utok z venku

[afk_cz]

zdravim, prave jsem narazil na zajimavou vec. mam na routeru doma (za UPC modemem) DMZ smerovanou na desktop s aktualizovanym ubuntu 9.04. koukal jsem ted z prace pres SSH, jak mi jede rdiff backup z desktopu na NAS - pomoci nethogs na eth0 a najednou vidim, ze mi nekdo skenuje porty na eth0. jelo to port po portu od 60080 dolu. nejdrive z IP 124.172.248.133 (vychodni Cina) a pak z 77.111.88.14 (Madarsko, Budapest). koukam na to a najednou sken prestal a zacinaly se mi sunout data v obou smerech (radove desitky KB). desktop ma vychozi zabezpeceni, s firewallem jsem si nijak dal nehral. komp jsem okamzite shodil, router jsem nepovolil nastavovat na dalku, takze jsem nemohl zmenit smerovani.
otazka zni: muzu nejak zpetne dopatrat, kde se mi kdo hrabal, popripade co kde zmenil ? co doporucujete dal delat ?

diky predem za info

[Frejda62]

zdravim, prave jsem narazil na zajimavou vec. mam na routeru doma (za UPC modemem) DMZ smerovanou na desktop s aktualizovanym ubuntu 9.04. koukal jsem ted z prace pres SSH, jak mi jede rdiff backup z desktopu na NAS - pomoci nethogs na eth0 a najednou vidim, ze mi nekdo skenuje porty na eth0. jelo to port po portu od 60080 dolu. nejdrive z IP 124.172.248.133 (vychodni Cina) a pak z 77.111.88.14 (Madarsko, Budapest). koukam na to a najednou sken prestal a zacinaly se mi sunout data v obou smerech (radove desitky KB). desktop ma vychozi zabezpeceni, s firewallem jsem si nijak dal nehral. komp jsem okamzite shodil, router jsem nepovolil nastavovat na dalku, takze jsem nemohl zmenit smerovani.
otazka zni: muzu nejak zpetne dopatrat, kde se mi kdo hrabal, popripade co kde zmenil ? co doporucujete dal delat ?

diky predem za info

http://www.linuxsoft.cz/sw_detail.php?id_item=4234

[stderr]

Jestli máš veřejnou IP adresu, tak se skenování portů neubráníš. Pokud se o to chceš pokusit, tak pc vypni a odpoj od sítě...
Ty sunoucí se data mohl být např. slovníkový útok na ssh, ftp, kdo-ví-co-tam-běží - těch je na veřejné IP tolik, že pokud Tě překvapilo toto a donutilo vypnout pc, pak bys ze všech upadl (snad jen) do mdlob

Řešením může být třeba: nastavit nějak rozumně firewall; běžící služby, který můžou být zneužitelný nastavit jen pro povolené IP; přihlašování na ssh jen pomocí klíče a pro veřejně dostupný služby použít fail2ban..

Edit: a o úspěšných/neúspěšných přihlášeních by měl něco vědět /var/log/secure (nebo tam někde něco...nevím z hlavy, kde to v ubuntu je)

[afk_cz]

ja mam normalne DMZko smerovany na ubuntu server, ktery ted reinstaluju a presmeroval jsem to vyjimecne na desktop. kazdopadne se pres SSH pripojuju domu casto a tohle jsem jeste nezazil. zkusim prolizt vsechny logy a asi pouziju soft, co mi tu doporucil Frejda62. zmineny psad http://www.cipherdyne.com/psad/ se mi libi.

[LuciusMare]

Jen tak na okraj, muzu se zeptat proc mas nastavene DMZ a nemas jen port forwarding?

[afk_cz]

protoze jsem mel na serveru hodne sluzeb a nastavovat pro kazdou port forwarding, tak bych nad tim travil mladi. ted jsem to jen narychlo prehodil na jinou IP u desktopu a ejhle .... no az vsecho zreinstalnu, tak nakonfiguruju vsechno trochu jinak