Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
spott
Admin
Admin


Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 25.09.2005, 10:35  postituse pealkiri:  Turvake oma servereid, arvuteid - robotid ründavad!  

Kuna erinevaid roboteid tuleb järjest juurde ja nende käsitlemine muutub lihtsamaks, siis soovitan kõigil üle kontrollida oma Linuxi purkide turvalisuse tasemed.
Uurin ise just eilse juhtumi logisid - esialgu midagi hullu näha pole. Sisse saadi pingviini kontosse, kuid see pole isegi mitte wheel grupis - üritatid muidugi erinevaid asju kasutada, kuid jälgi õnnestumisest esialgu veel pole.
Igatahes kuna ma ei saa keelata ssh-d, siis võtsin seal kasutusele karmimad turva meetmed. Kõigil kasutajatel on ssh kasutamine keelatud. kaasa arvatud root. Eraldi kasutaja on loodud ainult ssh jaoks ja tema saab kasutada su-d, et siis oleks võimalik edasi uuendusi jne teha.
Samuti jälgige oma serverite kasutajanimesid, logisid.
Logi uurides avastasin, kuidas täna öösel on taas kolistatud ssh taga robotiga ja erinevaid kasutajanimesid proovitud. IP paistab taas olevat lombi tagune.


konna
Pingviini aktivist
Pingviini aktivist


Vanus: 36
Liitunud: 08.07.2005
Postitused: 119
Asukoht: Tartu
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 25.09.2005, 11:32  postituse pealkiri:  (teema puudub)  

Njah peaks endagi süsteemi ylevaatama. Õnneks on oht suhtkoht väike kuna tcp pordid on kinni ja isegi mitte hea tahtmise juures ei anna mu ssh`d brute forceda.


spott
Admin
Admin


Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 27.09.2005, 08:03  postituse pealkiri:  (teema puudub)  

krt pea iga öö skännitakse.
Igatahes tõmbasin audiitori ja kui aega saan, siis testin ise sama moodi serveri ära. Igaks juhuks.


siim
Uus kasutaja
Uus kasutaja



Liitunud: 01.11.2005
Postitused: 13


postituspostitatud: 01.11.2005, 20:29  postituse pealkiri:  (teema puudub)  

no dziises.. mida te põete.. kui kasutada piisavalt pikkasi ja loogikaväliseid paroole, siis võtab brute force nii mõttetult kaua aega, et keegi ei viitsi jamada sellega. las sorgivad. niikaua, kui ssh port on kõigile nähtav ei kao laamendajad kuhugi. eraldi konto ssh kasutamise jaoks tundub natuke kummaline idee 8O kuna see on enamvähem sama ohtlik rünnakule kui iga teine kasutaja va. root
rohkem peaks vist mõtlema meili liikluse krüptimise ja võibolla ka https'i peale


spott
Admin
Admin


Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 01.11.2005, 20:44  postituse pealkiri:  (teema puudub)  

siim kirjutas:
no dziises.. mida te põete.. kui kasutada piisavalt pikkasi ja loogikaväliseid paroole, siis võtab brute force nii mõttetult kaua aega, et keegi ei viitsi jamada sellega. las sorgivad. niikaua, kui ssh port on kõigile nähtav ei kao laamendajad kuhugi. eraldi konto ssh kasutamise jaoks tundub natuke kummaline idee 8O kuna see on enamvähem sama ohtlik rünnakule kui iga teine kasutaja va. root
rohkem peaks vist mõtlema meili liikluse krüptimise ja võibolla ka https'i peale

tegu on hoiatusega.
Liiga palju on ssh-ga arvuteid, kus kasutajanimed ja aroolid liiga nõrgad.
Võin küll olla paranoiline, kuid sellegi poolest keelasin serveris ssh logimised ära kõigil, välja arvatud ühel eri kasutajal, kes on wheel grupis. root kasutaja logimise keelasin selle pärast ära, et kui see on juba keelatud, siis ei nähta eriti enam vaeva. Ja paroolid, mida kautan sisaldavad kõik suuri/väikeseid tähti ja numbreid.


siim
Uus kasutaja
Uus kasutaja



Liitunud: 01.11.2005
Postitused: 13


postituspostitatud: 01.11.2005, 20:52  postituse pealkiri:  (teema puudub)  

spott kirjutas:
siim kirjutas:
no dziises.. mida te põete.. kui kasutada piisavalt pikkasi ja loogikaväliseid paroole, siis võtab brute force nii mõttetult kaua aega, et keegi ei viitsi jamada sellega. las sorgivad. niikaua, kui ssh port on kõigile nähtav ei kao laamendajad kuhugi. eraldi konto ssh kasutamise jaoks tundub natuke kummaline idee 8O kuna see on enamvähem sama ohtlik rünnakule kui iga teine kasutaja va. root
rohkem peaks vist mõtlema meili liikluse krüptimise ja võibolla ka https'i peale

tegu on hoiatusega.
Liiga palju on ssh-ga arvuteid, kus kasutajanimed ja aroolid liiga nõrgad.
Võin küll olla paranoiline, kuid sellegi poolest keelasin serveris ssh logimised ära kõigil, välja arvatud ühel eri kasutajal, kes on wheel grupis. root kasutaja logimise keelasin selle pärast ära, et kui see on juba keelatud, siis ei nähta eriti enam vaeva. Ja paroolid, mida kautan sisaldavad kõik suuri/väikeseid tähti ja numbreid.


tubli Smile
ja kui su paroolid on vähemalt 8 sümbolit pikad, siis võid seda pidada juba piisavalt turvaliseks. ütleme nii, et ründajal hakkab igav enne kui ta selle lahti murtud saab.


einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 02.11.2006, 14:27  postituse pealkiri:  (teema puudub)  

tõsta ssh mingi teise pordi peale ja robotid enam ei skänni.


indrek56
Pingviini aktivist
Pingviini aktivist


Vanus: 50
Liitunud: 30.08.2006
Postitused: 282
Asukoht: Tartu
Distributsioon: opensuse
estonia.gif
postituspostitatud: 02.11.2006, 16:24  postituse pealkiri:  (teema puudub)  

telnetti ja ssh-d ongi kogu aeg skännitud. endal tehtud seleks eraldi kasutaja, kusjuures kasutajanimi on juba selline, et..
kuskil nägin lebamas skripti mis pärast iga vale passwordi sisestamist tegi järgmise passwordi vastuvõtmise 2x aeglasemaks vms...
peaks uuesti üles kaevama.


illukas
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 02.11.2006, 21:05  postituse pealkiri:  (teema puudub)  

niikaua kui mina olen ssh-ga tegelenud on kogu aeg ssh-d pommitatud, samuti ftp-d ja httpd, aitab portide kinnikeeramine ja sshd turvalisemaks keeramisest..
Kunagi tegin ühe juhendi: http://trustix.org/wiki/index.php/Securing_SSH (mis wiki ümbertõstmisega on kellegi teise omandusse läinud)
Seega
*ssh teise pordi peale
*luba ainult teatud kasutajatel
*kui saad luba ainult teatud ip-lt
*fail passwd delay (või mis iganes see oli) 30 sekundit Smile
*firewalli reeglid kontrolli üle ja kõik ülejaanud mittevajalikud pordid KINDLASTI drop
*paroolid vähemalt 6 sümbolit pikaks ning PEAVAD sisaldama nii numbreid kui ka SuUrI TäHtI
*kasuta authorized keys

Ja muud kunsti ei olegi, ei hakka keegi sind ründama, kui delay on 30 sekundit Smile Võiksite uurida kaua läheb lahtikrüptimisega aega kui parool on 8 sümbolit pikk ning sisaldab kõikki tähti ja numreid va. üÜõÕöÖäÄ, see on ikka väääääääga kauuuaaaa

Pigem tasuks turvata httpdj aeriti php skripte- mille kaudu on palju palju lihtsam passwd kätte saada kui ssh (osadel lehtedel saab ka nii index.php?file=../../../../passwd kusjuures selliseid lehti on ikka väga palju mis teatud muutujana annavad sulle faile kätte)
Tsitaat:
kuskil nägin lebamas skripti mis pärast iga vale passwordi sisestamist tegi järgmise passwordi vastuvõtmise 2x aeglasemaks vms...
peaks uuesti üles kaevama.

Otsi seda jah, see on päris huvitav, kuigi peab erandi tegema miski ip pealt, mudu logid päev otsa pärast sisse...




Viimati muutis illukas 02.11.2006, 21:10; muudetud 1 kord
AlienDontBoogie
Pingviini aktivist
Pingviini aktivist


Vanus: 44
Liitunud: 07.07.2006
Postitused: 219
Asukoht: Harjumaa
Distributsioon: suse 9.2
estonia.gif
postituspostitatud: 02.11.2006, 21:08  postituse pealkiri:  (teema puudub)  

kuidas ma san kindlaks teha kas mind rünnatakse

_________________
Teen logosid
Oled hädas mõne asja tegemisega Inkscapes! Ehk saan aidata.

illukas
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 02.11.2006, 21:15  postituse pealkiri:  (teema puudub)  

AlienDontBoogie kirjutas:
kuidas ma san kindlaks teha kas mind rünnatakse

Alustama peaks logidest, siis kontrollima uued failid üle, ning failide õigused, ning käimasolevad protsessid, järjekord on erinev, ning kui kahtlus on siis esimese asjana juhe seinast välja
Tsitaat:
Õnneks on oht suhtkoht väike kuna tcp pordid on kinni ja isegi mitte hea tahtmise juures ei anna mu ssh`d brute forceda

Meetodid on erinevad, kuid kõikke annab korraldada, see et pordid kinni on ei tähenda see seda et sshd- häkkerdada ei anna, egas brute force ei ole ainus moodus sinu paroole kätte saada- paroolid liiguvad ju üle neti kui sa neid sisestad seega siit sulle mõttelõng miks on võimatu täiesti kindlat süsteemi ehitada....


AlienDontBoogie
Pingviini aktivist
Pingviini aktivist


Vanus: 44
Liitunud: 07.07.2006
Postitused: 219
Asukoht: Harjumaa
Distributsioon: suse 9.2
estonia.gif
postituspostitatud: 02.11.2006, 21:30  postituse pealkiri:  (teema puudub)  

aga kuidas ma tean, millist logi vaadata ja et kas seal on ikka nii nagu peab

seletus for dummie palun

_________________
Teen logosid
Oled hädas mõne asja tegemisega Inkscapes! Ehk saan aidata.

sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 02.11.2006, 21:38  postituse pealkiri:  (teema puudub)  

kui jookseb näiteks sshd ja tahad teada, kas keegi on üritanud sisse saada, siis 'cat /var/log/messages |grep ssh'

ja kui tulemuseks on midagi taolist:

Nov 2 05:59:46 localhost sshd[17209]: Failed password for root from 124.114.97.6 port 43963 ssh2
Nov 2 05:59:50 localhost sshd[17211]: Failed password for root from 124.114.97.6 port 44130 ssh2
Nov 2 05:59:54 localhost sshd[17213]: Failed password for root from 124.114.97.6 port 44297 ssh2
Nov 2 05:59:58 localhost sshd[17216]: Failed password for root from 124.114.97.6 port 44470 ssh2
Nov 2 06:00:03 localhost sshd[17218]: Failed password for root from 124.114.97.6 port 44640 ssh2
Nov 2 06:00:07 localhost sshd[17262]: Failed password for root from 124.114.97.6 port 44799 ssh2
Nov 2 06:00:11 localhost sshd[17264]: Failed password for root from 124.114.97.6 port 44967 ssh2
Nov 2 06:00:15 localhost sshd[17266]: Failed password for root from 124.114.97.6 port 45143 ssh2
Nov 2 06:00:19 localhost sshd[17269]: Failed password for root from 124.114.97.6 port 45308 ssh2
Nov 2 06:00:24 localhost sshd[17271]: Failed password for root from 124.114.97.6 port 45472 ssh2
Nov 2 06:00:28 localhost sshd[17273]: Failed password for root from 124.114.97.6 port 45635 ssh2
Nov 2 06:00:32 localhost sshd[17275]: Failed password for root from 124.114.97.6 port 45806 ssh2

siis tead, et sind on külastanud robot :P

kui nüüd veel kontrollida graafikult, mis sellel kellaajal toimus, siis võib märgata, et aktiivsus oli päris äge.. http://sander.struktuur.ee/mrtg/newconns.html

_________________
Image Image Image



Viimati muutis sander85 02.11.2006, 21:40; muudetud 1 kord
illukas
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 02.11.2006, 21:40  postituse pealkiri:  (teema puudub)  

google on sinu sõber kuni surmani linuxi maailmas
http://www.google.ee/search?q=brute+force+hacking+sshd&start=0&ie=utf-8&oe=utf-8&client=firefox-a&rls=org.mozilla:en-US:official

Ahjaa ühe asja unustasin ära kes veel kasutab sshd v1 siis on ikka väga viimane aeg sshv2 peale liikuda
Ja mitte lubama root loginseid- see on viimane lollus mida teha lasta.

_________________
https://www.inlink.ee

AlienDontBoogie
Pingviini aktivist
Pingviini aktivist


Vanus: 44
Liitunud: 07.07.2006
Postitused: 219
Asukoht: Harjumaa
Distributsioon: suse 9.2
estonia.gif
postituspostitatud: 02.11.2006, 21:55  postituse pealkiri:  (teema puudub)  

kogu list sellises stiilis

Nov 2 02:34:34 linux sshd[4494]: Received signal 15; terminating.
Nov 2 07:26:37 linux sshd[4555]: Server listening on :: port 22.

_________________
Teen logosid
Oled hädas mõne asja tegemisega Inkscapes! Ehk saan aidata.

johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 02.11.2006, 22:05  postituse pealkiri:  (teema puudub)  

Ma mõtlesin mis valemiga arvutada võimalikke salasõnade variante.....

Kui kasutada ainult väikseid tähti näiteks ja neljakohalist salasõna siis valem peaks olema selline: 32*32*32*32 ja kui lisada suured tähed siis 64*64*64*64
ja veel numbrid niisiis : 73*73*73*73 = 28398241 erinevat varianti ainult neljakohalises salasõnas.
Viiekohalise salasõna puhul on variante juba 2073071593 ja lisada saab veel ka spetsiaalsed märgid @& ja väsitamise meetodit kasutades tundub ulmelisena kuhugi kogemata sisse pääseda.
Muidugi kui salasõna on test või admin siis pole muidugi midagi teha........

Salasõna krüpteeritakse ju serveri avaliku võtmega enne kui üle võrgu saadetakse ja 1024 bitise võtme murdmiseks läheb vaja väga kaua aega ja ressursse.
Ma ei viitsi eriti muretseda selle pärast mul küll serveris rullib iga tund script mis saadab mulle meili kui logis on uued siselogimis katsed.
Vahepeal kasutasin tulemüüris ip aadressi piirangut aga siis avastasin, et ei saa ise vahest sisse.
Pealegi peab sissetungija ka juure salasõna teada saama, et midagi "kasulikku" ära teha.


antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 03.11.2006, 14:30  postituse pealkiri:  (teema puudub)  

johnsmith kirjutas:
Ma mõtlesin mis valemiga arvutada võimalikke salasõnade variante.....

Kui kasutada ainult väikseid tähti näiteks ja neljakohalist salasõna siis valem peaks olema selline: 32*32*32*32 ja kui lisada suured tähed siis 64*64*64*64
ja veel numbrid niisiis : 73*73*73*73 = 28398241 erinevat varianti ainult neljakohalises salasõnas.
Viiekohalise salasõna puhul on variante juba 2073071593 ja lisada saab veel ka spetsiaalsed märgid @& ja väsitamise meetodit kasutades tundub ulmelisena kuhugi kogemata sisse pääseda.
Muidugi kui salasõna on test või admin siis pole muidugi midagi teha........

Salasõna krüpteeritakse ju serveri avaliku võtmega enne kui üle võrgu saadetakse ja 1024 bitise võtme murdmiseks läheb vaja väga kaua aega ja ressursse.
Ma ei viitsi eriti muretseda selle pärast mul küll serveris rullib iga tund script mis saadab mulle meili kui logis on uued siselogimis katsed.
Vahepeal kasutasin tulemüüris ip aadressi piirangut aga siis avastasin, et ei saa ise vahest sisse.
Pealegi peab sissetungija ka juure salasõna teada saama, et midagi "kasulikku" ära teha.


Denyhosts peaks töötama ka Linuxitega.


indrek
Vana Pingviin
Vana Pingviin


Vanus: 46
Liitunud: 08.07.2005
Postitused: 412
Asukoht: Tallinn
Distributsioon: Kubuntu
blank.gif
postituspostitatud: 03.11.2006, 15:57  postituse pealkiri:  (teema puudub)  

antik2 kirjutas:

Denyhosts peaks töötama ka Linuxitega.


Töötab jah. Endal kah see tööl peale seda, kui logid omal ajal aktiivset tegevust mu ssh serveri kallal näitama hakkasid. Denyhost võimaldab üsna mugavat konfigureerimist - näiteks kui keegi üritab mõne olematu kasutajana sisse logida, siis pane ta ip kohe kinni, olemasolevat luba viis korda proovida enne ip blokeerimist jne.


johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 03.11.2006, 17:59  postituse pealkiri:  (teema puudub)  

Ma ei olnud kuulnudki sellest, tundub asjalik soft olevat:
http://denyhosts.sourceforge.net/faq.html

Kui oleks suurem serveripark siis kindlasti kasutaks seda.
Praegu ma arvan, et raske salasõna ja "alloweduser" valik sshd.confis on piisav. Mul on enda kirjutatud skript mis parseb logifaile iga tund ja saadab mulle teate kui keegi on ragistanud serveri kallal.


AlienDontBoogie
Pingviini aktivist
Pingviini aktivist


Vanus: 44
Liitunud: 07.07.2006
Postitused: 219
Asukoht: Harjumaa
Distributsioon: suse 9.2
estonia.gif
postituspostitatud: 03.11.2006, 21:37  postituse pealkiri:  (teema puudub)  

aga ütelge kas mu edastatud infos on midagi hirmsat?

_________________
Teen logosid
Oled hädas mõne asja tegemisega Inkscapes! Ehk saan aidata.

Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group