14.06.2007, 20:08
|
|
Участник форума
Регистрация: 06.10.2006
Сообщений: 226
С нами:
10313606
Репутация:
1327
|
|
Интересная статья мне понравилась.
После начального просмотра, атакующий скачал и установил IRC бота. Это позволило
ему управлять сервером более скрытно, снизив риск быть обнаруженным в системе.
Также это позволит управлять ему другими аналогичными "зомби".
Хотелось бы про это поподробнее почитать.
ps кто найдет хорошую статейку без разговоров получит +8 |
|
|
15.06.2007, 09:59
|
|
Постоянный
Регистрация: 19.09.2005
Сообщений: 408
С нами:
10863746
Репутация:
519
|
|
Ограничить доступ к SSH, ввести аутентификацию юзера или группы.
Сообщение от Dronga
Без комментариев =)
oO
Строчка:
в /etc/ssh/sshd.conf намного уменшит шансы злоумышленника
Сообщение от Dronga
Кто и как решает эту проблему?? Сюда же думаю логично отнести проблему перебора паролей и по другим службам, в частности FTP, POP3.
Можно ограничить по одному новому соединению за минуту двумя простыми правилами фаера:
iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
(для других служб аналогично)
и прикрутить denyhosts/sshguard (это для тех кто не любит возится с фаером)
|
|
|
|
15.06.2007, 13:23
|
|
ВАША реклама ТУТ!!
Регистрация: 01.07.2005
Сообщений: 647
С нами:
10978946
Репутация:
714
|
|
Это само собой как бы, специфика такая у нас.
С iptables интересно, но у меня в системе его нет. Я не совсем понял как он будет себя вести в случае паралельных сессий с разных IP.
_Pantera_, столкнулся на одном серваке, было дело.. Сканирую сервер, порт левый открытый и баннер выдаёт psyBNC 2.3.2.. Долго не мог понять откуда запускается.. Оказалось что через крон и ещё имя процесса маскируется под httpd. Злоумышленник забыл удалить архив откуда он это всё разворачивал, так что если кому интересно, могу выложить, там все попутные утилиты. Потом по логам прошерстил, по SSH был успешный брут. Пароль сменил. Вроде больше ничего не обнаружилось.
__________________
My ICQ: 296@463@859 ONLY!! Please check your list!!
И здесь могла бы быть ВАША реклама!!!
|
|
|
|
25.06.2007, 18:00
|
|
Новичок
Регистрация: 24.06.2007
Сообщений: 10
С нами:
9937719
Репутация:
11
|
|
Статья действительно неплохая, мне понравилась
Установить файрволл для того чтобы ограничить доступ к SSH только для
определенных машин. Это особенно необходимо, если администратирование
производится удаленно
Конечно не плохо, но если представить что количество аккаунтов растет то в табу релесов заносить ip адреса дело неблагодарное:
Код:
iptables -A INPUT -p TCP -s ! *.*.*.* --dport 22 -j DROP
Вроде так, не помню сейчас тк пользуюсь pf:
Код:
pass on $ext_if inet proto tcp from any to $ext_if port ssh keep state \
(max-src-conn 10, max-src-conn-rate 5/60, overload <blah> flush)
block on $ext_if inet proto tcp from <blah> to $ext_if port ssh \
probability 65%
Также можно набросать перловый скрипт определяющий ip адреса атакующих через нетстат и затем заносящих в табу фаервола
Переместите SSH с 22 порта на любой другой не использованый.Это затруднить
обнаружение сервиса, так как большинство bruteforce для него предполагают,
что он находится на 22 порту.
Бесмыслено. Даже если поменять директиву port в /etc/ssh/ssh_config то это все равно не затруднит. Все равно nmap найдет отпечаток ssh демона ну а за гидрой дело не стоит
SSH также поддерживает ключи доступа. Их установка занимает не более нескольких
минут, подробнее можна прочитать в статье SSH Host Key Protection
и SSH and ssh-agent
Согласен, лучше всего осущевствлять аунтефикацию по паблик/приват ключам нежели по паролю это действительно поможет + повысить таймаут при попытках ввода пароля
P.S при попытках брута передаеться юзер агент? /думаю нет но все таки спрашиваю
Последний раз редактировалось Robįŋ Guδ; 28.06.2007 в 18:15..
|
|
|
|
06.07.2007, 14:15
|
|
Участник форума
Регистрация: 04.07.2007
Сообщений: 111
С нами:
9922725
Репутация:
102
|
|
Действительно подоборка топ15 паролей верна - испробована на деле
|
|
|
|
06.07.2007, 16:30
|
|
Постоянный
Регистрация: 27.08.2006
Сообщений: 367
С нами:
10370602
Репутация:
472
|
|
Pantera, все сводится к тому, что управление производится через обычные nix команды, т.е ты пишешь боту чтонибудь наподобие !exec id, бот возвращает твои права в системе. Готовых ботов очень много, но вот насчет беспалевности этого варианта можно поспорить.
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
