyan dvd-re mint a nyomott dvd-k, abbór 3-4 példány biztosan húzza 15-20 évig.

Sziasztok,

Adott egy szerverpark, amelyben több virtuális szerver védelmét kellene megoldani. Milyen megoldásokat javasoltok?
Szoftver megoldásként nézegettem a "Zorp"-ot, de hardveres megoldások is érdekelnének.

Előre is köszönöm.

Sziasztok.

Szükségem lenne egy kis segítségre, mert úgy érzem kicsit kevés vagyok már a jelenlegi támadásokhoz.
Röviden tömören összefoglalva, fejlesztünk egy saját, jelenleg bétában levő cms-re épülő portált, az egyik szép nagy magyar hostingcégnél van jelenleg a site hostolva, 301 másik domainnel azonos IP-n, és már többször kaptunk acunetix scant, és különböző próbálkozásokat, de egészen ma estig semmi komoly nem történt.
Ma éjjel, 1 óra tájt sikeresen behalt a teljes site 500-as response-al 10 percre, miután többször elég érdekes karakterek jelentek meg a html-ben, és nagyjából frissítésenként változott valami a forráskódban, majd miután életre kelt a szerver, az alábbi (domain nevet átírtam) js jelent meg az összes response-ba injectelve.

http://pastebin.com/kLEZReYh

Egyből lelőttem az oldalt, majd tüzetesen átvizsgáltam mindent, az érdekes viszont az volt, hogy miután feltöltöttem egy teljesen üres index.html file-t, és megnyitottam böngészőben, abban a response-ban is injectelve volt a fenti script. Amikor ez történt, cloudflare mögé volt állitva az oldal, de visszaírtam az ns-eket a hosting szolgáltató alapértelmezettjeire, és nagyjából fél óra múlva teljesen eltűnt a script, és visszaállt minden a régibe.

A scriptben összerakott linket virtualboxban megnyitottam, egy csinos 4kb-os png file lett az eredménye, ittvan a hexdump róla:

http://pastebin.com/dDsY1n5i

Sajnos ennek az értelmezése már meghaladja a képességeimet.

Remélem valaki, aki elolvassa tud pár tanáccsal, ötlettel szolgálni, esetleg megmondani, hogy én rontottam-e el valamit, vagy a hostingomnál/cloudflare-nál injecteltek.

A szerveren levő fileok egyeznek a gépemen/backup-omban levőkkel, az adatbázisomban úgyszintén semmi huncutság.

Üdv mindenkinek
A mai napon felhívott mobilon valami angolul ismerkedő hölgy, és rólam érdeklődött...
Megmondtam nem aktuális a hívás stb és leraktam, de a telefonszámom senki nem tudja mert új előfizetéses szám, közben sorolta nevem email címem stb adataim......... (Itt kezdődött az egész furcsaság)
Azután hosszasan kutakodtam ilyen történet után és idáig jutottam el:
http://leaks-db.hacktalk.net/
nevű oldal...

És a többi furcsaság: (MOST FIGYELNI!!!)

http://leaks-db.hacktalk.net/node/27

Tartalomból : (Lerövidítve mert nem másolok be 20 ezer személyt :)

<törölve>

STb
Hogy kerülhetett ki a Pepsi nyereményjátéknak az adatai?

http://leaks-db.hacktalk.net/node/30
folytatás folytatás...

Egyáltalán mi ez az oldal, hogy létezhet ilyen adatbázis?
Esetleg a pepsi eladta volna jópénzért?
Köszönöm az olvasást...

És személyes ismerőseim és jómagam is szerepelek benne ellenőriztem:(
És igen regisztáltam régen a Pepsi nyereményjátékra

Üdv!

Olyan probléma adódott, amellyel lényegében nem sokat lehet kezdeni. De leírom egy publikus helyre, hogy minél többen lássák. A cím igazából csak az éppen aktuális problémát írja le, de erre már nem igazán találok megoldást.

A jelenlegi probléma az, hogy 300-500+ IP címről mindenféle országokból (magyar címekről is) érkeznek kérések a nálunk hosztolt majd' összes domainre, és azon belül is random URL-ekre. Erre nyílvánvalóan nincsen tökéletes védelem. Eleinte a User Agent szűrés működött, de most olyan User Agent-el jön a támadás, amely egy széleskörben elterjedt böngészőé.

Nos, ez a jelenlegi történet, de sajnos ez a játék már több mint egy éve megy, és minden egyes napló, illetve nyom egy adott személyhez vezethető vissza. Már szinte az összes szolgáltatásunkat valamilyen módon károsította, főleg a streaming ágazatot (mivel ő is ebben érdekelt. Ezt valószínűleg ő is olvassa, mivel tagja a fórumnak tudomásom szerint). Egy év alatt azzal, hogy folyamatosan, minden javított hiba utána újabb, és újabb lehetőségeket keres arra, hogy hogyan tehet tönkre egy másik vállalkozást, úgy, hogy azt a saját anyagi javára fordítsa igen csak megkérdőjelezhető magatartás.

Részletesebb infókat erről csak később írok, de mindenképp tanulságos lesz! Akinek esetleg van ötlete erre a támadásra, és bármit lehet ellene tenni, azt szívesen veszem.

Köszönöm!

Szerk.: A legutóbbi DDoS támadás nem gyanúsítás, csupán feltételezés (a naplófájlokra támaszkodva) az elkövetőre. Azonban a korábbi események engednek élni a gyanúval, hogy van hozzá köze. Amennyiben nincs (és mivel nincs is megnevezve az illető), akkor ne vegye magára!

Szervusztok!

Érdekes dologra bukkantam, amit kicsit furcsának találok, de bővebb véleményt szándékosan nem osztanék meg. Squeeze-en Firefox 16.0.2 fut, amin keresztül az oldalbordám időnként bejelentkezett ~tegnapelőtt a facebookra. Bezártam a böngészőt újra lett indítva, stb, majd HUP és vatera olvasgatás/böngészés közepette elkezd a firefox felépíteni a facebook Ír szerverével TCP kapcsolatot.

A syslog ide vágó részlete:

Jan 3 20:08:28 hostName kernel: [ 9347.961761] faceB IN= OUT=eth0 SRC=192.168.1.5 DST=31.13.64.7 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=14999 DF PROTO=TCP SPT=
36774 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 3 20:08:28 hostName kernel: [ 9347.961833] faceB IN= OUT=eth0 SRC=192.168.1.5 DST=31.13.64.7 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=41716 DF PROTO=TCP SPT=
36775 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 3 20:10:29 hostName kernel: [ 9468.839634] faceB IN=eth0 OUT= MAC=00:1d:7d:a9:b4:f8:b0:48:7a:bb:da:3c:08:00 SRC=31.13.64.7 DST=192.168.1.5 LEN=40 TOS=0x00 PREC=0x00 TTL=247 ID=52781 DF PROTO=TCP SPT=80 DPT=36775 WINDOW=0 RES=0x00 ACK RST URGP=0
Jan 3 20:10:29 hostName kernel: [ 9468.839654] nem kellene bejonnie: IN=eth0 OUT= MAC=00:1d:7d:a9:b4:f8:b0:48:7a:bb:da:3c:08:00 SRC=31.13.64.7 DST=192.168.1.5 LEN=40 TOS=0x00 PREC=0x00 TTL=247 ID=52781 DF PROTO=TCP SPT=80 DPT=36775 WINDOW=0 RES=0x00 ACK RST URGP=0
Jan 3 20:10:31 hostName kernel: [ 9470.609163] faceB IN=eth0 OUT= MAC=00:1d:7d:a9:b4:f8:b0:48:7a:bb:da:3c:08:00 SRC=31.13.64.7 DST=192.168.1.5 LEN=40 TOS=0x00 PREC=0x00 TTL=247 ID=9857 DF PROTO=TCP SPT=80 DPT=36774 WINDOW=0 RES=0x00 ACK RST URGP=0
Jan 3 20:10:31 hostName kernel: [ 9470.609183] nem kellene bejonnie: IN=eth0 OUT= MAC=00:1d:7d:a9:b4:f8:b0:48:7a:bb:da:3c:08:00 SRC=31.13.64.7 DST=192.168.1.5 LEN=40 TOS=0x00 PREC=0x00 TTL=247 ID=9857 DF PROTO=TCP SPT=80 DPT=36774 WINDOW=0 RES=0x00 ACK RST URGP=0

Ez alatt a netstat folyamatosan ment és az IP-re ezt mutatja:

1000 90260 4359/firefox off (0.00/0/0) tcp 0 0 192.168.1.5:36774 31.13.64.7:80 ESTABLISHED
1000 90259 4359/firefox off (0.00/0/0) tcp 0 0 192.168.1.5:36775 31.13.64.7:80 ESTABLISHED

A kérdéseim a következők lennének:

- Miképp tudom kideríteni, hogy a firefox miért épít ki kapcsolatot a facebook irányába tőlem, amikor nem is járok az oldalukon?
- Miképp tudom kiirtani a nem tudom micsodájukat?
- A kapcsolat felépítés lassúak tűnik, lehet hogy más is van a háttérbe még?

Bocs ha láma lenne a dolog, de nekem nem világos ez a folyamat és gyanítom, ha készítek egy tcpdump-ot nem leszek okosabb sokkal.
A segítséget előre is köszönöm!
Üdv,
vf

Ma este a haver elcsukló hangon ezzel a szöveggel köszönt:
"Szeva! Figyu, ku..a nagy gáz van! Bekaptam valamit!"

És a következő képet küldte:

Sajnos a távolság révén nem javasolhattam túl sok mindent.
Az egyetlen hirtelen tanácsom egy full Kaspersky scan, a HDD-t egy külön gépre dugva, ( a 2011-es verziójával, ezt tartom a legstabilabbnak ) és várja a találatokat, azokat meg törölje, utána meg minden rendbe lesz.

A találatok szépen azonosítva is lettek, törlődtek:

---

De a fránya exploit nem akaródzik eltünni a képernyőjéről.

Elmondása szerint csak internet kapcsolat meglétekor ugrik be az oldal. Ha nincs WiFi, akkor nincs az se.

Kérdés az, hogy lehetne kilőni ezt, mert sajnálatosan erre nekem sincs ötletem.

Ha elérhető lesz a fertőző cím, akkor ezt itt is elérhetővé teszem, hogy mindenki kerülje és óvakodjon tőle.

Sziasztok,

Normális Squid fekete listát (blacklist) keresnék amivel a legtöbb "káros" oldalt ki lehetne szűrni. Köztük a socialnet oldalakat is. Amiket néztem azok néha olyan oldalakat is blokkolnak Malay pornó felkiáltással aminek köze nincs hozzá. A lényeg hogy a mindennapi munkát ne akadályozza, de azért szűrjön is "tisztességesen".

Sziasztok,
Szeretnék egy kis segítséget kérni, biztos vagyok benne, hogy itt pillanatok alatt meglesz a válasz.

Kellene nekem egy gyors SSL, nem kell, hogy tökéletes legyen, csak a Facebook fogadja el.
Megpróbálkoztunk a Startssl-lel, de sajnos bizonyos okok miatt nem sikerül megküzdeni vele. Most épp nem enged be az oldalra ezzel az indokkal:

www:~# wget https://auth.startssl.com
--2012-10-05 10:10:08-- https://auth.startssl.com/
Resolving auth.startssl.com... 192.116.242.27
Connecting to auth.startssl.com|192.116.242.27|:443... connected.
OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert
handshake failure
Unable to establish SSL connection.

Találkoztatok már ezzel a hibával?

A másik, hogy gondoltam akkor vásárolok inkább egy SSLt a Godaddyn, mert tökéletesen megfelelne ez is
Itt lehet ugye venni a következő változatokat:
- Single domain
- Multiple domains UCC
- Single domains with Unlimited Sub Domains

nekem igazából egy alkalmazas.domain.hu címre kellene, de nem tudom eldönteni, ha csak a singlet vásárolom meg, akkor ott be tudom e állítani, vagy az csak a domain.hu-t vagy a www.domain.hu-t fogja engedni.

Tudnátok esetleg ebben segíteni?
Előre is köszönöm!