Jump to content
grzehajn

Czy Miałem "gości" ?

Recommended Posts

Błędy w oprogramowaniu, pozwalające przejać kontrolę nad systemem, są prawie zawsze szczegółowo opisywane, np przez stronę Secunia.

To, ile "odkryć" dokonano podczas lat od wydania FC1 - pięć lat! - przyprawia o zawroty głowy, naprawdę nietrudno jest zgwałcić taki system. Podejrzewam, że są jużnawet gotowe skryptu, albo nawet całe programy do tego celu.

Twoi gościezatem wcale nie musieli się wykazywać większą inwencją...

Share this post


Link to post
Share on other sites

Przyłączam sie do sugestii żeby dokonac gruntownej aktualizacji OS. Cóż czasem trzeba poświęcić dzień albo dwa na "prace porządkowe". A jaki priorytet temu nadasz to juz zależy od Ciebie.

 

Co do komunikatów, to sygnalizuja nieudane próby włamania, u mnie pojawiały się co parę tygodni.

Myślę, że tu skutecznym lekrstwem będzie popracowanie nad plikami hosts, hosts.allow i host.deny.

Tam dopuścić tylko połączenia do wystawianych usług i jeżeli nie sa publiczne to określić jakie ip lub domeny mają do nich dostęp.

 

Przy okazji zastanawiam sie czy w plikach hosts.* można użyć nazwy komputera (usługi DDNS). To dawałoby możliwość dopuszczenia konkretnej maszyny która ma dynamiczne IP.

 

Share this post


Link to post
Share on other sites

Jedną z najprostszych metod i zarazem dość skuteczną* jest przesunięcie portu na którym słucha sshd. Te "wejścia" to nic innego jak roboty. Chyba nie sądzicie, że ktoś tam siedzi z drugiej strony i nmapa puszcza ręcznie? :D

 

*oczywiście nie jedyną, i tym bardziej nie jedyną skuteczną.

Share this post


Link to post
Share on other sites

A, no i jeszcze jedno. :) Poczta od roota to już trochę za późno.

Zaglądaj czasem do /var/log/auth.log i /var/log/auth.log.0.

Zobaczysz tam historię uwierzytelnień. Jak mój ssh chodził na 22, to miałem mnóstwo prób logowania. Teraz jest spokój. Natomiast szturmują mi FTP namiętnie - remote user: "Administrator" ;)

Share this post


Link to post
Share on other sites

Hehe, normalka. Każdy jeden otwarty "service port" dzieli ten los. Nikomu się nie chce dokładnie skanować wszystkich portów, bo trwałoby to wieki.

Share this post


Link to post
Share on other sites

1. Zmiana portu na inny niż domyślny

2. Ustawienie hosts.deny/allow (jeśli możliwe)

3. Skonfigurowanie usługi denyhosts (obowiązkowo !)

4. Stworzenie specjalnej grupy i pozwolenie logowania przez ssh tylko userom z tej grupy

5. Stworzenie usera będącego w grupie z pkt. 4 - z niego przełączać się przez "su" już na normalnych userów. (co prawda nie testowałem tego, ale można by spróbować takiego usera chrootować w minimalnym środowisku, tylko nie wiem czy dałoby się wtedy przełączyć na normalnego usera)

6. Umożliwienie logowania tylko za pomocą klucza z hasłem.

7. Wyłączenie możliwości bezpośredniego logowania się na roota (co prawda ten temat pokrywają punkty 4 i 5, ale ostrożności nigdy za wiele)

8. Iptables (zwłaszcza zainteresuj się modułem RECENT)

 

To tak na szybko co mi do głowy wpadło, ale powinno w zupełności wystarczyć do całkiem skutecznego zabezpieczenia sshd

Share this post


Link to post
Share on other sites
A, no i jeszcze jedno. :) Poczta od roota to już trochę za późno.

Zaglądaj czasem do /var/log/auth.log i /var/log/auth.log.0.

Zobaczysz tam historię uwierzytelnień. Jak mój ssh chodził na 22, to miałem mnóstwo prób logowania. Teraz jest spokój. Natomiast szturmują mi FTP namiętnie - remote user: "Administrator" ;)

 

 

Zainstalowałem FC10 w minimalnej konfiguracji:

- serwer WWW i chyba nic więcej.

- zaporę skonfigurowałem ascetycznie (http, https,ssh)

- skonfigurowałem kartę sieciową, ale komp nic nie widział. "Sieć niedostępna" - czy coś takiego,

- z doskoku (czasssss) coś tam kombinowałem,

- zobaczył Internet, z innego IP Putty twierdził,żo numer IP nie istnieje.

- doinstalowałem dziś openssh i... wreszcie zobaczyłem serwer przez Putty z innego komputera wchodząc przez inne IP ( na DSL mam 8 numerów IP)

 

- NIE MAM /var/log/auth.log ! Nie wiem dlaczego.

 

- popróbuję zmienić port 22 na jakiś numer 4-ro cyfrowy. ( Ale najpierw muszę poczytać jak to zrobić :( )

- pobrałem wszystkie możliwe aktualizacje.....

 

Dziękuję za wszystkie rady. Walczę dalej. Howk!

Share this post


Link to post
Share on other sites
- NIE MAM /var/log/auth.log ! Nie wiem dlaczego.

 

/etc/rsyslog.conf

 

popróbuję zmienić port 22 na jakiś numer 4-ro cyfrowy.

 

/etc/ssh/sshd_config

service sshd restart

Share this post


Link to post
Share on other sites
Bo teraz logowanie jest zapisywane do pliku /var/log/secure

 

To najmniejszy problem ze wszystkich!!!

 

Zainstalowałem po raz wtóry F10. Pobrałem wszystkie aktualizacje. Nic tam jeszcze nie ma. Usługi: tylko ssh i www. Loguję się do serwera wyłącznie przez WinSCP lub Putty. Hasło mam długie i skomplikowane.

 

I bez przerwy ktoś mi sie szwęda po MOIM serwerze. Szlak mnie trafia. Nic nie mogę zrobić spokojnie, bo wydaje mi się,że jakiś idiota ( nie co do poziomu wiedzy informatycznej) się ze mną bawi.

 

No i nie rozumiem sensu wpisów typu:

 

Illegal users from:
   117.21.249.75: 6 times
   195.96.170.210: 132 times
   200.196.90.206 (206.90.196.200.static.impsat.net.br): 340 times
   203.231.27.211: 4 times


Received disconnect:
   11: Bye Bye : 557 Time(s)

**Unmatched Entries**
reverse mapping checking getaddrinfo for 206.90.196.200.static.impsat.net.br [200.196.90.206] failed - POSSIBLE BREAK-IN ATTEMPT! : 368 time(s)

 

Co oznaczają times'y? Minuty, jakieś inne ,tajemne jednostki czasu, godzinę w/g nieznanej mi skali?

nigdzie nie mogę tego znaleźć.

 

Do rzeczy:

 

- zrobię jeszcze raz instalację 9Jeśli będzie potrzeba to jeszce kilka razy)

 

- chciałbym zamknąć serwer na 100 % (!) i wchodzic do niego TYLKO z mojego IP (mam stałe w domu). Co zrobić iptables na deny all? I potem dopisać tylko swój IP?

- I co jeszcze?

 

-Potem chciałbym POWOLI uruchamiać dostęp dla użytkowników wybranych przeze mnie ,a nie dla jakis podejrzanych typków "illegalów".

 

- Próbowałem zmienic port dostępu . Nie wyszło , opanuję i to z czasem. NIE odpuszczę.

 

Czyli jak?

 

Pozdrawiam wszystkich, chyląc czoła przed Waszą wiedzą . :lammer:

grzehajn

Share this post


Link to post
Share on other sites
Co oznaczają times'y?
Raczej nie pomogę co do calości problemu, ale "times" w tym przypadku oznacza "razy" np. 340 razy. Biorąc pod uwagę całość komunikatu odczytałbym m.in. nielegalni użytkownicy spod adresu 200.196.90.206 nawiedzili Cię 340 razy.

Share this post


Link to post
Share on other sites
I bez przerwy ktoś mi sie szwęda po MOIM serwerze

 

Nikt się nie szwęda, są to próby wejścia.

 

- zrobię jeszcze raz instalację 9Jeśli będzie potrzeba to jeszce kilka razy)

 

Po co?

 

- Próbowałem zmienic port dostępu . Nie wyszło , opanuję i to z czasem. NIE odpuszczę.

 

Czytałeś mój wcześniejszy post? Zmiana jednego numerka w pliku tekstowym i restart usługi Ci nie wyszedł?

 

http://return.dnsalias.net/wiki/index.php/..._Neostrady#sshd

Share this post


Link to post
Share on other sites

pozwolę sobie się wtrącić i doradzić,

 

nie stawiajcie systemów serwerowych na Fedorze, za jakiś czas znowu staniesz przed problemem aktualizacji,

 

lepiej wybrać jakiś CentOS, który jest typowo serwerowy, posiada politykę aktualizacji - poszczególne pakiety utrzymywane są w wersjach, przejścia między wersjami są dobrze dokumentowane itp. zmniejsza to wszystko do minimum wystąpienie problemów z serwerem,

 

dodatkowo używając CentOSa można używać dobrze napisanych dokumentów Red Hata z cyklu "how to secure ..." (ssh, apache itp. itd.), ponadto forum CentOSa zawiera wiele profesjonalnych porad,

 

Share this post


Link to post
Share on other sites

Nikt się nie szwęda, są to próby wejścia.

 

Uff. Wydawało mi się, że to odnotowane wejścia.

 

Po co? [reinstalacja-grzehajn]

 

Skoro ktoś wszedł (jak mi się zdawało) ,to swoje zrobił, nie zobaczę tego ( no bo się nie znam, na razie...). Więc najprościej, dopóki jest pusty komp, sformatować i postawić na nowo. Zawsze tak robiłem z zawirusowanymi kompami.

 

Czytałeś mój wcześniejszy post? Zmiana jednego numerka w pliku tekstowym i restart usługi Ci nie wyszedł?

 

http://return.dnsalias.net/wiki/index.php/..._Neostrady#sshd

 

Tak zmieniłem numerek na 2013, usunąłem # . czyli linijka brzmiała:

Port 2013

 

Zrobiłem service sshd restart i.... serwer jest niewidoczny w sieci. Oczywiście w Putty ustawiam logowanie do portu 2013. I nic.

 

Przezornie zrobiłem kopię sshd_config. I jutro (jak będę w firmie) go wymienię na "oryginalny". Nie lubię pracować na konsoli Fedory, bo jeszce nie zainstalowałem mojego ukochanego MC, którym posługiwałem się w czasach DOS 3.0 (tak!, no był to NC). W RH 5.0, był, w 6,0 był w 7,3 też- pamiętam(choć nie był w domyślnej instalacji).

Teraz Linux jest jakis taki okienkowy, a po latach juz nie mam tej sprawności w pracy konsolowej. Podstawowych komend nie pamiętam i muszę zaglądać do kompedium...:(. Czas swoje robi.

Próbowałem go (MC) zainstalować zdalnie w poprzedniej konfiguracji, ale się rozsypywał niemiłosiernie.

 

Walczę dalej. Dziękuję za cierpliwość.

 

Pozdrawiam

Share this post


Link to post
Share on other sites
...

Tak zmieniłem numerek na 2013, usunąłem # . czyli linijka brzmiała:

Port 2013

 

Zrobiłem service sshd restart i.... serwer jest niewidoczny w sieci. Oczywiście w Putty ustawiam logowanie do portu 2013. I nic.

Firewall (iptables) najprawdopodobniej blokuje Ci polaczenia na tym porcie...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×