Security-all

Hali,

Minden nap délután 4 körül megjelennek ezek a sorok a szerver logban:

1x: Mon Nov 6 15:38:55 2006 [pid 28239] CONNECT: Client "219.146.117.90"

Soxor, sokáig:
Nov 6 16:02:08 igor vsftpd: (pam_unix) check pass; user unknown
Nov 6 16:02:08 igor vsftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=219.146.117.90

Sajnos iptables-el nem megoldás a T időn belül hányszor konnektálhat szabály, mert van 1 CONNECT, aztán soxáz próbálkozás.

Tud a vsftpd vmi olyet, hogy X darab sikertelen próbálkozás után nem fogad az adott IP-ről T ideig újabb konneksünt és kivágja az adott klienst a francba?

Sziasztok!

FTP szerver biztonsagaval kapcsolatban erdekel mindenfele velemeny..
Jelenleg egy neten levo szerveren most egy sima pure-ftpd van mindenfele titkositas nelkul, es olvasom egy-egy forumba, hogy ilyenkor a jelszot esetleg masok is lathatjak.. hogyan lehetseges ez?

Valamint mennyit szamit az ha --with-tls -el forditom es igy hasznaljuk?

Hi,

Tudja valaki, hogyan lehetne Debian alatt egy adott IP-ről történő SSH hozzáférést letiltani? Próbáltam a /etc/host.deny állományba írásával, de nem jött be. Van valakinek valami viszonylag egyszerű megoldása? Segítségeteket előre is köszönöm.

Sziasztok!

Találtam egy pár eléggé érdekes bejegyzést a logwatch-omban. Segítenétek megszakérteni?1. Adott egy fedorás "szerver" :), Postfix smtp, és egy spam, amit elkapott a clamav:
Blocked SPAM, [24.30.174.0] -> , quarantine: ...

Ezzel eddig nincs is semmi gond.
Viszont nem sokkal alább olvasható a következő bejegyzés, ami miatt már egy kicsit aggódom:

Foreign Bounce:
   To blousecanal@rostix.com Msg="host rostix.com[89.108.64.45] said: 554 : Relay access denied (in reply to RCPT TO command" : 1 Time(s)

Különösen a "Foreign Bounce" kifejezés izgat... Ez arra utal, hogy a távoli - közbülső - smtp-n pattant vissza egy levél, és hogy valaki meg tudta próbálni a helyi smtp-n keresztül, kifelé a levélküldést??? Rkhunter nem mutat rootkitet, nincs semmi jele ilyesminek, és hozzátartozik még a dologhoz, hogy -bár nem tudom, mennyit számít - eredményesen teszteltem a szervert az abuse.net relay-teszt funkciójával, nem engedett át semmit.

2. Adott egy szintén fedorás szerver selinuxos httpd-vel, ami 2.2.0-s apache, mögötte egy tomcat, mindkettő névalapú virtuális hosztokkal. Itt más, aggasztó dolgot látok a logwatchban:

 Requests with error response codes
    400 Bad Request
       /: 1 Time(s)
    404 Not Found
       http://218.150.110.122/index.htm: 1 Time(s)

Az első rendben van, a második viszont nem tetszik. Azok a bejegyzések, amiket eddig láttam, mindig helyi, relatív útvonalak voltak. Hogy kerül ide külső http szerverre mutató link? Valaki "relayként" használja a httpd-met?

Ha valaki megnyugtatna, hogy nincs semmi gond, nyugodtan mehetnék aludni.

Előre is köszi az építő jellegű hozzászólásokat
Chreex

Sziasztok!

Ennél rövidebben nem bírtam írni a tárgyat!:)
Szóval otthoni kis 200MMX-es gépemből akarok tűzfal
gépet csinálni ami nem is lenne gond IPCop-al csak ugye a szolgáltatóm a(muzsikus):)MAC Address-re adja a hozzáférést és red interface-es kártyám most raktam bele
aminek a címe nem stimmel a regisztráltal.Van lehetőség
átírni IPCop-ban utólag vagy ifconfig-al kell mahinálnom?Még soha nem csináltam ilyet tudnátok segíteni!?
Előre is köszi mindenkinek!

Üdv: anthony_

Sziasztok!
Egyik ismerősöm nevében kérdezek. Van neki egy szervere egy szolgáltatónál, amelyik tegnap 1 órán keresztül nem volt elérhető. A szerveren szokásos 80-as, 443-as, és valami nem szabványos porton SSH port van nyitva. Az Apache PHP-t + MySQL-t futtat. Valószínűleg DoS támadás volt, a szolgáltató szerint nagy volt a gépre bemenő forgalom, mely rebút után megszűnt.
Az a kérdésem, hogy nem tudjátok véletlenül, hogyan lehetne utólag kideríteni, melyik service-en keresztül volt DoS támadás? És azon belül hogyan történt?
Köszi!

Helló!

Sok helyen hallottam arraól, hogy a mail mennyire nem biztonságos. Addig rendben is van hogy gyak. bárkinek a nevében lehet mailt írni, és a levelek titkosítatlanul röpködnek a neten és amelyik gépen végig mennek azokon akár el is olvashatják őket. OK. Az is rendben van, hogy LAN-on egy ARP poioning-al rá lehet venni az adatcsomagokat, hogy egy gépen átfussanak. Nade végülis ha valaki egy mailt meg akar szerezni akkor egy köztes gépen kell neki root acc ami azért nem olyan könnyű. Avagy van még valahol valami hiányosság? Be lehet állni a neten két gép közé különösebb jogosultságok nélkül?

Sziasztok!

Van egy portál, amit karbantartok. A portált apache 2.2.3 + php5.1.6 páros szolgálja ki. Észrevettem a logfájlokban, hogy kívülről belinkelgetnek az portálról képeket és php lapokat. Raktam a .htaccess fájlban (ami a documentroot gyökerében van) a következő sorokat:
SetEnvIfNoCase Referer "^http://www.sajatdomain.hu/" locally_linked=1
SetEnvIfNoCase Referer "^http://sajatdomain.hu/" locally_linked=1
SetEnvIf Referer "^$" locally_linked=1
<FilesMatch "\.(php|htm|htm|jpg|gif|png|jpeg)$">
Order Allow,Deny
Allow from env=locally_linked
</FilesMatch>

Ha a saját gépemről (nem amin a portál fut) egy html kódba beírtam, hogy <img src="www.sajatdomain.hu/valami.jpg"> akkor a kép nem jelent meg és láttam is az apache error logjában, hogy volt próbálkozás, de denied lett a vége. Ha viszont ugyan ezt php scriptből akarom egy sima fopen -nel és majd kiiratom a képet (igaz ekkor a bináris kriksz-krasz ad), akkor "kiírja a képet" és ha az fopennel az index.php -t hívom meg, akkor behívja az oldalt igaz a képek nem lesznek láthatóak és ha bármelyik linkre kattintok, 403 -as Forbidden hibát ad ahogy azt vártam. Hogy lehetne megoldani, hogy az index.php -t se tudja már beolvasni távolról?
Remélem nem volt túl zavaros.

Laci

Hali All!

Nem "mezei" spam problémám lenne, jelenleg kicsit fejtörésben vagyok.
Adott egy .hu TLD domain, amit úgy tűnik sikerült elterjeszteni a világban: különböző címek behelyetesítésével spamek ezreit küldik ki. Ezenközben a mail szerver napi max 2000 körüli SMTP kapcsolati mutatója 10 000 környékére kúszott fel, a mail szerverek által visszaüzent 550-es hibakódok, a user over quota, és az augusztus végéig szabin vagyok jellegű üzeneteknek köszönhetően.

Van valakinek ötlete, hogyan lehetne megszűntetni az áldatlan állapotot?

Üdv:
mP

Üdv!

Egy érdekes történet.

Előre közlöm, user vagyok, nem rendszergazda - de mindenesetre kíváncsi, mert még ilyet esettel nem találkoztam! Hátha valaki hozzá tud szólni!

Adott egy kisebb ingyenes (magyar) mail szolgáltató (nem igazán ismert, mostanában kezdtek fejlődni, sőt valami iwiw-szerűséget is próbálnak újabban bevezetni stb.)
E szolgáltatónál kb. 3 éve van 2 postafiókom, gond nem volt velük (akkor még csak mailszolg voltak). Gondoltam csinálok egy harmadikat náluk, kizárólag egy személlyel való levelezésre (magánügy :-)), így e címet más nem is tudhatja (a szolgáltatón kívül persze). Elkészült a postafiók, vígan levelezgettem ezen keresztül egészen tegnapig, amikor is megváltoztattam a jelszavam. Ez rendben volt, csakhogy én gyakran olvasom a leveleimet Wap-on keresztül (PannonPOP3). És egyszer csak azt veszem észre, hogy lazán beléptem a régi jelszavammal (a megszokás nagy úr!). Hoppá! Nézzük az új jelszót. Ezzel is bent vagyok. Poénból nézzünk egy másik jelszót, ezzel is belépek! De kényelmes! Nem kell megjegyezni semmilyen hülye szót, jelszó nélkül járok ki-be! :-) (hozzáteszem: cache ürítés a mobilon stb. volt)
Nézzük meg web-en! Beírok találomra valamit, nem lép be. Na ne! Beírom a régi jelszót: ez sem megy. Hát sajnos itt bizony csak a saját (új) jelszavammal tudok belépni. :-(
Nézzük meg még egyszer POP3-mal. Beállítom a Mozilla-mailt, levélletöltés. Jelszókérés után találomra beírok valamit: bent van. OK. Tehát következetes, POP3-nak mindegy, Web-en nem, webmail OK. vagy mégsem?
Ugyanis - valami sugallatra? - mégegyszer kipróbáltam weben. Beírtam (cache stb. törlés, browser kilép-belép után természetesen) ismét egy találomra kiválasztott jelszót, történetesen poénból éppen azt, hogy: "barmi".
És EZZEL BELÉPETT!! És ez még semmi! Innentől kezdve tényleg bármilyen jelszóval beléptem weben is (cache stb. törlés után is, de csak ugyanabban az elindított böngészőben, tehát ha újraindítottam a firefox-ot (mozillát, operát, bármelyiket) akkor mindig következetesen először nem engedett be, csak a "barmi" "varázs-jelszóval" való belépés után (a saját igazi jelszó után pedig nem!))
Na erre varjál gombot!
(hozzáteszem, hogy az FTP elérésénél pedig nem volt varázslat, ott bizony unalmasan szigorú módon csak a saját igazi 1 db. (új) jelszavamat fogadta el :-()

MI AZ OKA? KI/MI A HIBÁS?

Szórakoznak a rendszergazdák a cégnél, vagy mi van?

Írtam nekik, telefonáltam, kijavították a hibát, de magyarázattal nem szolgáltak.
Ezek után hogyan bízzak meg bennük? (vagy felejtsem el az e-mail-t - bárhol is?)

(ha a HUP-ot is olvassa a cég rendszergazdája, akkor itt is válaszolhat!)

Szóval hogy is van ez?