Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: utok z venku  (Přečteno 1867 krát)

afk_cz

  • Aktivní člen
  • *
  • Příspěvků: 283
utok z venku
« kdy: 17 Prosince 2009, 10:00:16 »
zdravim, prave jsem narazil na zajimavou vec. mam na routeru doma (za UPC modemem) DMZ smerovanou na desktop s aktualizovanym ubuntu 9.04. koukal jsem ted z prace pres SSH, jak mi jede rdiff backup z desktopu na NAS - pomoci nethogs na eth0 a najednou vidim, ze mi nekdo skenuje porty na eth0. jelo to port po portu od 60080 dolu. nejdrive z IP 124.172.248.133 (vychodni Cina) a pak z 77.111.88.14 (Madarsko, Budapest). koukam na to a najednou sken prestal a zacinaly se mi sunout data v obou smerech (radove desitky KB). desktop ma vychozi zabezpeceni, s firewallem jsem si nijak dal nehral. komp jsem okamzite shodil, router jsem nepovolil nastavovat na dalku, takze jsem nemohl zmenit smerovani.
otazka zni: muzu nejak zpetne dopatrat, kde se mi kdo hrabal, popripade co kde zmenil ? co doporucujete dal delat ?

diky predem za info
« Poslední změna: 17 Prosince 2009, 10:03:41 od afk_cz »
Ubuntu 8.04 - server, Ubuntu 8.10 a 9.04 desktop, Ubuntu 9.04 a 9.10 laptop :) vsude Ubuntu :))

Frejda62

  • Aktivní člen
  • *
  • Příspěvků: 335
  • Na Linuxu se stále učím.
Re: utok z venku
« Odpověď #1 kdy: 17 Prosince 2009, 10:44:33 »
zdravim, prave jsem narazil na zajimavou vec. mam na routeru doma (za UPC modemem) DMZ smerovanou na desktop s aktualizovanym ubuntu 9.04. koukal jsem ted z prace pres SSH, jak mi jede rdiff backup z desktopu na NAS - pomoci nethogs na eth0 a najednou vidim, ze mi nekdo skenuje porty na eth0. jelo to port po portu od 60080 dolu. nejdrive z IP 124.172.248.133 (vychodni Cina) a pak z 77.111.88.14 (Madarsko, Budapest). koukam na to a najednou sken prestal a zacinaly se mi sunout data v obou smerech (radove desitky KB). desktop ma vychozi zabezpeceni, s firewallem jsem si nijak dal nehral. komp jsem okamzite shodil, router jsem nepovolil nastavovat na dalku, takze jsem nemohl zmenit smerovani.
otazka zni: muzu nejak zpetne dopatrat, kde se mi kdo hrabal, popripade co kde zmenil ? co doporucujete dal delat ?

diky predem za info


http://www.linuxsoft.cz/sw_detail.php?id_item=4234
frejda-desktop
Ubuntu 12.04
 i686 AMD Athlon(tm) 64 Processor 3000+ GeForce 9500 GT 1024 MB   RAM..2.G

stderr

  • Aktivní člen
  • *
  • Příspěvků: 275
  • globglob, Charliee, we're scuba diving Charlieee!
Re: utok z venku
« Odpověď #2 kdy: 17 Prosince 2009, 16:06:26 »
Jestli máš veřejnou IP adresu, tak se skenování portů neubráníš. Pokud se o to chceš pokusit, tak pc vypni a odpoj od sítě...
Ty sunoucí se data mohl být např. slovníkový útok na ssh, ftp, kdo-ví-co-tam-běží - těch je na veřejné IP tolik, že pokud Tě překvapilo toto a donutilo vypnout pc, pak bys ze všech upadl (snad jen) do mdlob ;)

Řešením může být třeba: nastavit nějak rozumně firewall; běžící služby, který můžou být zneužitelný nastavit jen pro povolené IP; přihlašování na ssh jen pomocí klíče a pro veřejně dostupný služby použít fail2ban..

Edit: a o úspěšných/neúspěšných přihlášeních by měl něco vědět /var/log/secure (nebo tam někde něco...nevím z hlavy, kde to v ubuntu je)
« Poslední změna: 17 Prosince 2009, 16:08:23 od stderr »
Fedora & CentOS (RHEL) user ... co tu vlastně dělám?
Blog /dev/stderr & twitr

afk_cz

  • Aktivní člen
  • *
  • Příspěvků: 283
Re: utok z venku
« Odpověď #3 kdy: 17 Prosince 2009, 16:42:28 »
ja mam normalne DMZko smerovany na ubuntu server, ktery ted reinstaluju a presmeroval jsem to vyjimecne na desktop. kazdopadne se pres SSH pripojuju domu casto a tohle jsem jeste nezazil. zkusim prolizt vsechny logy a asi pouziju soft, co mi tu doporucil Frejda62. zmineny psad http://www.cipherdyne.com/psad/ se mi libi.
Ubuntu 8.04 - server, Ubuntu 8.10 a 9.04 desktop, Ubuntu 9.04 a 9.10 laptop :) vsude Ubuntu :))

LuciusMare

  • Závislák
  • ***
  • Příspěvků: 1749
Re: utok z venku
« Odpověď #4 kdy: 17 Prosince 2009, 19:35:12 »
Jen tak na okraj, muzu se zeptat proc mas nastavene DMZ a nemas jen port forwarding?
Citace
<Firzen> tak teď budu Číňan
<Firzen> tak uvidíme :D
Jabber: LuciusMare (zkroucenina) jabbim (tecka) cz

afk_cz

  • Aktivní člen
  • *
  • Příspěvků: 283
Re: utok z venku
« Odpověď #5 kdy: 17 Prosince 2009, 22:59:44 »
protoze jsem mel na serveru hodne sluzeb a nastavovat pro kazdou port forwarding, tak bych nad tim travil mladi. ted jsem to jen narychlo prehodil na jinou IP u desktopu a ejhle .... no az vsecho zreinstalnu, tak nakonfiguruju vsechno trochu jinak ;)
Ubuntu 8.04 - server, Ubuntu 8.10 a 9.04 desktop, Ubuntu 9.04 a 9.10 laptop :) vsude Ubuntu :))

 

Provoz zaštiťuje spolek OpenAlt.