Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
14.06.2007, 20:08
|
|
Участник форума
Регистрация: 06.10.2006
Сообщений: 226
Провел на форуме:
3025546
Репутация:
1327
|
|
Интересная статья мне понравилась.
После начального просмотра, атакующий скачал и установил IRC бота. Это позволило
ему управлять сервером более скрытно, снизив риск быть обнаруженным в системе.
Также это позволит управлять ему другими аналогичными "зомби".
Хотелось бы про это поподробнее почитать.
ps кто найдет хорошую статейку без разговоров получит +8 |
|
|
15.06.2007, 09:59
|
|
Постоянный
Регистрация: 19.09.2005
Сообщений: 408
Провел на форуме:
3730496
Репутация:
519
|
|
Ограничить доступ к SSH, ввести аутентификацию юзера или группы.
Сообщение от Dronga
Без комментариев =)
oO
Строчка:
в /etc/ssh/sshd.conf намного уменшит шансы злоумышленника
Сообщение от Dronga
Кто и как решает эту проблему?? Сюда же думаю логично отнести проблему перебора паролей и по другим службам, в частности FTP, POP3.
Можно ограничить по одному новому соединению за минуту двумя простыми правилами фаера:
iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
(для других служб аналогично)
и прикрутить denyhosts/sshguard (это для тех кто не любит возится с фаером)
|
|
|
|
15.06.2007, 13:23
|
|
ВАША реклама ТУТ!!
Регистрация: 01.07.2005
Сообщений: 647
Провел на форуме:
3478464
Репутация:
714
|
|
Это само собой как бы, специфика такая у нас.
С iptables интересно, но у меня в системе его нет. Я не совсем понял как он будет себя вести в случае паралельных сессий с разных IP.
_Pantera_, столкнулся на одном серваке, было дело.. Сканирую сервер, порт левый открытый и баннер выдаёт psyBNC 2.3.2.. Долго не мог понять откуда запускается.. Оказалось что через крон и ещё имя процесса маскируется под httpd. Злоумышленник забыл удалить архив откуда он это всё разворачивал, так что если кому интересно, могу выложить, там все попутные утилиты. Потом по логам прошерстил, по SSH был успешный брут. Пароль сменил. Вроде больше ничего не обнаружилось.
__________________
My ICQ: 296@463@859 ONLY!! Please check your list!!
И здесь могла бы быть ВАША реклама!!!
|
|
|
|
25.06.2007, 18:00
|
|
Новичок
Регистрация: 24.06.2007
Сообщений: 10
Провел на форуме:
20585
Репутация:
11
|
|
Статья действительно неплохая, мне понравилась
Установить файрволл для того чтобы ограничить доступ к SSH только для
определенных машин. Это особенно необходимо, если администратирование
производится удаленно
Конечно не плохо, но если представить что количество аккаунтов растет то в табу релесов заносить ip адреса дело неблагодарное:
Код:
iptables -A INPUT -p TCP -s ! *.*.*.* --dport 22 -j DROP
Вроде так, не помню сейчас тк пользуюсь pf:
Код:
pass on $ext_if inet proto tcp from any to $ext_if port ssh keep state \
(max-src-conn 10, max-src-conn-rate 5/60, overload <blah> flush)
block on $ext_if inet proto tcp from <blah> to $ext_if port ssh \
probability 65%
Также можно набросать перловый скрипт определяющий ip адреса атакующих через нетстат и затем заносящих в табу фаервола
Переместите SSH с 22 порта на любой другой не использованый.Это затруднить
обнаружение сервиса, так как большинство bruteforce для него предполагают,
что он находится на 22 порту.
Бесмыслено. Даже если поменять директиву port в /etc/ssh/ssh_config то это все равно не затруднит. Все равно nmap найдет отпечаток ssh демона ну а за гидрой дело не стоит
SSH также поддерживает ключи доступа. Их установка занимает не более нескольких
минут, подробнее можна прочитать в статье SSH Host Key Protection
и SSH and ssh-agent
Согласен, лучше всего осущевствлять аунтефикацию по паблик/приват ключам нежели по паролю это действительно поможет + повысить таймаут при попытках ввода пароля
P.S при попытках брута передаеться юзер агент? /думаю нет но все таки спрашиваю
Последний раз редактировалось Robįŋ Guδ; 28.06.2007 в 18:15..
|
|
|
|
06.07.2007, 14:15
|
|
Участник форума
Регистрация: 04.07.2007
Сообщений: 111
Провел на форуме:
486797
Репутация:
102
|
|
Действительно подоборка топ15 паролей верна - испробована на деле
|
|
|
|
06.07.2007, 16:30
|
|
Постоянный
Регистрация: 27.08.2006
Сообщений: 367
Провел на форуме:
2009677
Репутация:
472
|
|
Pantera, все сводится к тому, что управление производится через обычные nix команды, т.е ты пишешь боту чтонибудь наподобие !exec id, бот возвращает твои права в системе. Готовых ботов очень много, но вот насчет беспалевности этого варианта можно поспорить.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
