Про вирусню и *nix

[Aliech]

Почитал по инету статьи, посидел и подумал, да и решил спросить... К сетям относится лишь косвенно. На тематических форумах спрашивать не хочу - боюсь на слепые опровержения наткнуться.

И так, сабж. Были ли случаи заражения *nix систем у Вас? Фатально ли? Надо ли гродить на серваки и раб. станции антивиры? Или можно растопыривать пальцы и дальше по поводу не реальности этого?

 

ЗЫ: холли вар не интересует. Важен Ваш опыт. Спасибо

Edited May 23, 2009 by Aliech

[zoro]

Вирей небыло, черные ходы были- но это взлом... но это давно было, дыра была в бинде...

[mousus]

из-за криворукости по малознанию можно допустить только заливание руткитов через бэкдор, но при должном уровне безопасности спать можно относительно спокойно, главное изначально безопасную архитертуру построения системы выбрать

[Aliech]

Общее направление мысли ясно. А что относительно рабочий станций на linux, например?

[smg]

Реально работающего (без сборки из исходников, запуском под рутом и плясками с бубном) ничего нет, антивирусы под линукс нужны только для защиты нижестоящих windows-машин.

[random7]

Червь как-то приходил, распространялся через уязвимость в некоей CMS.

То есть работал от пользователя apache, сканировал сеть на предмет других уязвимых машин.

[Aliech]

Хехе, спасибо. Я знал всегда, что все мечтают сделать make вируса для своей машины (=

[mousus]

тем не менее если говорить про рабочие станции на линуксе и иже с ним, то подверженность кросс-платформинным js вирусам ворующим куки из кросс-платформенных браузеров типа оперы и огнелиса всётаки есть, тоже самое относится к уязвимостям в опен офисе, но слава богу, не используется массово

[UglyAdmin]

Я знал всегда, что все мечтают сделать make вируса для своей машин

Практически постоянно идут попытки подсоединения к серверам по ssh.

Как-то на одном свежепоставленном червь даже пролез через стандартный логин/пароль, типа test/qwerty. Скачал себя из инета, собрал (вот не помню, был там GCC установлен или тоже скачал/установил) и занялся размножением дальше.

С другой стороны, у меня дома на винде нет антивируса. Вирусы возникают, если жена случайно спам откроет или на какой красивый баннер ткнёт, т.е. не чаще двух раз в год. Лечу бесплатным сканером, они сейчас вроде у многих производителей есть.

[Мартен]

против ssh-сканеров легко помогает такая конструкция:

-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
-A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

у бота 3 попытки. потом он блокируется на уровне iptables и, если продолжает ломиться, до ssh демона никогда не доберется :)

если же прекратит попытки, то соединение сможет установиться только через минуту. эти цифры легко меняются.

PS

реально, после введения данной меры в логах стало практически пусто на предмет попыток подбора паролей.

Edited May 24, 2009 by Мартен

[Roman Ivanov]

против ssh-сканеров легко помогает такая конструкция:

-A INPUT -i -p tcp --dport 22 -m state --state NEW -m recent --set
-A INPUT -i -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
-A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

у бота 3 попытки. потом он блокируется на уровне iptables и, если продолжает ломиться, до ssh демона никогда не доберется :)

если же прекратит попытки, то соединение сможет установиться только через минуту. эти цифры легко меняются.

PS

реально, после введения данной меры в логах стало практически пусто на предмет попыток подбора паролей.

Это требует conn_track, а от него иногда еще больше гадостей :)

[GateKeeper]

Ужас какой, куча правил с нечитабельным содержимым.

table <banned> persist file "/usr/local/etc/pf.d/banned.tbl"

block quick from <banned>
pass in on $ext_if proto tcp from any to ($ext_if) port ssh keep state ( max-src-conn-rate 3/15, overload <banned> flush global )

И до кучи скриптик, раз в час скидывающий содержимое таблицы <banned> в файл-источник (на случай ребута хоста).

#!/bin/sh
pfctl -t banned -Ts > /usr/local/etc/pf.d/banned.tbl

 

Когда уже иптаблесу приятный дружественный конфиг придумают?

[smg]

Проще повесить ssh на не дефолтный порт.

[Nic]

Мне по осени сломали через дыру в ссх, и даже лимит на 5 коннектов в минуту не спас. Ломали наверное с неделю, пока не попали в нужный адрес. Потом за пол-дня подобрали рутовый пароль брутфорсом, благо проц на серваке мощный :). С тех пор ссх висит на другом порту и так же защищен через иптаблес.

[Мартен]

Ужас какой, куча правил с нечитабельным содержимым.

table <banned> persist file "/usr/local/etc/pf.d/banned.tbl"

block quick from <banned>
pass in on $ext_if proto tcp from any to ($ext_if) port ssh keep state ( max-src-conn-rate 3/15, overload <banned> flush global )

И до кучи скриптик, раз в час скидывающий содержимое таблицы <banned> в файл-источник (на случай ребута хоста).

#!/bin/sh
pfctl -t banned -Ts > /usr/local/etc/pf.d/banned.tbl

 

Когда уже иптаблесу приятный дружественный конфиг придумают?

холиварим? :)

на самом деле мне вот ваш код также кажется нечитаемым. тут кто к чему привык, спорить глупо имхо.

ваша схема требует внешнего скрипта и хранилища, моя нет. вот пожалуй и вся разница.

[bitbucket]

против ssh-сканеров легко помогает такая конструкция:

Против пролома ssh помогает только

-A INPUT -j ACCEPT -p tcp --dpoprt 22 -s своя-админская-сеть

-A INPUT -j DROP -p tcp --dport 22

 

так как если будет известно, что есть открытый 22 порт, тюкать будут с сотни разных адресов.

 

Вообще правильный подход - с внешнего мира пускать по tcp только туда, куда надо (чаще всего 80 и 25 порты), а остальное закрыть фаерволом. Замена порта ssh на другой так же не помогает.

Edited May 24, 2009 by bitbucket

[_dmitr_]

Мне по осени сломали через дыру в ссх, и даже лимит на 5 коннектов в минуту не спас. Ломали наверное с неделю, пока не попали в нужный адрес. Потом за пол-дня подобрали рутовый пароль брутфорсом, благо проц на серваке мощный :). С тех пор ссх висит на другом порту и так же защищен через иптаблес.

вместо:

PermitRootLogin yes

Сделай так:

PermitRootLogin no

 

И пущай заподбираются рутовый пас.

самому же ходить по ssh через другого юзера, злоумышленнику тогда нужно подобрать юзернэйм + пас, нетривиальная задача, однако:)

[bitbucket]

И пущай заподбираются рутовый пас.

самому же ходить по ssh через другого юзера, злоумышленнику тогда нужно подобрать юзернэйм + пас, нетривиальная задача, однако:)

А для переполнения стека и юзер, и пасс особо не нужен.

[GateKeeper]

на самом деле мне вот ваш код также кажется нечитаемым. тут кто к чему привык, спорить глупо имхо.

ваша схема требует внешнего скрипта и хранилища, моя нет. вот пожалуй и вся разница.

Скрипт /etc/init.d/iptables видели? Оно делает сохранение правил файрвола (по сути то же самое, что мой скриптик). Более того, мой скриптик жизненно необходимым не является, читайте внимательнее, он лишь помогает реализовать схему "ошибиться можно только один раз в жизни", рестарт хоста (даже через дыру) открыть ссх на еще одну попытку не поможет. Без скрипта - да, после ребута таблица <banned> будет пустая. И файл этот, который получен, можно реплицировать без изменений и дополнительного парсинга на все файрволы, куда только заблагорассудится. Можно даже на cvs загонять, где держать централизованную базу пи**расов. А иптаблес на каждой машине настраивать отдельно придётся, поскольку /etc/sysconfig/iptables от одной машины не всегда подойдёт для другой (например, сервисы разные на машинах крутятся).

[boykov]

Ломают периодически. один раз успешно -- apache+php дырка. ssh постоянно стучат, но у нас пароли не менее 10 знаков везде, вроде не прорывались.

 

лет 5 назад проломили slackware 7. Как -- до сих пор не в курсе. С тех пор на FreeBSD.

[Aliech]

Ну со шлакой понятно - собрал не так = сам виноват. А вобще, я так вижу, вся беда от дырок... Голое ядро не выносили? Или всё под апдейтами?

[Ivan_83]

Давно читал в новостях что есть какойто вирус и под винду и под линух.

 

На домашнем фаере с бсд хочу сделать домашний хостинг. Уже php и mysql в chroot загнал (разные chroot), думаю теперь какие права раздать на файлы в ввв папке.

Планирую чтонибуть с форумов и какойнибуть блог.

 

Ещё читал что протроянивают, когда могут, системные библиотеки, так что потом фик найдёшь.

Походу только к чистой машине цеплять и копировать поверх чистые файлы или вообще переставлять.

 

 

А вообще, у меня юзеры без прав и под виндой особо ничего не цепляют, ибо не могут.

[Мартен]

Ещё читал что протроянивают, когда могут, системные библиотеки, так что потом фик найдёшь.

Походу только к чистой машине цеплять и копировать поверх чистые файлы или вообще переставлять.

в линуксе rpm {-V|--verify} проверит md5 суммы файлов, установленных из пакета. для бинарников и библиотек они, естественно, меняться не должны. если изменены, то достаточно переустановить только 1 конкретный пакет. debsums - аналог в дебиане.

хотя думаю, что если вас похакали, то лучше ставить систему с нуля, т.к. нет гарантии, что вы все последствия найдете и устраните и нигде дырочки не останется :)

 

[edo]

помнится и меня хакали ;)

пользователь сделал себе пароль равным логину, уволился, я про это дело благополуно забыл.

боты подобрали логин-пароль, поставили какую-то бяку, но что-то там не запустилось у них (давно уже было, не помню деталей).

в принципе local root exploit для стоявшей тогда версии ядра был - "никогда ещё Штрилиц не был так близок к провалу", чуть более аккуратно написанный бот завершил бы начатое (не говоря уже о человеке).

[ilia_2s]

все пороли 3 уровень сложности, раскручены скрипты blocksshd - 4 неверные попытки ip в бан навечно, рутовый логин запрещен! логи практически чистые, успешных хаков никогда не было. Раньше по неопытности сам запускал опасные скрипты, но они просили рута )