История одного красивого взлома

Аватар пользователя Ambrosim

Спрашивается, чего я сюда пришел - потому что меня нагло кинули! И кто - подлые хакеры! И на чем - на самой крутой системе - Линукс! (гы-гы!). Теперь я начинаю сомневаться, такая ли она уже крутая.
Сначала я ломанулся на форум официяльного сайта ASPLinux и начал уже там рассказывать свою историю, но жаль, там не предусмотрены атачи, а без логов, они большие, говорить конкретно не о чем - в них все факты. Вот поэтому я сюда и притопал

Да, в такую историю я в виндовсе еще ни разу не вляпывался!!! А еще говрят, что она глюкавая и вся дырявая, хе-хе! Но вот сколько лет сижу с персональным файрвольчиком, но ни разу ни один хакер мне еще ничего не испортил, а вирусы были все обнаружены и замочены антивирем, как грится, жалоб - нет!
Но вдумалось мне перейти (не иначе как сдуру) на знаменитый линкус - мода теперя такая, блин!
После долгих раздумий выбрал "самый руский дистрибутив" ASPLinux 10.0. Не скажу, что все в нем понравилось и много незнакомого, но кое-как приспособился. Не проработал на нем и пару месяцев, как вдруг!....
И вот начинается самое интересное - случайно обнаруживаю, что какой-то хакер нагло влез в мой линукс-комп, поменял мой рутовский пароль и поди еще поднашкодил, еще все не разобрался.
Но логи я уже сохранил, просмотрел их - интересно, стало, как он это сделал!! Готов все выложить для общего обозрения и вашего внимания.
Забегая наперед, скажу, что в безопасности я ноль, но при инсталяции АСП выставил в файрволе все запреты на максимум - позапрещал нафиг все, что он предлагал, и больше к нему не возвращался.
История очень интересная и самое главное, невыдуманная, и мне очень хочется знать, как можно защищаться (если вообще моно).
Итак, как было дело и какие факты у меня есть.
Но уже поздно, я так много дел сделал - вычислил хакера, собрал логи, зарегился сразу на двух форумах.
Короче, до завтра!

Аватар пользователя alex_root

Re: История одного красивого взлома

В /etc/hosts.deny допиши ALL: ALL и ложись спать Улыбка

Аватар пользователя Tolstik

Re: История одного красивого взлома

Ну и хде эта детехтива, интересно? Взбаламутил воду и пропал в тумане Не иначе тоже с будуна хакеры пригрезились Катается от смеха

Аватар пользователя alex_root

Re: История одного красивого взлома

Цитата:
Ну и хде эта детехтива, интересно? Взбаламутил воду и пропал в тумане Не иначе тоже с будуна хакеры пригрезились

Протрезвел, а на каком форуме постил - забыл... Улыбка

Аватар пользователя keng00ru

Re: История одного красивого взлома

На офсайте тот же топик есть, но там сегодня глюки какие-то: содержание ни одной темы просмотреть не могу. Лажа какая-то высвечивается. Квадратики, каркозябры... Может нас как отщепенцев по IP забанили там?

Ну, просмотрел... Можете взять этот топик как образец того, как топик не должен выглядеть.

Аватар пользователя Tolstik

Re: История одного красивого взлома

просто офсайт глючит Улыбка

выбери в кодировках вместо утф-8 кои-8р да и все дела

Аватар пользователя Ambrosim

Re: История одного красивого взлома

Вот токо не надо про будуна! Блюёт Не выспался, млин, изза эти хацеров. млин. А сейчас пытаюсь опбуликовать 1 часть повествованию в статьях, что-то не получается. А в форум кидать - сильно много матерала

Аватар пользователя keng00ru

Re: История одного красивого взлома

Ambrosim, а ты нажми кнопочку "Написать ответ" и внизу увидешь "Добавить файл". Вот туда и приложи свои файлы.
А в статьи не надо. Это мало кому пригодится!

Аватар пользователя Tolstik

Re: История одного красивого взлома

ну-ка, ну-ка Катается от смеха
и что-же там не получается?

Аватар пользователя Tolstik

Re: История одного красивого взлома

да, вижу, есть проблемы - на специфичесикх строчках, относящихся к хакерским прогам :-o
щаз помогу

Аватар пользователя Tolstik

Re: История одного красивого взлома

фух, еле разобрался - невероятно, но оказалось, что портал ругался на строчки 12 и 16, не хотел пропускать :-o

а то, что в "Статьи" - это даже хорошо, надо знать врага в лицо и выработать от него эффективное противоядие. А обсуждать будем здесь

PS. Я уже на всякий случай у себя проверил указанные папки и файлы - все чисто, а то мало ли что! Катается от смеха

Аватар пользователя Ambrosim

Re: История одного красивого взлома

2Tolstik: спасибо за публикацию!
(и за помощь в регистрации) Улыбка

Позже подготовлю 2 часть, там логи

Аватар пользователя alex_root

Re: История одного красивого взлома

Как я понял та прога что тебе поставили это баунсер для замены идента в IRC, так ведь? Странно.
Если не секрет, ты кому то дорогу перешёл? Какие могут быть причины?

Аватар пользователя Ambrosim

Re: История одного красивого взлома

Часть 2 готова, лог - sercure

Другие логи смотрел, но для данного случая они малоинтересны

Аватар пользователя Ambrosim

Re: История одного красивого взлома

Цитата:
Как я понял та прога что тебе поставили это баунсер для замены идента в IRC, так ведь? Странно.
Если не секрет, ты кому то дорогу перешёл? Какие могут быть причины?

какую дорогу, как?! :-? Я еще не знаю, что это и как это делается, да и оно мне не нужно
Я еще в линуксе с трудом разбираюсь :-o
Но точно знаю, что нужно найти защиту от подобных злоумышленников, иначе останусь при мнении, что ASP - изначально сплошная дыра, и уйду на галимую винду, которая зато никогда не подводила

Аватар пользователя alex_root

Re: История одного красивого взлома

От нечего делать такие вещи не делают. А как обезапасица я уже написал, это не шутка.

Аватар пользователя Ambrosim

Re: История одного красивого взлома

Здесь приатачен файл Readme от проги psyBNC2.3.1.tar.gz

alex_root: ну вот, ты опять за свое. На мой взгляд, это просто шутники, которые оттачивают свое мастерство, раз в два счета сломали знаменитую ось.
Как бы то ни было, меня интересуют совсем другие вопросы - насколько надежна ASP и ....
собственно, в завершение статьи их там и опишу

ВложениеРазмер
Readme.zip 12.96 КБ
Аватар пользователя alex_root

Re: История одного красивого взлома

А при чём тут ASP? У тебя притензии к дефолтным настройкам сети и разграничением прав что выставили в АСП? Что то там не так выставили АСПшники, мать их так!? Мне в своё время тоже оутлук выпотрошили, как и ты на измене сидел, но я знал кто и зачем, а вот ты что то недоговариваешь ИМХО, еслиб это пионеры забавы ради, то они б по пионерски и нагадили б надорожку, а так... Чего то не хватает в твоей истории...

PS
Забавная штука Улыбка
http://tools-on.net/privacy.shtml?2

Аватар пользователя Smacker

Re: История одного красивого взлома

К слову про tools-on.net - у меня всё по нулям, нет открытых портов и ничего не вышло с NetBIOS. Это как - что-то хорошее значит или ерунда?

Аватар пользователя Ambrosim

Re: История одного красивого взлома

И в завершение - остросюжетные вопросы:

1. Так ли уж защищен Линукс или это слабость конкретной реализации ASPLlinux?

2. Что заложили создатели ASPLinux в случае начальных настроек файрвола ASPLinux 10, когда в его интерфейсе было задано "Все запретить?" (как я понял, iptables),
Какой прок тогда от такого файрвола с этими настройками - создание иллюзии защиты, что ли?
Неужели еще и руками надо конфиги править, чтобы защита была полноценная? Не всякий обычный пользователь сможет это сделать, да и не удобно делать это в текстах - малейшая ошибка, не там запятая - сразу брешь. Если была бы оболочка для настройки, другое дело, и не обязательно она должна быть графической, консольная вполне бы сошла.

3. Хочу понять, каким образом хакеры так легко получили возможность доступа к рут-акаунту.
У меня лишь свои догадки, которые уже описал, но нет твердой уверенности в этих выводах

4. Что нужно сделать с текущей инсталяцией ASP? Указанные папки и файлы уничтожил. Или защита считается скомпроментированой и система подлежит переинсталляции?

5. И наконец - как защититься, чтобы чувствовать себя в линуксе, как кто-то уже выразился, в "броненосце"?

PS. Только сразу замечу тем, кто любит употреблять на форумах к месту и не к месту свое крылатое - "кривые руки" - у вас самих кривые, но только мозги - потому что если бы они прямые, то вы бы не козыряли набившим оскомину дурацким сленгом, а давали дельный конструктивный совет. Надоело уже, половина ответов только из них и состоит - это что, признак крутого линуксоида?

Аватар пользователя Ambrosim

Re: История одного красивого взлома

Цитата:
а вот ты что то недоговариваешь ИМХО, еслиб это пионеры забавы ради, то они б по пионерски и нагадили б надорожку, а так... Чего то не хватает в твоей истории...

странные люди - если говоришь правду, так не верят Грустный Тебе что, нужно придумать какую-то невероятную историю, чтобы ты поверил? Это повлияет на твою возможную помощь? Или ты тоже жертва, только геббельсовской пропаганды - "Чем чудовищнее ложь, тем быстрее в нее поверят!" Катается от смеха
(только без обид, просто сколько можно уже!)

Аватар пользователя Tolstik

Re: История одного красивого взлома

Цитата:
тем, кто любит употреблять на форумах к месту и не к месту свое крылатое - "кривые руки"

полностью согласен - фраза-паразит, не несущая никакой информационной нагрузки.
Кто ее употребляет вместо конкретного совета, часто прячет за ней собственную беспомощность.

Аватар пользователя alex_root

Re: История одного красивого взлома

Придётся таки учится с конфигами работать - иначе никак. Искать маны ночи напролёт. Это не просто, но есть люди которым это нравится делать. Доказывать что линь лучше/защищёнее винды никто не будет. Не обижайся, но может тебе есть смысл вернуться в винду, настроить оутпост, и жить спокойно? У меня 2 года ушло на переход под иксы, я понимаю как раздражают первое время все эти настройки. Но подумай, а что ты сделал для решения этого вопроса? Тут ведь не хакеры собираются. Поищи в сети по словам "настройка файрвола linux" ,"безопасность в linux"etc...Или вот как Кенгуру нарыл молодец! (ща почитаю) Наскоро тут не выйдет.

Аватар пользователя dkplayer

Re: История одного красивого взлома

Ээх!
По теме: Ломали имхо салаги какие-то зачем и почему хз, возможно из любопытства, возможно просто отморозки... могет и пересёкся автор с ними гле.. неважно... но ломали точно неопытные салаги ибо хрен бы автор сохранил логи будь то нормальный хакер!
1. Линукс в правильном смысле это всего-лишь ядро операционной системы. Тут не надо обобщать! Как вы сами уже отметили и в винде с прямыми руками можно вполне спокойно жить, и в линуксе не имея достаточного опыта можно вляпаться! Так что тут весь вопрос в реализации, например весьма на высоте этот вопрос продуман в SuSE а вот в аспе видимо руки не доходят...

2. Графическая приблуда к iptables по имени firestarter существует не первый день! Думаю поискав в на FreshMeat можно надыбать ещё с десяток подобных прог. Хороша тем что показывает в реальном времени все соединения, позволяет на лету менять правила, и обнаруживает подозрительные действия врага! Мозги набекрень шутка.... Подробнее здесь:
http://www.fs-security.com/

3. Пока оставлю без комментариев ещё не смотрел статью Улыбка

4. Зачем же сразу переинсталяцию! Превое проверить бэкдоры, не оставили ли злоумышленники для себя лазеек, второе настрой файервал, третье отключи все ненужные службы, особенно сетевые ну в общем то правила то стандартные, как и в винде.. запретить всё и разрешить только то что безопасно! Ну и разумеется поменять все пароли Улыбка

5. Имхо ощущение себя в броневике это ложное ощущение Улыбка нужно всегда быть начеку, и всегда подозрительно за всем следить! Вот вы поставили линукс и думали что уже обезопасили себя от всего... это была первая ошибка! Улыбка Безопасность должна быть безопасной и паронаидальной!

Аватар пользователя jcukeng

Re: История одного красивого взлома

Ambrosim, это стандартная беда почти всех Линуксов - по дефолту руту можно заходить по ssh.
У меня серваки в основном на FreeBSD крутятся, и линуксовые дефолты меня тоже неприятно поразили - во FreeBSD root'a по ссш не пускают.

Но в данном случае ты тоже немного виноват - зачем ставить ссш, если никого пускать к себе на комп не собирался? Улыбка

Аватар пользователя badman

Re: История одного красивого взлома

Хех. И кто тут наезжает на ASP?
То, что тебя взломали полностью и целиком ТВОЯ вина и ничья более.

Начнем с того, что файрволл тут абсолютно не причем, поскольку вся атака шла через ссш, который (по дефолту) висит на 22 порту. Файрволл много чего должен пропускать, иначе нихрена работать не будет.
Не знаю, что ты хотел сказать фразой "После некоторых раздумий я позапрещал все предложенные протоколы, поснимав соответствующие галки на протоколах и больше к этому вопросу не возвращался, полагая, что установлена самая максимальная зашита из возможного, что предлагает ASPLinux." Если бы ты запретил ВСЕ протоколы, никакого инета да и вообще сети на твоей машине просто не было бы.
Идём дальше и видим 2 грубейшие оплошности, которые описаны в любом нормальном руководстве по линуху:
1. Ты не запретил удалённый вход рута (да, водится такой грешок, но он ведь разжеван в любом руководстве, да и поменять нужно 1 строчку!)
2. Насколько я понял для рутовского(!) пароля ты выбрал какой-то стандартный пароль который подобрали по словарю меньше чем за 10 минут.

Уважаемый, так при чем тут ASP в частности и Linux вообще?!

Так-с, ответим теперь на твои вопросики:
1. Так ли уж защищен Линукс или это слабость конкретной реализации ASPLlinux?
Как я уже сказал, Линук - это ОЧЕНЬ защищенная система, но только тогда, когда она грамотно настроена.

2. Что заложили создатели ASPLinux в случае начальных настроек файрвола ASPLinux 10, когда в его интерфейсе было задано "Все запретить?" (как я понял, iptables),
Какой прок тогда от такого файрвола с этими настройками - создание иллюзии защиты, что ли?
Неужели еще и руками надо конфиги править, чтобы защита была полноценная? Не всякий обычный пользователь сможет это сделать, да и не удобно делать это в текстах - малейшая ошибка, не там запятая - сразу брешь. Если была бы оболочка для настройки, другое дело, и не обязательно она должна быть графической, консольная вполне бы сошла.
Никогда не верь таким графическим приблудам. Пока своими глазами не увидишь таблицу файрвола - не верь ничему.

3. Хочу понять, каким образом хакеры так легко получили возможность доступа к рут-акаунту.
У меня лишь свои догадки, которые уже описал, но нет твердой уверенности в этих выводах
Пароль тебе выдумать? (не обижайся, ничего личного).

4. Что нужно сделать с текущей инсталяцией ASP? Указанные папки и файлы уничтожил. Или защита считается скомпроментированой и система подлежит переинсталляции?
Лучше всего конечно переинсталить. Заодно и файр настроешь ручками, а не птичками ;)

5. И наконец - как защититься, чтобы чувствовать себя в линуксе, как кто-то уже выразился, в "броненосце"?
Никак. То, что один сделал - другой всегда взломает. Другое дело, что ты будешь защищён от таких "кул-хацкеров", которые подбирают рутовский пароль по словарю.

Словом, вот моя аська: 278106300, стучись, я тебя научу жизни насколько сам в ней разбираюсь Улыбка.

ЗЫ. Покажите мне в этом взломе "красивое" ;)

Аватар пользователя Ambrosim

Re: История одного красивого взлома

Всем спасибо, что откликнулись на мою проблему. Понимаю конечно, что нехватка моих знаний линукса привела к этому краху. а также уверенность в том что файрвол защитит от всего - ведь все галки на доступ к компьютеру по предлагаемы протоколоам -www, telnet и т.д.)поснимал, а больше ничего другого он не предложил и раз так предположил, что с остальными протоколоами он сам знает, как с ними поступать, ведь сборщики дистрибутива - технически грамотные люди, и не должны были делать глупые установки безопасности по умолчанию. Почему же извне оказался возможен доступ к ssh-демону, если стоит файрвол? Не иначе как он изначально был недостроен. Знаю про такой метод - все, что не разрешено, запрещено, а здесь, видимо, сделали как раз наоборот.
Также вы правы - у меня был досточно простой пароль, не стал себя утруждать и выбрал легко запоминающийся. Теперь хорошая наука осталась.
Не все ответы я для себя получил еще задам вопросы, если позволите возможно и вы не получили от меня нужные, данные готов детализировать.
Спасибо!

Аватар пользователя badman

Re: История одного красивого взлома

Цитата:
Почему же извне оказался возможен доступ к ssh-демону, если стоит файрвол? Не иначе как он изначально был недостроен. Знаю про такой метод - все, что не разрешено, запрещено, а здесь, видимо, сделали как раз наоборот.

Потому, что на этапе установки файрволла даётся выбор только для основных служб. Почему так - я не знаю, более логично было-бы выбрать всё... Тем не менее я не видел ни одного дистрибутива, в котором бы был выбор ВСЕГО, может в этом есть скрытый смысл, недоступный для понимания простым смертным Катается от смеха

ЗЫ. Кстати, слово "кампания" пишется через "о" ;)

Аватар пользователя Smacker

Re: История одного красивого взлома

Цитата:
ЗЫ. Кстати, слово "кампания" пишется через "о" ;)

Может быть имелась в виду не компания АСП, а её дезинформационная кампания? Поражён

Аватар пользователя alex_root

Re: История одного красивого взлома

Цитата:
Может быть имелась в виду не компания АСП, а её дезинформационная кампания?

Что ты пристал, может он масквич? Улыбка
Лучше просвяти чё файрвол за чудо устройство у меня обнаружил sit0 с протоколом IPv6?(firestarter ставлю)

Аватар пользователя Profan

Re: История одного красивого взлома

Ситуация в тему...
Сижу и читаю вашу переписку (WinXP у меня сейчас - АСП10 на диске из-за перестановки Винды не достал еще) и выскакивает окно АВП Касперского с сообщением:
Сетевая атака с адреса 80.41.235.136
До этого было 80ю255.219.228
И кто это ломится? И зачем?
В Линуксе есть какие либо средства, которые вот так отслеживали бы проникновение?

Аватар пользователя alex_root

Re: История одного красивого взлома

На 90% это касперский дуреет, но если так интересно кто - http://www.whoisinform.ru/ Хотя не факт...

Аватар пользователя St

Re: История одного красивого взлома

Люди, вы часом не прикалываетесь ?Улыбка

Если твой хост сумели взломать, то скорее всего это твоя вина, линух вообще и асп в частности тут не причем.

Насколько я могу судить, удаленно логиниться на свой хост тебе не требуется. Так какого лешего sshd запущен?
Прибить его. Посмотри что еще запущено, может у тебя там sendmail с опен релеем работает, а ты и не знаешь.
Конфиг для iptables (и любой другой кстати тоже, ну почти любой Улыбка надо ручками писать без всяких фронтендов, то что наделал сетапер можно использовать как пример, не более. Тем более, что синтаксис там предельно понятный.

Пароль подобрали элементарно по словарю, впредь надо использовать более безопасные пароли.

Ломали скорее всего новички, иначе ты бы об этом не узнал до последнего.

Аватар пользователя St

Re: История одного красивого взлома

Если есть вопросы - пожалуйста. Постараюсь ответить.

Аватар пользователя dkplayer

Re: История одного красивого взлома

Цитата:
В Линуксе есть какие либо средства, которые вот так отслеживали бы проникновение?

Firestarter может

Аватар пользователя Alexandr

Re: История одного красивого взлома

Я немного запоздал со своим мнением, писал это ещё вчера, так что извиняйте, если в чём-то повторюсь. Но, авось, что-то пригодится.

Ошибки, из-за которых, по-моему, сие приключилось:

1 - был запущен сервер sshd, который на этой машине был совершенно не нужен и не настроен.
2 - пароль у root-а был хреновенький.

Очень советую прочесть(можно даже по диагонали Улыбка ) переводную статью "Шокирующая уязвимость домашних сетей."
http://gazette.linux.ru.net/lg65/articles/rus-stumpel.html

Чтобы такое не случалось необходимо и достаточно:

1. Хороший пароль.

2. Отсутствие запущенных серверов на домашней машине.

3. Off-line проверка своей машины:
nmapfe (с GUI) или nmap (конс.)

"...Вы также можете 'просканировать' вашу систему самостоятельно,
вызовом команды ( после su - ) netstat -pan --inet. Программы, которые
имеют 0.0.0.0 в графе 'Local Address' (Локальный адрес) видны всему миру!..."

4. Только после всего этого - грамотный firewall, и on-line проверка.
http://scan.sygatetech.com/ или https://grc.com/x/ne.dll?bh0bkyd2

Bonus Улыбка :
Охотник за всякой нечистью - Rootkit Hunter http://freshmeat.net/projects/rkhunter/
Как раз вышла свежая версия.

Понятно, что это всё - всего лишь моё IMHO. Улыбка
Добавьте, кто знает, свои рецепты или поправьте.

И кстати, с безопасностью "из коробки" хорошо не только у FreeBSD или Suse, но и у Ubuntu, в котором, конечно же, есть свои недоделки, корявки, заморочки, но...

В дистрибутиве Ubuntu _по умолчанию_ не запущен ни один сервис, слушающий команды извне.

В Ubuntu просто-напросто отключен аккаунт root. Так что подбирать пароль было бы просто не к чему.

В Ubuntu _по умолчанию_ не ставятся средства разработки, так что откомпилировать что-нибудь было бы попросту невозможно.

Ни в коем случае никого не агитирую переходить на него. Как я уже написал - хватает своих сложностей и неудобств. Просто в плане безопасности для начинающих очень интересный подход.

Напоследок спасибо Ambrosim-у за статью с логами и Tolstik-у за сайт.
И то и другое получилось очень даже ничего.

Удачи.

Аватар пользователя keng00ru

Re: История одного красивого взлома

Цитата:
alex_root пишет:
Лучше просвяти чё файрвол за чудо устройство у меня обнаружил sit0 с протоколом IPv6?(firestarter ставлю)

Ты на ADSL сидишь? У меня третий день, как этот сит нарисовался. Дома Bluetooth сетку пытаюсь сплести, так уже не знаю откуда что выходит и что куда входит. Я думал, это я что-то напортачил... :-?

Аватар пользователя Tolstik

Re: История одного красивого взлома

Вот что нам ответили братья по разуму из opennet.ru

Цитата:
"История одного красивого взлома"
Tolstik:
Вот здесь товарища красиво ломанули по Инету:
Рассказ во всех подробностях здесь: http://asplinux.net/node/11
а обсуждение с атачем одной из ломалок - здесь: http://asplinux.net/forum/85

Помогите ему, пожалуйста, сами не знаем толковых рецептов

(на тот момент еще не было)

Цитата:
lavr:
и где там история взлома? там установка трояна, а истории взлома там
и близко нет, если ему логи не почистили, то пусть ищет локально или
удаленно взломали, если удаленно - через какой сервис.

Толковый рецепт один - полная переустановка системы или если использовался rootkit искать подмены, но единственный правильный вариант - переустановить и всем пользователям влупить expire на пароли не больше двух дней - пусть меняют.

Похоже у него ssh scan запустили на другие сети со словарем наиболее часто используемых паролей, пусть гасит все.

Цитата:
elkipalki:
ту лавр:
и не лень тебе на такую лажу отвечать? ;)

Цитата:
Skif:
Перво наперво мне понравился критерий выбора - красиво происталировалась и стала работать...
Про фаер тут без комментариев...
В общем я долго смеялся.
А если по сути - основная причина вашего взлома - использование не криптостойкий паролей(смысловых или цифровых - может даже 123? Улыбка ), как lavr тут заметил атаковали скорее всего по славарю.
Второе. Мне очень не нравиться что по дефолту в линуксе открыт доступ root по ssh, ИМХО правильнее как во freebsd - root не может коннектиться по ssh. Если тебе надо - открывай, а так не моги.
Третье необходимо изучить список правил фаера и доступ к ряду сервисов и служб ограничить им же. Или отключить сие службы
sockstat -4
Учиться, учиться и еще раз учиться...

Цитата:
Lt_Flash:
Согласен, человек сам не позаботился о собственной безопасности. Ошибки (на мой взгляд):
1. Версии OpenSSH до 3.5 или до 3.6 (точно не помню) подвержены взлому - везде на форумах секьюрити об этом написано.
2. Запретить вход по ССШ для рута - первое дело после установки
3. Прописать себя (и еще пару своих логинов) в судоеров - как раз на случай, если вдруг пароль рута слетит.
4. Настроить нормально фаервол, а не "поснимать галки"
5. Отключить IPv6, если он действительно не нужен
6. Поставить на все свои логины, кроме одного, с самым длинным и сложным паролем отключение при допустим 10 неудачных попытках ввода пароля
7. Использовать по возможности не открытые текстовые пароли, а все же шифрованные. Хотя это и необязательно - линукс же не передает пароли в открытом виде по сети. Он принимает с сервера некую строку, шифрует своим паролем, отсылает сервером, тот ищет в списках пароль на заданного юзера и пытается расшифровать строку. Если получилась исходная, посланная самим сервером - доступ разрешен.
8. Желательно еще сидеть за всякими "коробочками" типа Цисок, Джуниперов, Д-Линков и тому подобного. Честно говоря из всех плюсов в них самый ценный - как раз встроенные детекторы атак с пресечением.

Так что история печальная, поучительная, но виноват сам "админ" ;)

Я поблагодарив наших братьев, ответив им так:

Цитата:
Всем спасибо за рекомендации и конструктивные советы!
Обязательно учтем их при составлении faq.

PS. А г-н elkipalki всерьез не воспринимается - он что, настолько крутой никсоид, что считает ниже своего достоинства отвечать на проблемы новичков? Тем более этот новичок (он этого и не скрывает) изрядно потрудился, описывая проблему, и этот случай поучителен для многих, кто пренебрегает вопросами безопасности. Или г-н elkipalki сразу родился крутым? Тогда можно было просто промолчать - хотя бы из вежливости.
В любом случае, крутизна - еще не повод сплевывать сверху вниз на других - могут неправильно понять

Аватар пользователя Tolstik

Re: История одного красивого взлома

И в самом деле - может, нам действительно учесть все присланные советы по этому случаю и составить свое FAQ по начальной настройке безопасности, заточенное под имеющиеся особенности ASPLinux?
Пусть для начала оно будет для самого распространенного случая - для десктопа. Ведь многие новички, начиная осваивать Linux, устанавливают ось, радуясь, что "проинсталялась", и сразу рвутся в Internet порезвиться, откладывая решение вопросов безопасности на неопределенное время.
В результатате - бац! - имеем совершенно не нужные нам случаи, бросающие тень на Linux и на наш ASP - в частности

Аватар пользователя alex_root

Re: История одного красивого взлома

Цитата:
Ты на ADSL сидишь? У меня третий день, как этот сит нарисовался.

В том то и фокус что на диалапе, но этот sit0 как удалить не знаю, файрвол включить не даёт, говорит ошибка.
А ФАК писать однозначно надо, и поподробнее, Толстик, видимо тебе придётся Улыбка больше некому.

Аватар пользователя Archont

Re: История одного красивого взлома

Ну что-ж, спасибо...
Проверил свои хосты на предмет входа по ssh рутом,
и обнаружил, что на 2 из 3-х - можно.
Хотя и файрвол позволяет войти по ssh только с нескольких адресов, и в hosts.allow разрешены только они же (остальные запрещены по умолчанию), и пароли у рутов 10 и болле символьные и нетривиальные, все равно непорядок.
Надо быть внимательнее...
И параноидальнее, что ли...
Еще раз спасибо за науку!

Аватар пользователя Sinner

Re: История одного красивого взлома

2 Ambrosim :
ты не Жертва компании ASP ты жертва собственной глупости ....сервисов наоставлял открытых , которые тебе не нужны наверно , а теперь жалуешься ... неважно под чем сидеть , важно КАК сидеть Катается от смеха

Аватар пользователя Tolstik

Re: История одного красивого взлома

Право, не знаю. глупость это. невежество или беспечность, меня больше интересует - как демон sshd в ASP-10 так бойко отвечал на запросы по словарю? Сколько общался с этим сервисом в Инете, так прежде чем дать ответ по паролю (принят ли отвергнут), он секунд с пять раздумывает. И такая "тугодумность" делает перебор паролей бесмысленной - жизни не хватит.
А в реализации АСП sshd отвечал в темпе запросов - это, имхо, явная недоработка

Sinner: хорошо бы кроме критики еще дать и конкретные советы.

Аватар пользователя Shurik

Re: История одного красивого взлома

Цитата:
А ФАК писать однозначно надо, и поподробнее, Толстик, видимо тебе придётся Улыбка больше некому.

А ФАК на предмет чего? Полутора десятков сервисов ASPLinux 10, которые запускаются сразу-же после установки системы "по умолчанию"? Как и какие отключать? О чём ФАК-то?

Аватар пользователя keng00ru

Re: История одного красивого взлома

Shurik, вот-вот, именно об этом! Хочешь попробовать?

Аватар пользователя Shurik

Re: История одного красивого взлома

Цитата:
keng00ru пишет:
Shurik, вот-вот, именно об этом! Хочешь попробовать?

Не совсем конечно по теме, но пару статей Толстику кинул. Понравятся - разместит.

Аватар пользователя Tolstik

Re: История одного красивого взлома

Shurik

Цитата:
А ФАК на предмет чего? Полутора десятков сервисов ASPLinux 10, которые запускаются сразу-же после установки системы "по умолчанию". Как и какие отключать?

почему речь только о сервисах? Например, можно рассказать о файрволах - идущих с дистрибутивом и альтернативных, какие файрволы на сегодня себя лучше зарекомендовали и как их настраивать, например, хотя бы как здесь
Безопасность вообще весьма широкое понятие. и не все в ней досконально разбираются (это еще мягко сказано), поэтому, чтобы о ней не написали, много не будет Улыбка

Аватар пользователя lystor

Re: История одного красивого взлома

Цитата:
alex_root писал:
чё файрвол за чудо устройство у меня обнаружил sit0 с протоколом IPv6?

sit0 применяется для создания туннелей между компьютерами по ipv6.
Отключается так: в /etc/sysconfig/network добавить/изменить
NETWORKING_IPV6=no

Аватар пользователя antigrustin

Re: История одного красивого взлома

что то я так и не нашел вашего замышляемого ФАКа по теме безопасности и по сервисам в часности... есть парочка вопросов....
rpc/stat.d
portmap
perl
mDNSResponder
для чего эти службы и можно ли их отключить?
Улыбка

RSS-материал