Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Аватар пользователя Ugol

Доброе время суток!
Интересная статья из "Антивирусное обозрение "Ежики""
Как я обнаружил хакерскую атаку

Мне рассказывали, что в 80-х годах, сделали стенд на процессоре К580ВМ80А (советском клоне i8080) и в качестве тактового генератора использовали генератор плавающей частоты (ГПЧ). Прцессор на частоте в единицы герц прикольно тормозил,
но самое главное, на светодиодах отладочного пульта, отображающих состояние шин и на экране осциллографа можно было в тонкостях наблюдать работу проца. Вот примерно так же можно изучать работу компьютерных систем на медленных каналах
(например, на диалапе) или на медленных громких винчестерах.
Когда-то давно я так отловил вирус по необычному исходящему траффику на диалапном модеме (лампочка Sent слишком часто мигала). А недавно я отловил хакерскую атаку на один из моих компов по звуку винта. На компе стоит старый медленный громкий винт 300М (два винта по 300М) и ОС ASP Linux 9.2. Винт начал с периодичностью 2 раза в секунду мигать и издавать звуки. Команда top показала, что ничего критичного не работает. Оказалось, что в /var/log/secure пишутся записи вида
Nov 22 16:21:05 sshd[1919]: Illegal user pm from 216.41.119.215
Nov 22 16:21:05 sshd[1919]: Failed password for illegal user pm from 216.41.119.215
port 60897 ssh2
(адрес настоящий)
В общем, какой-то компьютер-зомби (зараженный компьютер) подбирает пароль. Бог в помощь, подумал я, словарь большой, 2 попытки в секунду, это надолго, но все же я решил лучше поступить параноидально и тупо забанил тварюку в hosts.deny

Аватар пользователя sergeil

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Цитата:
Ugol писал:
Бог в помощь, подумал я, словарь большой, 2 попытки в секунду, это надолго, но все же я решил лучше поступить параноидально и тупо забанил тварюку в hosts.deny

Это не параноя... Это отражение единичной атаки. Как по мне, то в

/etc/hosts.allow должно стоять ALL:ALL.
Sorry, это я промахнулся. ALL:ALL должно стоять в /etc/hosts.deny

А ssh должен быть разрешен только от доверенных узлов. SSHD должен запрещать login с учетной записью root. Список пользователей, кому разрешен SSH, должен быть небольшой. Все пользователи должны использовать устойчивые к взлому пароли.

Аватар пользователя fuze

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Цитата:
sergeil писал:
А ssh должен быть разрешен только от доверенных узлов. SSHD должен запрещать login с учетной записью root. Список пользователей, кому разрешен SSH, должен быть небольшой.

Вопрос по ходу: где это выставить?

Аватар пользователя sergeil

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Цитата:
...только от доверенных узлов

Смотри tcpwrapper (/etc/hosts.allow, /etc/hosts.deny)

Цитата:
... Список пользователей, кому разрешен SSH

/etc/ssh/sshd_config
...
## ===================
## Allow user list
## ===================
AllowUsers ...

здесь более подробно `man sshd`

Аватар пользователя Bircoph

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Я не согласен с тем, что для ssh должен быть ограниченный список "доверенных" хостов: например, я могу оказаться на совершенно разных системах, когда мне придётся зайти на свою посредством ssh. Вход разрешён только нескольким пользователям, руту -- нет; самое главное -- это стойкий пароль, лучше всего запомнить случайный и как можно более длинный -- десятка три-четыре символов, цифр, закарючек и т.п. -- тогда вам ничего не грозит.

А злостных нарушителей (ip/mac), разумеется, можно банить; но будьте осторожны -- это могут быть невинные зомби-машины, и возможна ситуация, что вы лишите доступа к серверу пользователя, которого не следовало его лишать.

Аватар пользователя Archont

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Цитата:
sergeil писал:
Как по мне, то в /etc/hosts.allow должно стоять ALL:ALL. А ssh должен быть разрешен только от доверенных узлов. SSHD должен запрещать login с учетной записью root. Список пользователей, кому разрешен SSH, должен быть небольшой. Все пользователи должны использовать устойчивые к взлому пароли.

Сергей, конечно, описАлся.
Имелся ввиду файл /etc/hosts.deny, а не hosts.allow, в котором прописывается (пишу для неопытных) каким IP какие сервисы разрешены.

2Bircoph:
На самом деле стратегию следует выбирать индивидуально.
Лично я бываю где-то вне офиса или вне дома не слишком часто, и знаю, где именно я окажусь. Поэтому мне проще организовать доступ для себя с известного мне узла именно на небольшое время заранее. А для совсем уж непредвиденного случая у меня имеется круглосуточный доступ по dial-up на никому неизвестный номер телефона для одного единственного юзера с фиксированным IP. За несколько лет не зафиксировано ни одной попытки несанкционированного доступа ни по dial-up, ни по широкополосному каналу. Тьфу-тьфу...

Аватар пользователя sergeil

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Цитата:
Archont писал:
Сергей, конечно, описАлся.
Имелся ввиду файл /etc/hosts.deny, а не hosts.allow, в котором прописывается (пишу для неопытных) каким IP какие сервисы разрешены.

Действительно промашечька вышла.
Грустный

ALL:ALL => /etc/hosts.deny

Аватар пользователя McStar

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

У меня по умлочанию разрешён доступ по ssh с любого компа, но только одному юзверю не root. При 5 и более неудачных попытках соединиться ip банится в /etc/hosts.deny скриптом на Python, который мне, кстати, на этом форуме и посоветовали Улыбка

Аватар пользователя Alexey

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Недавно я по совету Сергея запретил все ssh соединения (у меня нет необходимости в удаленном соединении). А как вообще определить был ли комп атакован, имели ли место сканирования портов? Когда я работал с касперским по win он издавал пронзителный визг, при обнаруженнии чего-то подозрительного, а есть ли что-то подобное для Linux?

Аватар пользователя sergeil

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Цитата:
Alexey писал:
Недавно я по совету Сергея запретил все ssh соединения (у меня нет необходимости в удаленном соединении). А как вообще определить был ли комп атакован, имели ли место сканирования портов?

Настройка firewall (-j LOG). А навскибку:

iptables -I INPUT -m state --state NEW -j LOG --log-level info --log-prefix "Hello:" 

Цитата:
Когда я работал с касперским по win он издавал пронзителный визг, при обнаруженнии чего-то подозрительного, а есть ли что-то подобное для Linux?

А зачем визги? Если тебе интересно, то просто посмотри. Крейсеру суета ни к чему. Пусть винда суетится... Катается от смеха

root# grep "Hello:" /var/log/messages
Аватар пользователя Alexey

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Нет ли какой ошибки в настройке firewall?! У меня рухнула система логов от переполнения, хорошо на отдельном логическом диске была, почистил вручную. В message ежесекундно появлялось по 6-8 сообщенией вида:

Dec 9 21:55:11 localhost kernel: Hello:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0a:48:17:5a:6d:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=8553 PROTO=UDP SPT=68 DPT=67 LEN=308
Dec 9 21:55:11 localhost kernel: Hello:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0f:ea:66:cf:a1:08:00 SRC=169.254.83.7 DST=169.254.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=44145 PROTO=UDP SPT=137 DPT=137 LEN=58
Dec 9 21:55:11 localhost kernel: Hello:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0d:88:b2:6f:f2:08:00 SRC=169.254.48.182 DST=169.254.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=28125 PROTO=UDP SPT=137 DPT=137 LEN=58

Аватар пользователя sergeil

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Цитата:
Alexey писал:
Нет ли какой ошибки в настройке firewall?! У меня рухнула система логов от переполнения, хорошо на отдельном логическом диске была, почистил вручную. В message ежесекундно появлялось по 6-8 сообщенией вида:

Пожалу, я погорячился.
Чесно говоря, я не ожидал, что у Вас работают и DHCP и SAMBA. Поставьте это правило перед iptables -A INPUT -j DROP
И замените iptables -I INPUT на iptables -A INPUT, что-бы правило добавилось после предыдущего, а не в начало.

Обычно, я формирую завершальную секцию так:

    #-------------------------------------------------------------------
    # Warn and Drop in if any else
    #-------------------------------------------------------------------
    $IPTABLES -A INPUT   -m state --state NEW -j LOG   --log-level info --log-prefix "DEF_INP_UNK_DROP:"
    $IPTABLES -A INPUT  -j DROP

    $IPTABLES -A OUTPUT  -m state --state NEW -j LOG --log-level info --log-prefix "DEF_OUT_UNK_DROP:"
    $IPTABLES -A OUTPUT  -j DROP

    $IPTABLES -A FORWARD -m state --state NEW                   -j LOG --log-level info --log-prefix "DEF_FWD_UNK_DROP:"
    $IPTABLES -A FORWARD -j DROP

Аватар пользователя slavaz

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Цитата:
Когда я работал с касперским по win он издавал пронзителный визг, при обнаруженнии чего-то подозрительного, а есть ли что-то подобное для Linux?

Посмотри
portsentry

Аватар пользователя Alexey

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Прочитал описание portsentry, по видимому это то, что нужно:
yum search portsentry ни чего не нашел, а
# find / -name portsentry
/etc/log.d/scripts/services/portsentry
# man portsentry
Ничего про portsentry в руководстве нет
это что один скрипт? Конечно можно исходники скачать, но хотелось разобраться. Может у меня уже стоит что-то подобное иначе зачем он установлен дистрибутивом? Система ASP10

Аватар пользователя moisha

Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте.

Кстати, а ничего новее версии portsentry 1.1 не встречалось? Похоже, что Psionic Software, Inc. заморозила деятельность в этом направлении...

RSS-материал