Хакерская атака на ASPLinux 9.2. Прокомментируйте.
Доброе время суток!
Интересная статья из "Антивирусное обозрение "Ежики""
Как я обнаружил хакерскую атаку
Мне рассказывали, что в 80-х годах, сделали стенд на процессоре К580ВМ80А (советском клоне i8080) и в качестве тактового генератора использовали генератор плавающей частоты (ГПЧ). Прцессор на частоте в единицы герц прикольно тормозил,
но самое главное, на светодиодах отладочного пульта, отображающих состояние шин и на экране осциллографа можно было в тонкостях наблюдать работу проца. Вот примерно так же можно изучать работу компьютерных систем на медленных каналах
(например, на диалапе) или на медленных громких винчестерах.
Когда-то давно я так отловил вирус по необычному исходящему траффику на диалапном модеме (лампочка Sent слишком часто мигала). А недавно я отловил хакерскую атаку на один из моих компов по звуку винта. На компе стоит старый медленный громкий винт 300М (два винта по 300М) и ОС ASP Linux 9.2. Винт начал с периодичностью 2 раза в секунду мигать и издавать звуки. Команда top показала, что ничего критичного не работает. Оказалось, что в /var/log/secure пишутся записи вида
Nov 22 16:21:05 sshd[1919]: Illegal user pm from 216.41.119.215
Nov 22 16:21:05 sshd[1919]: Failed password for illegal user pm from 216.41.119.215
port 60897 ssh2
(адрес настоящий)
В общем, какой-то компьютер-зомби (зараженный компьютер) подбирает пароль. Бог в помощь, подумал я, словарь большой, 2 попытки в секунду, это надолго, но все же я решил лучше поступить параноидально и тупо забанил тварюку в hosts.deny
- Добавить комментарий
- 3889 просмотра
Вход
Подписка на RSS
Фото из альбома
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #1
Это не параноя... Это отражение единичной атаки. Как по мне, то в
/etc/hosts.allow должно стоять ALL:ALL.Sorry, это я промахнулся. ALL:ALL должно стоять в /etc/hosts.denyА ssh должен быть разрешен только от доверенных узлов. SSHD должен запрещать login с учетной записью root. Список пользователей, кому разрешен SSH, должен быть небольшой. Все пользователи должны использовать устойчивые к взлому пароли.
Админ админу - друг, товарищ и ман...
(c) Almaty
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #2
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #3
/etc/ssh/sshd_config
...
## ===================
## Allow user list
## ===================
AllowUsers ...
здесь более подробно `man sshd`
Админ админу - друг, товарищ и ман...
(c) Almaty
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #4
Я не согласен с тем, что для ssh должен быть ограниченный список "доверенных" хостов: например, я могу оказаться на совершенно разных системах, когда мне придётся зайти на свою посредством ssh. Вход разрешён только нескольким пользователям, руту -- нет; самое главное -- это стойкий пароль, лучше всего запомнить случайный и как можно более длинный -- десятка три-четыре символов, цифр, закарючек и т.п. -- тогда вам ничего не грозит.
А злостных нарушителей (ip/mac), разумеется, можно банить; но будьте осторожны -- это могут быть невинные зомби-машины, и возможна ситуация, что вы лишите доступа к серверу пользователя, которого не следовало его лишать.
Per aspera ad astra!
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #5
Сергей, конечно, описАлся.
Имелся ввиду файл /etc/hosts.deny, а не hosts.allow, в котором прописывается (пишу для неопытных) каким IP какие сервисы разрешены.
2Bircoph:
На самом деле стратегию следует выбирать индивидуально.
Лично я бываю где-то вне офиса или вне дома не слишком часто, и знаю, где именно я окажусь. Поэтому мне проще организовать доступ для себя с известного мне узла именно на небольшое время заранее. А для совсем уж непредвиденного случая у меня имеется круглосуточный доступ по dial-up на никому неизвестный номер телефона для одного единственного юзера с фиксированным IP. За несколько лет не зафиксировано ни одной попытки несанкционированного доступа ни по dial-up, ни по широкополосному каналу. Тьфу-тьфу...
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #6
Действительно промашечька вышла.
ALL:ALL => /etc/hosts.deny
Админ админу - друг, товарищ и ман...
(c) Almaty
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #7
У меня по умлочанию разрешён доступ по ssh с любого компа, но только одному юзверю не root. При 5 и более неудачных попытках соединиться ip банится в /etc/hosts.deny скриптом на Python, который мне, кстати, на этом форуме и посоветовали
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #8
Недавно я по совету Сергея запретил все ssh соединения (у меня нет необходимости в удаленном соединении). А как вообще определить был ли комп атакован, имели ли место сканирования портов? Когда я работал с касперским по win он издавал пронзителный визг, при обнаруженнии чего-то подозрительного, а есть ли что-то подобное для Linux?
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #9
Настройка firewall (-j LOG). А навскибку:
А зачем визги? Если тебе интересно, то просто посмотри. Крейсеру суета ни к чему. Пусть винда суетится...
Админ админу - друг, товарищ и ман...
(c) Almaty
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #10
Нет ли какой ошибки в настройке firewall?! У меня рухнула система логов от переполнения, хорошо на отдельном логическом диске была, почистил вручную. В message ежесекундно появлялось по 6-8 сообщенией вида:
Dec 9 21:55:11 localhost kernel: Hello:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0a:48:17:5a:6d:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=8553 PROTO=UDP SPT=68 DPT=67 LEN=308
Dec 9 21:55:11 localhost kernel: Hello:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0f:ea:66:cf:a1:08:00 SRC=169.254.83.7 DST=169.254.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=44145 PROTO=UDP SPT=137 DPT=137 LEN=58
Dec 9 21:55:11 localhost kernel: Hello:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0d:88:b2:6f:f2:08:00 SRC=169.254.48.182 DST=169.254.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=28125 PROTO=UDP SPT=137 DPT=137 LEN=58
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #11
Пожалу, я погорячился.
Чесно говоря, я не ожидал, что у Вас работают и DHCP и SAMBA. Поставьте это правило перед iptables -A INPUT -j DROP
И замените iptables -I INPUT на iptables -A INPUT, что-бы правило добавилось после предыдущего, а не в начало.
Обычно, я формирую завершальную секцию так:
#------------------------------------------------------------------- # Warn and Drop in if any else #------------------------------------------------------------------- $IPTABLES -A INPUT -m state --state NEW -j LOG --log-level info --log-prefix "DEF_INP_UNK_DROP:" $IPTABLES -A INPUT -j DROP $IPTABLES -A OUTPUT -m state --state NEW -j LOG --log-level info --log-prefix "DEF_OUT_UNK_DROP:" $IPTABLES -A OUTPUT -j DROP $IPTABLES -A FORWARD -m state --state NEW -j LOG --log-level info --log-prefix "DEF_FWD_UNK_DROP:" $IPTABLES -A FORWARD -j DROPАдмин админу - друг, товарищ и ман...
(c) Almaty
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #12
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #13
Прочитал описание portsentry, по видимому это то, что нужно:
yum search portsentry ни чего не нашел, а
# find / -name portsentry
/etc/log.d/scripts/services/portsentry
# man portsentry
Ничего про portsentry в руководстве нет
это что один скрипт? Конечно можно исходники скачать, но хотелось разобраться. Может у меня уже стоит что-то подобное иначе зачем он установлен дистрибутивом? Система ASP10
Re: Хакерская атака на ASPLinux 9.2. Прокомментируйте. #14
Кстати, а ничего новее версии portsentry 1.1 не встречалось? Похоже, что Psionic Software, Inc. заморозила деятельность в этом направлении...
"Азбуку, азбуку учи!" Т. Толстая "Кысь"