Aliech Опубликовано 23 мая, 2009 (изменено) · Жалоба Почитал по инету статьи, посидел и подумал, да и решил спросить... К сетям относится лишь косвенно. На тематических форумах спрашивать не хочу - боюсь на слепые опровержения наткнуться. И так, сабж. Были ли случаи заражения *nix систем у Вас? Фатально ли? Надо ли гродить на серваки и раб. станции антивиры? Или можно растопыривать пальцы и дальше по поводу не реальности этого? ЗЫ: холли вар не интересует. Важен Ваш опыт. Спасибо Изменено 23 мая, 2009 пользователем Aliech Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 23 мая, 2009 · Жалоба Вирей небыло, черные ходы были- но это взлом... но это давно было, дыра была в бинде... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mousus Опубликовано 23 мая, 2009 · Жалоба из-за криворукости по малознанию можно допустить только заливание руткитов через бэкдор, но при должном уровне безопасности спать можно относительно спокойно, главное изначально безопасную архитертуру построения системы выбрать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aliech Опубликовано 23 мая, 2009 · Жалоба Общее направление мысли ясно. А что относительно рабочий станций на linux, например? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smg Опубликовано 23 мая, 2009 · Жалоба Реально работающего (без сборки из исходников, запуском под рутом и плясками с бубном) ничего нет, антивирусы под линукс нужны только для защиты нижестоящих windows-машин. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
random7 Опубликовано 23 мая, 2009 · Жалоба Червь как-то приходил, распространялся через уязвимость в некоей CMS. То есть работал от пользователя apache, сканировал сеть на предмет других уязвимых машин. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aliech Опубликовано 23 мая, 2009 · Жалоба Хехе, спасибо. Я знал всегда, что все мечтают сделать make вируса для своей машины (= Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mousus Опубликовано 23 мая, 2009 · Жалоба тем не менее если говорить про рабочие станции на линуксе и иже с ним, то подверженность кросс-платформинным js вирусам ворующим куки из кросс-платформенных браузеров типа оперы и огнелиса всётаки есть, тоже самое относится к уязвимостям в опен офисе, но слава богу, не используется массово Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 24 мая, 2009 · Жалоба Я знал всегда, что все мечтают сделать make вируса для своей машинПрактически постоянно идут попытки подсоединения к серверам по ssh.Как-то на одном свежепоставленном червь даже пролез через стандартный логин/пароль, типа test/qwerty. Скачал себя из инета, собрал (вот не помню, был там GCC установлен или тоже скачал/установил) и занялся размножением дальше. С другой стороны, у меня дома на винде нет антивируса. Вирусы возникают, если жена случайно спам откроет или на какой красивый баннер ткнёт, т.е. не чаще двух раз в год. Лечу бесплатным сканером, они сейчас вроде у многих производителей есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартен Опубликовано 24 мая, 2009 (изменено) · Жалоба против ssh-сканеров легко помогает такая конструкция: -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT у бота 3 попытки. потом он блокируется на уровне iptables и, если продолжает ломиться, до ssh демона никогда не доберется :) если же прекратит попытки, то соединение сможет установиться только через минуту. эти цифры легко меняются. PS реально, после введения данной меры в логах стало практически пусто на предмет попыток подбора паролей. Изменено 24 мая, 2009 пользователем Мартен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 24 мая, 2009 · Жалоба против ssh-сканеров легко помогает такая конструкция: -A INPUT -i -p tcp --dport 22 -m state --state NEW -m recent --set -A INPUT -i -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT у бота 3 попытки. потом он блокируется на уровне iptables и, если продолжает ломиться, до ssh демона никогда не доберется :) если же прекратит попытки, то соединение сможет установиться только через минуту. эти цифры легко меняются. PS реально, после введения данной меры в логах стало практически пусто на предмет попыток подбора паролей. Это требует conn_track, а от него иногда еще больше гадостей :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 24 мая, 2009 · Жалоба Ужас какой, куча правил с нечитабельным содержимым. table <banned> persist file "/usr/local/etc/pf.d/banned.tbl" block quick from <banned> pass in on $ext_if proto tcp from any to ($ext_if) port ssh keep state ( max-src-conn-rate 3/15, overload <banned> flush global ) И до кучи скриптик, раз в час скидывающий содержимое таблицы <banned> в файл-источник (на случай ребута хоста). #!/bin/sh pfctl -t banned -Ts > /usr/local/etc/pf.d/banned.tbl Когда уже иптаблесу приятный дружественный конфиг придумают? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smg Опубликовано 24 мая, 2009 · Жалоба Проще повесить ssh на не дефолтный порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nic Опубликовано 24 мая, 2009 · Жалоба Мне по осени сломали через дыру в ссх, и даже лимит на 5 коннектов в минуту не спас. Ломали наверное с неделю, пока не попали в нужный адрес. Потом за пол-дня подобрали рутовый пароль брутфорсом, благо проц на серваке мощный :). С тех пор ссх висит на другом порту и так же защищен через иптаблес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартен Опубликовано 24 мая, 2009 · Жалоба Ужас какой, куча правил с нечитабельным содержимым. table <banned> persist file "/usr/local/etc/pf.d/banned.tbl" block quick from <banned> pass in on $ext_if proto tcp from any to ($ext_if) port ssh keep state ( max-src-conn-rate 3/15, overload <banned> flush global ) И до кучи скриптик, раз в час скидывающий содержимое таблицы <banned> в файл-источник (на случай ребута хоста). #!/bin/sh pfctl -t banned -Ts > /usr/local/etc/pf.d/banned.tbl Когда уже иптаблесу приятный дружественный конфиг придумают? холиварим? :)на самом деле мне вот ваш код также кажется нечитаемым. тут кто к чему привык, спорить глупо имхо. ваша схема требует внешнего скрипта и хранилища, моя нет. вот пожалуй и вся разница. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 24 мая, 2009 (изменено) · Жалоба против ssh-сканеров легко помогает такая конструкция:Против пролома ssh помогает только-A INPUT -j ACCEPT -p tcp --dpoprt 22 -s своя-админская-сеть -A INPUT -j DROP -p tcp --dport 22 так как если будет известно, что есть открытый 22 порт, тюкать будут с сотни разных адресов. Вообще правильный подход - с внешнего мира пускать по tcp только туда, куда надо (чаще всего 80 и 25 порты), а остальное закрыть фаерволом. Замена порта ssh на другой так же не помогает. Изменено 24 мая, 2009 пользователем bitbucket Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_dmitr_ Опубликовано 24 мая, 2009 · Жалоба Мне по осени сломали через дыру в ссх, и даже лимит на 5 коннектов в минуту не спас. Ломали наверное с неделю, пока не попали в нужный адрес. Потом за пол-дня подобрали рутовый пароль брутфорсом, благо проц на серваке мощный :). С тех пор ссх висит на другом порту и так же защищен через иптаблес.вместо:PermitRootLogin yes Сделай так: PermitRootLogin no И пущай заподбираются рутовый пас. самому же ходить по ssh через другого юзера, злоумышленнику тогда нужно подобрать юзернэйм + пас, нетривиальная задача, однако:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 24 мая, 2009 · Жалоба И пущай заподбираются рутовый пас.самому же ходить по ssh через другого юзера, злоумышленнику тогда нужно подобрать юзернэйм + пас, нетривиальная задача, однако:) А для переполнения стека и юзер, и пасс особо не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 24 мая, 2009 · Жалоба на самом деле мне вот ваш код также кажется нечитаемым. тут кто к чему привык, спорить глупо имхо.ваша схема требует внешнего скрипта и хранилища, моя нет. вот пожалуй и вся разница. Скрипт /etc/init.d/iptables видели? Оно делает сохранение правил файрвола (по сути то же самое, что мой скриптик). Более того, мой скриптик жизненно необходимым не является, читайте внимательнее, он лишь помогает реализовать схему "ошибиться можно только один раз в жизни", рестарт хоста (даже через дыру) открыть ссх на еще одну попытку не поможет. Без скрипта - да, после ребута таблица <banned> будет пустая. И файл этот, который получен, можно реплицировать без изменений и дополнительного парсинга на все файрволы, куда только заблагорассудится. Можно даже на cvs загонять, где держать централизованную базу пи**расов. А иптаблес на каждой машине настраивать отдельно придётся, поскольку /etc/sysconfig/iptables от одной машины не всегда подойдёт для другой (например, сервисы разные на машинах крутятся). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boykov Опубликовано 25 мая, 2009 · Жалоба Ломают периодически. один раз успешно -- apache+php дырка. ssh постоянно стучат, но у нас пароли не менее 10 знаков везде, вроде не прорывались. лет 5 назад проломили slackware 7. Как -- до сих пор не в курсе. С тех пор на FreeBSD. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aliech Опубликовано 25 мая, 2009 · Жалоба Ну со шлакой понятно - собрал не так = сам виноват. А вобще, я так вижу, вся беда от дырок... Голое ядро не выносили? Или всё под апдейтами? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 25 мая, 2009 · Жалоба Давно читал в новостях что есть какойто вирус и под винду и под линух. На домашнем фаере с бсд хочу сделать домашний хостинг. Уже php и mysql в chroot загнал (разные chroot), думаю теперь какие права раздать на файлы в ввв папке. Планирую чтонибуть с форумов и какойнибуть блог. Ещё читал что протроянивают, когда могут, системные библиотеки, так что потом фик найдёшь. Походу только к чистой машине цеплять и копировать поверх чистые файлы или вообще переставлять. А вообще, у меня юзеры без прав и под виндой особо ничего не цепляют, ибо не могут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартен Опубликовано 25 мая, 2009 · Жалоба Ещё читал что протроянивают, когда могут, системные библиотеки, так что потом фик найдёшь.Походу только к чистой машине цеплять и копировать поверх чистые файлы или вообще переставлять. в линуксе rpm {-V|--verify} проверит md5 суммы файлов, установленных из пакета. для бинарников и библиотек они, естественно, меняться не должны. если изменены, то достаточно переустановить только 1 конкретный пакет. debsums - аналог в дебиане. хотя думаю, что если вас похакали, то лучше ставить систему с нуля, т.к. нет гарантии, что вы все последствия найдете и устраните и нигде дырочки не останется :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 25 мая, 2009 · Жалоба помнится и меня хакали ;) пользователь сделал себе пароль равным логину, уволился, я про это дело благополуно забыл. боты подобрали логин-пароль, поставили какую-то бяку, но что-то там не запустилось у них (давно уже было, не помню деталей). в принципе local root exploit для стоявшей тогда версии ядра был - "никогда ещё Штрилиц не был так близок к провалу", чуть более аккуратно написанный бот завершил бы начатое (не говоря уже о человеке). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 25 мая, 2009 · Жалоба все пороли 3 уровень сложности, раскручены скрипты blocksshd - 4 неверные попытки ip в бан навечно, рутовый логин запрещен! логи практически чистые, успешных хаков никогда не было. Раньше по неопытности сам запускал опасные скрипты, но они просили рута ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...