Autor |
Sõnum |
oswald
Pingviini aktivist
Vanus: 78
Liitunud: 28.06.2009
Postitused: 233
Distributsioon: Debian 10
|
|
Kuidas on võimalik Ubuntu 10.4 teada saada, kas arvutit on rünnatud Internetist, millised on ründajate aadressid ja mis eesmärgil rünnati? Kui rünnati muidugi.
On niisuguse teabe leidmine võimalik?
Tänud ette!
|
|
|
|
|
|
|
|
Uhuu
Pingviini kasutaja
Vanus: 42
Liitunud: 14.10.2005
Postitused: 85
Distributsioon: Arch
|
|
Oleneb mida sa silmas pead. Kas sa mõtled mingit skripti mis brauseris käivitatakse, või mingit teenust mis sul serverina jookseb.
|
|
|
|
_________________ Windows ei ole viirus, viirus teeb midagi...
|
|
|
|
voime
Pingviini kasutaja
Vanus: 46
Liitunud: 06.08.2006
Postitused: 51
Asukoht: Tartu
|
|
Enamasti saab teada logifaile uurides. näiteks firewall
|
|
|
|
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
Uuri /var/log kataloogis ja selle alamkataloogides olevaid logifaile, süsteemis toimuv logitakse sinna.Näiteks ssh kaudu sissetrügijate kohta on juttu auth.log või secure.log failis, oleneb distrost.
|
|
|
|
_________________ IT teenused
|
|
|
|
kessu
Vana Pingviin
Vanus: 49
Liitunud: 16.07.2007
Postitused: 1106
Distributsioon: Ubuntu 16.04 LTS 64bit
|
|
Aga, mida sealt ei tohiks leida?
|
|
|
|
_________________ Olen umbkeelne mulk ja ei saa võõrastest keeltest piisavalt aru
|
|
|
|
valdo
Pingviini külastaja
Vanus: 40
Liitunud: 20.01.2010
Postitused: 15
Distributsioon: Estobuntu 10.09
|
|
kessu kirjutas: | Aga, mida sealt ei tohiks leida? | Mind ka huvitaks ,mida seal ola ie tohiks?
|
|
|
|
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
Peamiselt üritatakse ilmselt ssh kaudu sisse tulla, aga ka samba ja smtp ning pop3 portide kaudu.Näiteks 10 viimast ssh urgitsejat näevad mul logis välja nii:
Kood: | #grep -m10 failure /var/log/auth.log
Aug 22 07:15:58 server2 sshd[15336]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ppp78-37-249-20.pppoe.avangarddsl.ru user=root
Aug 22 07:16:12 server2 sshd[15336]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=ppp78-37-249-20.pppoe.avangarddsl.ru user=root
Aug 22 08:37:24 server2 sshd[21624]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host56-115-dynamic.247-95-r.retail.telecomitalia.it user=root
Aug 22 08:37:38 server2 sshd[21624]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=host56-115-dynamic.247-95-r.retail.telecomitalia.it user=root
Aug 22 09:18:37 server2 sshd[25099]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201-34-170-75.bnut3702.dsl.brasiltelecom.net.br user=root
Aug 22 09:18:53 server2 sshd[25099]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=201-34-170-75.bnut3702.dsl.brasiltelecom.net.br user=root
Aug 22 09:21:42 server2 sshd[25376]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=122-57-110-63.jetstream.xtra.co.nz user=root
Aug 22 09:21:58 server2 sshd[25376]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=122-57-110-63.jetstream.xtra.co.nz user=root
Aug 22 10:22:57 server2 sshd[30287]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=125-237-164-40.jetstream.xtra.co.nz user=root
Aug 22 10:23:15 server2 sshd[30287]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=125-237-164-40.jetstream.xtra.co.nz user=root |
Turvamisest on siin foorumis varem juttu olnud, näiteks http://pingviin.org/viewtopic.php?t=134
|
|
|
|
_________________ IT teenused
|
|
|
|
urmas
Pingviini kasutaja
Vanus: 46
Liitunud: 25.07.2006
Postitused: 92
Asukoht: Tartu
Distributsioon: Gentoo
|
|
Üldiselt on foorumis peaaegu võimatu kirja panna seda mida seal olla ei tohiks - sellest kirjutatakse pakse raamatuid.
Ja teiseks ei tohi sa nüüd mitte mingil juhul mõelda peale ülaltoodud näidet, et kõik muud read ssh logis automaatselt head on.
Turvamine algab sellest, et teed endale selgeks mis teenused masinas jooksevad ning seejärel tegeled igaühega juba eraldi. Logid on tõesti enamasti /var/log all ning tihtilugu, kui sa neid juba piisavalt kaua oled lugenud hakad ise mõistma mis on hea ja mis halb - suht inimkeelsed teated ikkagi.
Tiba keerulisem on ehk veebilehtede vastu suunatud rünnakutega, ühel juhul võib sql-süstimine apache logis välja paista ning pead hakkama uurima mis seal täpsemalt toimub, teisalt proovitakse enamlevinumate veebiprogrammide (nagu phpmyadmin, phpbb) vastu tüüpründeid just lootusega tabada vanemaid versioone kus teatakse konkreetseid auke olevat.
ohjah.. ja sellest saaks veel heietada piikalt-pikalt...
|
|
|
|
|
|
|
|
Tiiger
Pingviini kasutaja
Vanus: 56
Liitunud: 11.09.2007
Postitused: 91
Asukoht: Püünsi
Distributsioon: Ubuntu 12.04 + Cinnamon
|
|
|
|
Tom
Pingviini aktivist
Vanus: 51
Liitunud: 28.08.2007
Postitused: 222
Distributsioon: Mint, Puppy, Estobuntu 14.04
|
|
obundra kirjutas: |
Kood: | #grep -m10 failure /var/log/auth.log
Aug 22 07:15:58 server2 sshd[15336]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ppp78-37-249-20.pppoe.avangarddsl.ru user=root
Aug 22 07:16:12 server2 sshd[15336]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=ppp78-37-249-20.pppoe.avangarddsl.ru user=root
Aug 22 08:37:24 server2 sshd[21624]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host56-115-dynamic.247-95-r.retail.telecomitalia.it user=root
Aug 22 08:37:38 server2 sshd[21624]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=host56-115-dynamic.247-95-r.retail.telecomitalia.it user=root
Aug 22 09:18:37 server2 sshd[25099]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201-34-170-75.bnut3702.dsl.brasiltelecom.net.br user=root
Aug 22 09:18:53 server2 sshd[25099]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=201-34-170-75.bnut3702.dsl.brasiltelecom.net.br user=root
Aug 22 09:21:42 server2 sshd[25376]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=122-57-110-63.jetstream.xtra.co.nz user=root
Aug 22 09:21:58 server2 sshd[25376]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=122-57-110-63.jetstream.xtra.co.nz user=root
Aug 22 10:22:57 server2 sshd[30287]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=125-237-164-40.jetstream.xtra.co.nz user=root
Aug 22 10:23:15 server2 sshd[30287]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=125-237-164-40.jetstream.xtra.co.nz user=root |
|
Venemaalt ikka üritatakse koguaeg surkida.
Mis neist luhtunud katsetest otsida, pigem peaks vist õnnestunud logimised üle vaatama
Kas need on sul koduarvutile tehtud "urgitsemised" või mõni 24/7 töös olev server? Ma sellepärast küsin, et kas ma peaks omal kodus ka selliseid asju igaks juhuks jälgima? Mul küll arvuti kogu aeg sees ei ole, aga mine sa tea...
|
|
|
|
_________________ dumbuser
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
Tom kirjutas: | Mis neist luhtunud katsetest otsida, pigem peaks vist õnnestunud logimised üle vaatama
Kas need on sul koduarvutile tehtud "urgitsemised" või mõni 24/7 töös olev server? Ma sellepärast küsin, et kas ma peaks omal kodus ka selliseid asju igaks juhuks jälgima? Mul küll arvuti kogu aeg sees ei ole, aga mine sa tea... |
Õnnestunud logimise katseid ei olnud hetkel käepärast ja näitesse kõlbasid luhtunud katsed ka.See on koduse gateway logist.Ssh on lubatud ainult ühele õigusteta kasutajale+denyhosts+iptablesi reeglid ssh sessioonide piiramiseks ja pordiskänni vastu.Lisaks saadab Logwatch hommikukohvi kõrvale ülevaate süsteemis toimunust.
|
|
|
|
_________________ IT teenused
|
|
|
|
Tom
Pingviini aktivist
Vanus: 51
Liitunud: 28.08.2007
Postitused: 222
Distributsioon: Mint, Puppy, Estobuntu 14.04
|
|
obundra kirjutas: | Ssh on lubatud ainult ühele õigusteta kasutajale+denyhosts+iptablesi reeglid ssh sessioonide piiramiseks ja pordiskänni vastu.Lisaks saadab Logwatch hommikukohvi kõrvale ülevaate süsteemis toimunust. |
Õigusteta kasutajale tähendab, et juurikana sisse logida ei saa ja sudo ka ei ole? Mul on lihtsalt kolepikk salasõna pandud.
Mina oma lühikese arukesega mõtlesin seda, et kuna ma peale ssh ja torrenti mingeid võrgus rippuvaid rakendusi ei kasuta, siis on muud pordid kinni ja tulemüüri vaja pole. Samas, et neid rakendusi kasutada, peaksin nad tulemüürist läbi lubama ja siis on ikkagi sama hea, kui tulemüüri polekski. Või olen ma valesti aru saanud?
|
|
|
|
_________________ dumbuser
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
logid on märksõna:
vastavate teenuse logid
tulemüüri logi
lisaks protsessitabel (top ps), muudetud failiõigused (chmod), chroot, jail, grsec, kernel security, pax, jne...
http://www.gentoo.org/proj/en/hardened/grsecurity.xml
Siin foorumis võimatu kirja panna mida kõikke peaks vaatama, pane google otsingusse linux security ja hakka otsast lugema, teatud lugemise järel saad mingisuguse pildi ette...
|
|
|
|
|
|
|
|
insippo
Pingviini aktivist
Vanus: 55
Liitunud: 07.06.2009
Postitused: 181
|
|
snort on minuarust asi mis teeb seda kõike.Milleks otse teha kui muidugi saab ju ringiga.1 lihtsamaid asju ju ?Logides tuhlata on muidugi hea soovitus küll.Olen mina loll aga mitte nii.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
Snort teeb palju kuid mitte kõikke!
Teisalt paariks korraks snorti installida ja confiida- no ma ei tea, nii loll ei ole jällegi mina...
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
gnu
Troll - ära toida!
Liitunud: 01.12.2013
Postitused: 71
Distributsioon: trisquel-mini
|
|
Põhimõtteliselt saad veel peale ssl/https krüpteeringu kasutada ka tor'i, et ip aadresse segada.
gnupg võtmeid ja otr pluginaid kasutada, siis pättide eest sa ennast juba kaitsed.
Veebilehitsejas saad javascripti lubada ainult teatud saitidel noscript pluginaga ja kui veel põhjalik tahad olla, siis gnu libreJS abiga filtreerida non-free javascripte saitidel.
firefoxi saad asendada trisquel abrowser või gnu icecat brauseriga + libre-linux
|
|
|
|
_________________ non-free distros
ccrypt
install-esteid-trisquel.sh
Viimati muutis gnu 20.08.2014, 10:04; muudetud 1 kord
|
|
|
|
ertserts
Vana Pingviin
Liitunud: 31.10.2013
Postitused: 445
Asukoht: Tallinn
Distributsioon: Ubuntu, Debian
|
|
Küsimus on küll 4-aasta tagune kuid ikkagi värske ja aktuaalne. 21 saj. peab arvutkasutaja Internetis mida võiks võrrelda lausa 19 saj. Metsiku Läänega saama ise hakkama. Kuigi jah nende kahe sajandi erinevus on selles, et nüüdses Internetis ei pruugi "ellu jääda" julgem, kiirem ja tugevam.
Arvan et eelkõige tuleks arvuti ja serveri alast turvariski minimaliseerida sellega et kasutad tarkvara ja teenuseid mida tõesti on vaja. Serveriteenuste puhul siis seda, et kui sa ei vaja ftp-, ssh-, samba- või veebi serverit siis sa lihtsalt seda oma operatsioonisüsteemi ei installi. Kui sa aga näiteks installid oma Linux arvutisse või serverisse ssh-serveri, ei konfigureeri seda piisavalt turvaliseks, suunad teenuse välisvõrku default 22 tcp pordiga siis võib sinu ssh serveriga juhtuda selline lugu. Ehk siis sinu väikese serveri vastu hakkavad ebatervet huvi tundma hiinlased, ameeriklased, venelased, türklased, tailased ja teised maailma vinnilised kräkkerid. Sellest kõigest tuleks "the neverending story".
Kui sülearvuti on pidevas liikumises siis võiks vähemalt /home olla krüpteeritud puhuks kui sülekas "minema jalutab". Sellisel sülekal ei tohiks võimalusel olla lahti mitte ühtegi välist tcp teenust. Vastasel juhul oled mõnes tundmatus avalikus arvutivõrgus justkui püksata. Internetis surfateski tuleks olla tähelepanelik. Näiteks Firefoxis on arvutikasutajate jaoks loodud küllaltki head 'Add-ons'id: TrafficLight (Bitdefender security), Fake Domain, WorldIP, Foxy Detective, Adblock Plus jt. Oskuslikul kasutusel on need Firefox pluginad suurepärased "kaitserelvad" Internetis liikumiseks ja "ellu jäämiseks".
Samas Linuxis olev /var/log failifarm on sysadminile suur lugemisnauding. Kuid arvuti tavakasutajale vaevalt et mingit erutust tekitab igavast terminalist teksti logide lappamine ja lugemine. Kui kodukasutaja arvutis on Linux ja see on tarkvaraliselt up-to-date siis on juba seegi suur samm edasi turvalisuse suunas. Kahjuks pole võimalik turvariski kõrvaldada vaid seda saab ainult minimaliseerida. Inimene on juba kord selline, emotsionaalne loom, täis eksiarvamusi ja vigu.
|
|
|
|
_________________ ertserts@linuxialune:~$ echo;echo Local and Remote IP connections:;netstat -at|sort -k5|grep ESTABLISHED|cut -c20-80;echo
|
|
|
|
Yeeha
Pingviini kasutaja
Liitunud: 28.05.2011
Postitused: 42
Distributsioon: Kubuntu 14.04 - Lihtsalt super :)
|
|
ertserts kirjutas: |
...Kui sülearvuti on pidevas liikumises siis võiks vähemalt /home olla krüpteeritud...
|
Kuidas on SED ssd-dega ja Linuxiga? Et pm windowsis self-encrypting ssd lukustab ära bitdefender aga linuxis vist midagi analoogset pole(OPAL 2.0 standardil mingit SEDi kontrollprogrammi) ja tuleb kasutada bioses hdd passwordi?
Lisaks ma jooksutasin korra Tigerit ja avastasin sellise rea, kas on reaalne oht:
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
3ndaks, kas LAMPi default install ubuntus on turvaline? Mysql ntx alguses võtab vastu ainult 127.0.0.1 . Ma sellega midagi maailmale näitamiseks ei ole plaanind panna ega confind, lihtsalt kasutan oma väikeste harjutuste testimiseks.
Edit: okei see Suckit on vist false positive, googeldasin.
|
|
|
|
|
|
|
|
gnu
Troll - ära toida!
Liitunud: 01.12.2013
Postitused: 71
Distributsioon: trisquel-mini
|
|
ertserts kirjutas: |
Arvan et eelkõige tuleks arvuti ja serveri alast turvariski minimaliseerida sellega et kasutad tarkvara ja teenuseid mida tõesti on vaja. Serveriteenuste puhul siis seda, et kui sa ei vaja ftp-, ssh-, samba- või veebi serverit siis sa lihtsalt seda oma operatsioonisüsteemi ei installi. Kui sa aga näiteks installid oma Linux arvutisse või serverisse ssh-serveri, ei konfigureeri seda piisavalt turvaliseks, suunad teenuse välisvõrku default 22 tcp pordiga siis võib sinu ssh serveriga juhtuda selline lugu. Ehk siis sinu väikese serveri vastu hakkavad ebatervet huvi tundma hiinlased, ameeriklased, venelased, türklased, tailased ja teised maailma vinnilised kräkkerid. Sellest kõigest tuleks "the neverending story".
|
ssh server võib vabalt pordi 22 peal jooksta.
sshguard ja rssh on lisaks.
Tuttavatele võid jagada kasutajat, mis on rssh kesta peal ja rssh.conf failis allowsftp # tagant eemaldatud.
|
|
|
|
_________________ non-free distros
ccrypt
install-esteid-trisquel.sh
|
|
|
|
priit
Vana Pingviin
Vanus: 40
Liitunud: 04.08.2005
Postitused: 521
Asukoht: Tartu
Distributsioon: CentOS / OS X
|
|
Ma isiklikult kasutan oma serveris fail2ban-nimelist tarkvaratükki, mis SSH kaudu sissetrügijaid ära blokib firewallis. Keegi pole kunagi sisse saanud, aga proovijad jätkub, peamiselt Vene- ja Hiinamaalt. Eile nt nii 50-60 aadressi blokitud.
|
|
|
|
|
|
|
|
|