Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
live&learn
Зарегистрирован: 17.12.2003 Сообщения: 7
|
Добавлено: Пт Дек 19 2003 10:41 Заголовок сообщения: Firewall: порты (продолжение). ПЛЮС история взлома :(( |
|
|
Чего я боюсь - автоматизированного взлома. Ясно, что мою маленькую фирму сверххакеры ломать не будут, но думается, что есть серваки, которые автоматом сканят айпишники в цикле, и если есть слабости, ломают. Вот у меня что было: однажды поставил Красную Шапку 7.1, подключил по выделенке к инету, файрволл решил пока оставить открытым - все АССЕРТ. Так вот - и получасу не прошло, как заметил в логах:
adduser: test ...
ROOT login from xxx.xxx.xxx.xxx
После этого многие мои стандартные проги ЮНИКСА (ps например) - были заменены какими-то зловредными прогами (по tripwire посмотрел), а в стартовых скриптах появилась ссылка на какой-то linsniffer
Я был в шоке. После этого - перед подключкой к инету настраиваю СТРОЖАЙШИЙ файрволл, запрещаю ВСЕ, ЧТО ТОЛЬКО МОЖНО. И с тех пор никаких взломов не было.
Но... оказалось, что для открытия ftp во внешний мир надо открывать не только 20, 21, а и огромный кусок портов... Вот по этим, указанным вами портам проходит только ls. Все остальные ftp-операции проходят с 20 и 21 порта. Я хочу знать: ПОЧЕМУ БЫ разработчикам фтп-серваков ls тоже не сделать по тем же портам??
А еще хотелось бы услышать, что вы думаете про вышеописанный взлом меня...
Спасибо за ответы. |
|
Вернуться к началу |
|
 |
butcher
Зарегистрирован: 18.04.2003 Сообщения: 467 Откуда: Киров
|
Добавлено: Пт Дек 19 2003 11:40 Заголовок сообщения: Re: Firewall: порты (продолжение). ПЛЮС история взлома :(( |
|
|
live&learn писал(а): |
Но... оказалось, что для открытия ftp во внешний мир надо открывать не только 20, 21, а и огромный кусок портов... Вот по этим, указанным вами портам проходит только ls. Все остальные ftp-операции проходят с 20 и 21 порта. Я хочу знать: ПОЧЕМУ БЫ разработчикам фтп-серваков ls тоже не сделать по тем же портам??
|
1. Разработчикам фтп-серверов наверно лучге знать почему именно так они поступили.. а для этого есть свои причины.
2. по этим всем портам идут не только ls
3. Угроза открытия этих портов проявляется только тогда, когда за какой-либо из этих портов отвечает какй-либо сервис.
Если ни одиин сервис не отвечает за порт, то тебя через него не "взломать"
live&learn писал(а): |
А еще хотелось бы услышать, что вы думаете про вышеописанный взлом меня...
Спасибо за ответы. |
сомневаюсь, что это автоматизированный взлом.. просто случайно кто-то наткнулся на тебя. Бояться надо не открытых портов, а дыр в программном обеспечении. То что ты закрываешь порты, это лишь формальное решение проблемы, даже не решение, а так.. решением является устранение бреши а не её "прикрытие" _________________ Нет ничего невозможного... |
|
Вернуться к началу |
|
 |
live&learn
Зарегистрирован: 17.12.2003 Сообщения: 7
|
Добавлено: Пт Дек 19 2003 12:04 Заголовок сообщения: |
|
|
Угроза открытия этих портов проявляется только тогда, когда за какой-либо из этих портов отвечает какй-либо сервис.
Вот по логике, вроде бы, и так, но ... мне всегда казалось, что лучше перебдеть, чем недобдеть. Что, если зловредный хакер будет просто открывать множество подключений к этим самым портам, вешая машину по сети? Даже не смотря на то, что компутер не откликается по этим портам. Ведь компутер должен переварить пакет, и ответить: destination port unreachable, а это требует ресурсов. Потому не проще ли резать эти левые порты сразу и навсегда ?? Может, мои слова звучат наивно, но хотелось бы узнать в чем я не прав
И еще вопрос: устранение брешей в софте. Есть такая тема в RedHat'e- RedHat Network. А еще есть Bugzilla. Хороши ли эти штуки?
Спасибо за ответы. |
|
Вернуться к началу |
|
 |
butcher
Зарегистрирован: 18.04.2003 Сообщения: 467 Откуда: Киров
|
Добавлено: Пт Дек 19 2003 12:50 Заголовок сообщения: |
|
|
>Что, если зловредный хакер будет просто открывать множество
>подключений к этим самым портам, вешая машину по сети? Даже не
>смотря на то, что компутер не откликается по этим портам. Ведь
>компутер должен переварить пакет, и ответить: destination port
>unreachable, а это требует ресурсов. Потому не проще ли резать эти
ну "destination port unreachable" редко отвечают.. обычно при установлении соединения на неоткрытй порт посылается RST пакет.
>левые порты сразу и навсегда ?? Может, мои слова звучат наивно, но
>хотелось бы узнать в чем я не прав
палка о двух концах, как ты думаешь, файрвол не забирает процессорного времени?
> устранение брешей в софте
это уж как тебе больше нравится, RH не пользовался и не собираюсь, посоветовать не могу
я делаю так:
1 . подписываюст на рассылку у разработчиков софта
2. подписываюсь на рассылки некоторых хак-груп и security-организаций.
3. подписываюсь на рассылки разработчиков ОС
4. регулярно читаю новости
ну и принимаю соответствующие меры при обноружении чего-то
PS. если кто-то захочет задосить твою систему, у него это получится, поверь мне. Сейчас, ИМХО, нету реальной защиты от ДОС-атак. Либо расходются ресурсы машины, либо канала.. так-что.. _________________ Нет ничего невозможного... |
|
Вернуться к началу |
|
 |
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Пт Дек 19 2003 16:07 Заголовок сообщения: Re: Firewall: порты (продолжение). ПЛЮС история взлома :(( |
|
|
Ну, если ты так не увкрен в своих силах, то лучше использовать не такой распространённый Linux, а OpenBSD - его авторы особо уделяют внимание безопасности.
У FreeBSD в дополнеие к атрибутам "rwx" есть флаги, позволяющие заблокировать изменение файлов даже рутом; если выставить высокий secure level, то этот флаг становится неснимаемым, а если этот флан выставить на стартовые скрипты и утилиты (начиная с упомянутой тобой ps), то система становится пробиваемой лишь с консоли (а при особо прочной защите - лишь при загрузке с др.носителя).
FreeBSD запрещает логин рутом с удалённых терминалов (Telnet, SSh) - надо входить юзером из группы wheel и делать su. А я так вообюще запретил вход рутом и рулю системой из-под др.имени, который тоже как root (UID==0), но его имя взломщих ещё должен выяснить.
Читай man login на предмет ограничения входа юзеров с разных IP. _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
 |
butcher
Зарегистрирован: 18.04.2003 Сообщения: 467 Откуда: Киров
|
Добавлено: Сб Дек 20 2003 13:52 Заголовок сообщения: |
|
|
>FreeBSD запрещает логин рутом с удалённых терминалов (Telnet,
>SSh) - надо входить юзером из группы wheel и делать su. А я так
>вообюще запретил вход рутом и рулю системой из-под др.имени,
>который тоже как root (UID==0), но его имя взломщих ещё должен
>выяснить.
ну на счёт имени, пользы наверно мало, если получен доступ к системе узнать имя - не проблема, да и не особо-то и нужно..
вот секурелевел, это вещь.. но надо быть маньяком и точно знать для чего эта машина предназначена.. иначе тяжело будет  _________________ Нет ничего невозможного... |
|
Вернуться к началу |
|
 |
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Вс Дек 21 2003 12:23 Заголовок сообщения: |
|
|
butcher писал(а): | ну на счёт имени, пользы наверно мало, если получен доступ к системе узнать имя - не проблема, да и не особо-то и нужно. | Если это имя убрать из /et/passwd (а этот файл во FreeBSD держится только для совместимости) и не позволять ему там появляться, то узнать это имя взломщику будет проблемно. А каждая проблема на пути взломщика затрудняет ему жизнь и побуждает пойти ломать др.систему.
butcher писал(а): | вот секурелевел, это вещь.. но надо быть маньяком и точно знать для чего эта машина предназначена.. иначе тяжело будет ;) | Ну так изучай систему. А когда будешь знать - начнёшь использовать.
На крайний случай можно держать два диска и при необходимости внести изменения в систему переливать её на др.диск, за исключением файлов, подлежащих изменнию (а эти файлы заливать уже модифицированными). _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
 |
butcher
Зарегистрирован: 18.04.2003 Сообщения: 467 Откуда: Киров
|
Добавлено: Вс Дек 21 2003 18:45 Заголовок сообщения: |
|
|
2Dmitry.Karpov:
если ты получил доступ в систему, узнать имя - не проблема, хотя бы
pw user show -a
ls -ln && ln -l
узнать имя - не проблема
вожно не имя, важен uid _________________ Нет ничего невозможного... |
|
Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Дек 21 2003 23:18 Заголовок сообщения: |
|
|
Правило N1:
Перед установкой любой ОС топать на сайт производителя и качать апдейты к системе.
Правило N2:
Читать правильные доки. Рекомендую книгу "Брэндмауэры в Linux" Стоит 150-200 рублей, а пользы на миллион.
P.S. Патч от пойманого вируса был выпущен года 2 назад. Проблемма в том, что ты сдуру забыл отключить NFS и и окружающие его сервисы. В частности portmap. Один FireWall не поможет ибо 80% взломов приходится на взломы изнутри, а не снаружи. |
|
Вернуться к началу |
|
 |
dddd Гость
|
Добавлено: Пт Авг 27 2004 13:51 Заголовок сообщения: подскажите пож. команду в Red Hat для просмотра всех открыты |
|
|
подскажите пож. команду в Red Hat для просмотра всех открытых портов системы, забыл.
спасибо |
|
Вернуться к началу |
|
 |
TechNoir
Зарегистрирован: 22.08.2003 Сообщения: 1632 Откуда: Moscou
|
Добавлено: Пт Авг 27 2004 16:18 Заголовок сообщения: |
|
|
nmap _________________ Vive la Russie! |
|
Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Авг 27 2004 19:32 Заголовок сообщения: |
|
|
netstat -a
Но nmap даст больше информации. Им же можно протестировать свой FireWall. |
|
Вернуться к началу |
|
 |
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Сб Авг 28 2004 12:19 Заголовок сообщения: |
|
|
butcher писал(а): | узнать имя - не проблема
вожно не имя, важен uid |
Ах, вот ты как! :)
Ну хорошо, сейчас я создам на машине юзера и сообщу тебе её координаты, а также UID и пароль юзера. А потом посмотрю, как тебе это поможетвойти в систему! :) _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
 |
|