Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
oswald
Pingviini aktivist
Pingviini aktivist


Vanus: 77
Liitunud: 28.06.2009
Postitused: 233

Distributsioon: Debian 10
estonia.gif
postituspostitatud: 21.08.2010, 11:37  postituse pealkiri:  Ründed arvutile  

Kuidas on võimalik Ubuntu 10.4 teada saada, kas arvutit on rünnatud Internetist, millised on ründajate aadressid ja mis eesmärgil rünnati? Kui rünnati muidugi.
On niisuguse teabe leidmine võimalik?

Tänud ette!


Uhuu
Pingviini kasutaja
Pingviini kasutaja


Vanus: 41
Liitunud: 14.10.2005
Postitused: 85

Distributsioon: Arch
estonia.gif
postituspostitatud: 21.08.2010, 11:57  postituse pealkiri:  (teema puudub)  

Oleneb mida sa silmas pead. Kas sa mõtled mingit skripti mis brauseris käivitatakse, või mingit teenust mis sul serverina jookseb.

_________________
Windows ei ole viirus, viirus teeb midagi...

voime
Pingviini kasutaja
Pingviini kasutaja


Vanus: 45
Liitunud: 06.08.2006
Postitused: 51
Asukoht: Tartu

estonia.gif
postituspostitatud: 21.08.2010, 12:38  postituse pealkiri:  (teema puudub)  

Enamasti saab teada logifaile uurides. näiteks firewall


obundra
Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
estonia.gif
postituspostitatud: 21.08.2010, 14:43  postituse pealkiri:  (teema puudub)  

Uuri /var/log kataloogis ja selle alamkataloogides olevaid logifaile, süsteemis toimuv logitakse sinna.Näiteks ssh kaudu sissetrügijate kohta on juttu auth.log või secure.log failis, oleneb distrost.

_________________
IT teenused

kessu
Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 16.07.2007
Postitused: 1106

Distributsioon: Ubuntu 16.04 LTS 64bit
estonia.gif
postituspostitatud: 23.08.2010, 11:17  postituse pealkiri:  (teema puudub)  

Aga, mida sealt ei tohiks leida?

_________________
Olen umbkeelne mulk ja ei saa võõrastest keeltest piisavalt aru

valdo
Pingviini külastaja
Pingviini külastaja


Vanus: 40
Liitunud: 20.01.2010
Postitused: 15

Distributsioon: Estobuntu 10.09
estonia.gif
postituspostitatud: 23.08.2010, 13:13  postituse pealkiri:  (teema puudub)  

kessu kirjutas:
Aga, mida sealt ei tohiks leida?
Mind ka huvitaks ,mida seal ola ie tohiks?


obundra
Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
estonia.gif
postituspostitatud: 23.08.2010, 13:26  postituse pealkiri:  (teema puudub)  

Peamiselt üritatakse ilmselt ssh kaudu sisse tulla, aga ka samba ja smtp ning pop3 portide kaudu.Näiteks 10 viimast ssh urgitsejat näevad mul logis välja nii:
Kood:
#grep -m10 failure /var/log/auth.log
Aug 22 07:15:58 server2 sshd[15336]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ppp78-37-249-20.pppoe.avangarddsl.ru  user=root
Aug 22 07:16:12 server2 sshd[15336]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=ppp78-37-249-20.pppoe.avangarddsl.ru  user=root
Aug 22 08:37:24 server2 sshd[21624]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host56-115-dynamic.247-95-r.retail.telecomitalia.it  user=root
Aug 22 08:37:38 server2 sshd[21624]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=host56-115-dynamic.247-95-r.retail.telecomitalia.it  user=root
Aug 22 09:18:37 server2 sshd[25099]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201-34-170-75.bnut3702.dsl.brasiltelecom.net.br  user=root
Aug 22 09:18:53 server2 sshd[25099]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=201-34-170-75.bnut3702.dsl.brasiltelecom.net.br  user=root
Aug 22 09:21:42 server2 sshd[25376]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=122-57-110-63.jetstream.xtra.co.nz  user=root
Aug 22 09:21:58 server2 sshd[25376]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=122-57-110-63.jetstream.xtra.co.nz  user=root
Aug 22 10:22:57 server2 sshd[30287]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=125-237-164-40.jetstream.xtra.co.nz  user=root
Aug 22 10:23:15 server2 sshd[30287]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=125-237-164-40.jetstream.xtra.co.nz  user=root

Turvamisest on siin foorumis varem juttu olnud, näiteks http://pingviin.org/viewtopic.php?t=134

_________________
IT teenused

urmas
Pingviini kasutaja
Pingviini kasutaja


Vanus: 45
Liitunud: 25.07.2006
Postitused: 92
Asukoht: Tartu
Distributsioon: Gentoo
estonia.gif
postituspostitatud: 23.08.2010, 15:31  postituse pealkiri:  (teema puudub)  

Üldiselt on foorumis peaaegu võimatu kirja panna seda mida seal olla ei tohiks - sellest kirjutatakse pakse raamatuid.
Ja teiseks ei tohi sa nüüd mitte mingil juhul mõelda peale ülaltoodud näidet, et kõik muud read ssh logis automaatselt head on.

Turvamine algab sellest, et teed endale selgeks mis teenused masinas jooksevad ning seejärel tegeled igaühega juba eraldi. Logid on tõesti enamasti /var/log all ning tihtilugu, kui sa neid juba piisavalt kaua oled lugenud hakad ise mõistma mis on hea ja mis halb - suht inimkeelsed teated ikkagi.

Tiba keerulisem on ehk veebilehtede vastu suunatud rünnakutega, ühel juhul võib sql-süstimine apache logis välja paista ning pead hakkama uurima mis seal täpsemalt toimub, teisalt proovitakse enamlevinumate veebiprogrammide (nagu phpmyadmin, phpbb) vastu tüüpründeid just lootusega tabada vanemaid versioone kus teatakse konkreetseid auke olevat.

ohjah.. ja sellest saaks veel heietada piikalt-pikalt...


Tiiger
Pingviini kasutaja
Pingviini kasutaja


Vanus: 55
Liitunud: 11.09.2007
Postitused: 91
Asukoht: Püünsi
Distributsioon: Ubuntu 12.04 + Cinnamon
estonia.gif
postituspostitatud: 23.08.2010, 19:35  postituse pealkiri:  (teema puudub)  

Kuidas luua eriti lollikindlat salasõna?

http://forte.delfi.ee/news/digi/kuidas-luua-eriti-lollikindlat-salasona.d?id=32720627&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+forteuudised+%28FORTE+uudised%29&utm_content=Google+Reader


Tom
Pingviini aktivist
Pingviini aktivist


Vanus: 50
Liitunud: 28.08.2007
Postitused: 222

Distributsioon: Mint, Puppy, Estobuntu 14.04
estonia.gif
postituspostitatud: 24.08.2010, 07:58  postituse pealkiri:  (teema puudub)  

obundra kirjutas:

Kood:
#grep -m10 failure /var/log/auth.log
Aug 22 07:15:58 server2 sshd[15336]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ppp78-37-249-20.pppoe.avangarddsl.ru  user=root
Aug 22 07:16:12 server2 sshd[15336]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=ppp78-37-249-20.pppoe.avangarddsl.ru  user=root
Aug 22 08:37:24 server2 sshd[21624]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host56-115-dynamic.247-95-r.retail.telecomitalia.it  user=root
Aug 22 08:37:38 server2 sshd[21624]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=host56-115-dynamic.247-95-r.retail.telecomitalia.it  user=root
Aug 22 09:18:37 server2 sshd[25099]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201-34-170-75.bnut3702.dsl.brasiltelecom.net.br  user=root
Aug 22 09:18:53 server2 sshd[25099]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=201-34-170-75.bnut3702.dsl.brasiltelecom.net.br  user=root
Aug 22 09:21:42 server2 sshd[25376]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=122-57-110-63.jetstream.xtra.co.nz  user=root
Aug 22 09:21:58 server2 sshd[25376]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=122-57-110-63.jetstream.xtra.co.nz  user=root
Aug 22 10:22:57 server2 sshd[30287]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=125-237-164-40.jetstream.xtra.co.nz  user=root
Aug 22 10:23:15 server2 sshd[30287]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=125-237-164-40.jetstream.xtra.co.nz  user=root


Venemaalt ikka üritatakse koguaeg surkida.
Mis neist luhtunud katsetest otsida, pigem peaks vist õnnestunud logimised üle vaatama Wink
Kas need on sul koduarvutile tehtud "urgitsemised" või mõni 24/7 töös olev server? Ma sellepärast küsin, et kas ma peaks omal kodus ka selliseid asju igaks juhuks jälgima? Mul küll arvuti kogu aeg sees ei ole, aga mine sa tea...

_________________
dumbuser

obundra
Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
estonia.gif
postituspostitatud: 24.08.2010, 09:46  postituse pealkiri:  (teema puudub)  

Tom kirjutas:
Mis neist luhtunud katsetest otsida, pigem peaks vist õnnestunud logimised üle vaatama Wink
Kas need on sul koduarvutile tehtud "urgitsemised" või mõni 24/7 töös olev server? Ma sellepärast küsin, et kas ma peaks omal kodus ka selliseid asju igaks juhuks jälgima? Mul küll arvuti kogu aeg sees ei ole, aga mine sa tea...

Õnnestunud logimise katseid ei olnud hetkel käepärast Smile ja näitesse kõlbasid luhtunud katsed ka.See on koduse gateway logist.Ssh on lubatud ainult ühele õigusteta kasutajale+denyhosts+iptablesi reeglid ssh sessioonide piiramiseks ja pordiskänni vastu.Lisaks saadab Logwatch hommikukohvi kõrvale ülevaate süsteemis toimunust.

_________________
IT teenused

Tom
Pingviini aktivist
Pingviini aktivist


Vanus: 50
Liitunud: 28.08.2007
Postitused: 222

Distributsioon: Mint, Puppy, Estobuntu 14.04
estonia.gif
postituspostitatud: 24.08.2010, 12:36  postituse pealkiri:  (teema puudub)  

obundra kirjutas:
Ssh on lubatud ainult ühele õigusteta kasutajale+denyhosts+iptablesi reeglid ssh sessioonide piiramiseks ja pordiskänni vastu.Lisaks saadab Logwatch hommikukohvi kõrvale ülevaate süsteemis toimunust.

Õigusteta kasutajale tähendab, et juurikana sisse logida ei saa ja sudo ka ei ole? Mul on lihtsalt kolepikk salasõna pandud.
Mina oma lühikese arukesega mõtlesin seda, et kuna ma peale ssh ja torrenti mingeid võrgus rippuvaid rakendusi ei kasuta, siis on muud pordid kinni ja tulemüüri vaja pole. Samas, et neid rakendusi kasutada, peaksin nad tulemüürist läbi lubama ja siis on ikkagi sama hea, kui tulemüüri polekski. Või olen ma valesti aru saanud?

_________________
dumbuser

illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 24.08.2010, 20:20  postituse pealkiri:  (teema puudub)  

logid on märksõna:
vastavate teenuse logid
tulemüüri logi

lisaks protsessitabel (top ps), muudetud failiõigused (chmod), chroot, jail, grsec, kernel security, pax, jne...
http://www.gentoo.org/proj/en/hardened/grsecurity.xml

Siin foorumis võimatu kirja panna mida kõikke peaks vaatama, pane google otsingusse linux security ja hakka otsast lugema, teatud lugemise järel saad mingisuguse pildi ette...


insippo
Pingviini aktivist
Pingviini aktivist


Vanus: 54
Liitunud: 07.06.2009
Postitused: 181


estonia.gif
postituspostitatud: 03.12.2010, 22:28  postituse pealkiri:  (teema puudub)  

snort on minuarust asi mis teeb seda kõike.Milleks otse teha kui muidugi saab ju ringiga.1 lihtsamaid asju ju ?Logides tuhlata on muidugi hea soovitus küll.Olen mina loll aga mitte nii.


illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 05.12.2010, 00:40  postituse pealkiri:  (teema puudub)  

Snort teeb palju kuid mitte kõikke!

Teisalt paariks korraks snorti installida ja confiida- no ma ei tea, nii loll ei ole jällegi mina...

_________________
https://www.inlink.ee

gnu

Troll - ära toida!
Troll - ära toida!



Liitunud: 01.12.2013
Postitused: 71

Distributsioon: trisquel-mini
blank.gif
postituspostitatud: 16.08.2014, 19:36  postituse pealkiri:  (teema puudub)  

Põhimõtteliselt saad veel peale ssl/https krüpteeringu kasutada ka tor'i, et ip aadresse segada.

gnupg võtmeid ja otr pluginaid kasutada, siis pättide eest sa ennast juba kaitsed.

Veebilehitsejas saad javascripti lubada ainult teatud saitidel noscript pluginaga ja kui veel põhjalik tahad olla, siis gnu libreJS abiga filtreerida non-free javascripte saitidel.

firefoxi saad asendada trisquel abrowser või gnu icecat brauseriga + libre-linux

_________________
non-free distros
ccrypt
install-esteid-trisquel.sh



Viimati muutis gnu 20.08.2014, 10:04; muudetud 1 kord
ertserts
Vana Pingviin
Vana Pingviin



Liitunud: 31.10.2013
Postitused: 445
Asukoht: Tallinn
Distributsioon: Ubuntu, Debian
estonia.gif
postituspostitatud: 17.08.2014, 00:50  postituse pealkiri:  (teema puudub)  

Küsimus on küll 4-aasta tagune kuid ikkagi värske ja aktuaalne. 21 saj. peab arvutkasutaja Internetis mida võiks võrrelda lausa 19 saj. Metsiku Läänega saama ise hakkama. Kuigi jah nende kahe sajandi erinevus on selles, et nüüdses Internetis ei pruugi "ellu jääda" julgem, kiirem ja tugevam.

Arvan et eelkõige tuleks arvuti ja serveri alast turvariski minimaliseerida sellega et kasutad tarkvara ja teenuseid mida tõesti on vaja. Serveriteenuste puhul siis seda, et kui sa ei vaja ftp-, ssh-, samba- või veebi serverit siis sa lihtsalt seda oma operatsioonisüsteemi ei installi. Kui sa aga näiteks installid oma Linux arvutisse või serverisse ssh-serveri, ei konfigureeri seda piisavalt turvaliseks, suunad teenuse välisvõrku default 22 tcp pordiga siis võib sinu ssh serveriga juhtuda selline lugu. Ehk siis sinu väikese serveri vastu hakkavad ebatervet huvi tundma hiinlased, ameeriklased, venelased, türklased, tailased ja teised maailma vinnilised kräkkerid. Sellest kõigest tuleks "the neverending story".

Kui sülearvuti on pidevas liikumises siis võiks vähemalt /home olla krüpteeritud puhuks kui sülekas "minema jalutab". Sellisel sülekal ei tohiks võimalusel olla lahti mitte ühtegi välist tcp teenust. Vastasel juhul oled mõnes tundmatus avalikus arvutivõrgus justkui püksata. Internetis surfateski tuleks olla tähelepanelik. Näiteks Firefoxis on arvutikasutajate jaoks loodud küllaltki head 'Add-ons'id: TrafficLight (Bitdefender security), Fake Domain, WorldIP, Foxy Detective, Adblock Plus jt. Oskuslikul kasutusel on need Firefox pluginad suurepärased "kaitserelvad" Internetis liikumiseks ja "ellu jäämiseks".

Samas Linuxis olev /var/log failifarm on sysadminile suur lugemisnauding. Kuid arvuti tavakasutajale vaevalt et mingit erutust tekitab igavast terminalist teksti logide lappamine ja lugemine. Kui kodukasutaja arvutis on Linux ja see on tarkvaraliselt up-to-date siis on juba seegi suur samm edasi turvalisuse suunas. Kahjuks pole võimalik turvariski kõrvaldada vaid seda saab ainult minimaliseerida. Inimene on juba kord selline, emotsionaalne loom, täis eksiarvamusi ja vigu. Smile

_________________
ertserts@linuxialune:~$ echo;echo Local and Remote IP connections:;netstat -at|sort -k5|grep ESTABLISHED|cut -c20-80;echo

Yeeha
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 28.05.2011
Postitused: 42

Distributsioon: Kubuntu 14.04 - Lihtsalt super :)
estonia.gif
postituspostitatud: 17.08.2014, 19:32  postituse pealkiri:  (teema puudub)  

ertserts kirjutas:

...Kui sülearvuti on pidevas liikumises siis võiks vähemalt /home olla krüpteeritud...


Kuidas on SED ssd-dega ja Linuxiga? Et pm windowsis self-encrypting ssd lukustab ära bitdefender aga linuxis vist midagi analoogset pole(OPAL 2.0 standardil mingit SEDi kontrollprogrammi) ja tuleb kasutada bioses hdd passwordi?

Lisaks ma jooksutasin korra Tigerit ja avastasin sellise rea, kas on reaalne oht:

Searching for Suckit rootkit... Warning: /sbin/init INFECTED

3ndaks, kas LAMPi default install ubuntus on turvaline? Mysql ntx alguses võtab vastu ainult 127.0.0.1 . Ma sellega midagi maailmale näitamiseks ei ole plaanind panna ega confind, lihtsalt kasutan oma väikeste harjutuste testimiseks.

Edit: okei see Suckit on vist false positive, googeldasin.


gnu

Troll - ära toida!
Troll - ära toida!



Liitunud: 01.12.2013
Postitused: 71

Distributsioon: trisquel-mini
blank.gif
postituspostitatud: 18.08.2014, 11:38  postituse pealkiri:  (teema puudub)  

ertserts kirjutas:


Arvan et eelkõige tuleks arvuti ja serveri alast turvariski minimaliseerida sellega et kasutad tarkvara ja teenuseid mida tõesti on vaja. Serveriteenuste puhul siis seda, et kui sa ei vaja ftp-, ssh-, samba- või veebi serverit siis sa lihtsalt seda oma operatsioonisüsteemi ei installi. Kui sa aga näiteks installid oma Linux arvutisse või serverisse ssh-serveri, ei konfigureeri seda piisavalt turvaliseks, suunad teenuse välisvõrku default 22 tcp pordiga siis võib sinu ssh serveriga juhtuda selline lugu. Ehk siis sinu väikese serveri vastu hakkavad ebatervet huvi tundma hiinlased, ameeriklased, venelased, türklased, tailased ja teised maailma vinnilised kräkkerid. Sellest kõigest tuleks "the neverending story".

ssh server võib vabalt pordi 22 peal jooksta.
sshguard ja rssh on lisaks.

Tuttavatele võid jagada kasutajat, mis on rssh kesta peal ja rssh.conf failis allowsftp # tagant eemaldatud.

_________________
non-free distros
ccrypt
install-esteid-trisquel.sh

priit
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 04.08.2005
Postitused: 521
Asukoht: Tartu
Distributsioon: CentOS / OS X
estonia.gif
postituspostitatud: 18.08.2014, 15:10  postituse pealkiri:  (teema puudub)  

Ma isiklikult kasutan oma serveris fail2ban-nimelist tarkvaratükki, mis SSH kaudu sissetrügijaid ära blokib firewallis. Keegi pole kunagi sisse saanud, aga proovijad jätkub, peamiselt Vene- ja Hiinamaalt. Eile nt nii 50-60 aadressi blokitud.


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group