Мене, схоже, атакували

[Андрій Головинський]

У мене дома Slackware. Якось на днях я залишив її на ніч в неті покачати музику. Коли вранці прокинувся, побачив таке:
іде якийсь дивний траффік через модем. При цьому я нічого не качаю.
Потім подивився статистику по з'єднанню: від десятка машин з мережі ідуть пакети до мене і від мене. Їх дуже багато, вони маленького розміру.

І так мене бомбили, схоже, всю ніч ( бо практично нічого не скачалося)

Потім я виліз-заліз в інет, все продовжилося ( мабуть попав на той самий ІР)

Заліз до іншого провайдера - припинилося.

З приводу цього у мене виникло кілька питань:
  Панове, що то було?
  Які мають бути мої дії в подібній ситуації?
  Як, взагалі, визначити, що в мою систему залізли?

Дуже дякую тому, хто підкаже мені.

[dusoft]

А як ви качали музику? може через aMule, та просто не знаєте принципу функціонування цієї мережі?

[Андрій Головинський]

Та ні. Якщо підняв сам із сирців DNS, Sendmail, Apache, Mysql, Squid, pqsql ( не кажу що то важко все, просто для прикладу) то вже про peer-to-peer системи якесь враження мати маю. Принаймі знав би, чим користуюся.

Ні. Я качав з ftp-ніка.

[Дмитро Ковальов]

На яких портах ідуть пакети? І які взагалі порти відкриті у машини?

[Андрій Головинський]

Я тоді спросоння якось не здогадався записати, які порти. Щось на зразок 38** .

Чи можна зараз десь у логах знайти їх?

А щодо того, які відкриті, то їх таки багато ( див. раніше, що навішано на систему ). Я питанням безпеки раніше не займався.

Може подумали, що то якась серйозна машина і вирішили її зламати ?

До речі, знайшов у провайдера баг: не вимикається зв'язок вранці, коли тарифний час закінчується. Оце думаю, чи повідомляти?  

[Yaroslav Fedevych]

А то як подивитись. Може, ще проситимете в мене, щоб я топік прибрав

[Андрій Головинський]

То нехай лізуть. Всеодно веселіше, аніж із тарганами воювати. Треба підвищувати свою кваліфікацію.

Де б взяти щось на зразок "Курсу молодого бійця"?

[Yevgen]

приєднуюсь до пропозиції. було б дуже класно якби хтось розповів доступно про безпеку в лінуксі. мене особливо цікавить захист під час роботи в мережі та віруси - вони ж є, хоч і небагато. а купувати здоровенний талмуд про безпеку юніксів так не хочеться..

[Misha]

До речі, знайшов у провайдера баг: не вимикається зв'язок вранці, коли тарифний час закінчується. Оце думаю, чи повідомляти?  

А провайдер часом не Relcom? Тоді це не баг, це фіча (вони мені так сказали).

[dusoft]

38.. том може бути squid... А навіщо вам усе те? Це домашній комп'ютер? Доречі "pqsql" - ви мабуть хотіли сказати pgsql?

[Андрій Головинський]

Так історично склалося.
Apache треба був, коли хтось замовив якийсь сайт ( я не дизайнер, щось стулив простеньке, своє отримав, а сервер залишився)
DNS знадобився, коли налаштовував dial-in товаришам до моєї домашньої мережі, інакше кожному в вінді треба було прописувати імена хостів, а так - динамічний DNS, як у провайдерів.
Sendmail - то коли захотілося відсилати файли якого хочу розміру. Зробив власний мейл сервер, який маскується під ukr.net, бо не всі сервери хочуть приймати від myhome.kiev.ua.
Postfix простіший, але не такий гнучкий і не дозволяє маскуватися. Може можна було б і простіше якось, але воно і так добре працює.
Mysql, pgsql - вибирав, яка більш мені підходить, ознайомлювався. Залишив mysql.
Samba - то для другої машини з вінузом.

Може ще щось стоїть, що не згадав.

А ще все те стоїть, бо я вважаю, що добре можна розібратись в системі, лише скрутивши її з нуля. Хоча б один раз. Без усіляких конфігураційних утіліт. Просто руками.
Хоча, з рештою, кожному своє. Це просто моя особиста думка.

[Дмитро Ковальов]

То нехай лізуть. Всеодно веселіше, аніж із тарганами воювати.

Ситуація не така весела, насправді.

Загалом вже закінчились ті часи (а скоріше їх ніколи й не було), коли романтизовані хакери лізли на машини банків і Пентагону, щоб поганяти кваку на супер-комп'ютері.

Ніхто не ламає машини зараз (або відсоток таких цілеспрямованих "мєдвєжатників" надзвичайно малий) бо машина "цінна". ScriptKiddies просто сканують все підряд, знаходять дірки і встановлюються на машини. І проблема тут не в тому, що Ваша машина зломана, а в тому, що Ваша машина буде використана як полігон для атак на інших. Тижневої давності "завал" такого величезного сервісу, як Акамаї був би неможливий без розподіленої в просторі мережі машин. І вважається, що саме зламані машини, типу Вашої послужили базою для атаки. Якщо Ви коректо не сконфігурували relaying  в сендмейлі, скоріше всього Ваша машина розсилає цілі вагони спаму по всьому світу, аж поки не попаде в якийсь black-list.

Загалом -- назовню відкриті порти і порти відриті всередину: це "двє большиє разніци".

А "Курс молодого бійця" безперечно треба буде написати. Для початку я можу порадити хоча-б встановити /etc/hosts.deny і /etc/hosts.allow. В першому просто треба поставити ALL: ALL, а в другому відкрити тільки ті порти для тільки тих, хостів і інтерфейсів, яким це справді потрібно.

Дещо про встановлення досить примітивного брандмауера описано у мене в "Мережі для малого офісу..." http://yarylo.sytes.net/dmytro/soho/SOHO-setup.pdf

І на закінчення: якщо Вашу машину дійсно позбавили цнотливості, то іншого шляху позбавитись від зарази крім перевстановлення системи немає.  Ви не зможете напевне сказати, що в Вашій системі змінилося. Якщо це справді реальний ScriptKiddie, то Ви не побачите нічого ненормального ні через netstat, ні через ps, ні в /proc.

[Андрій Головинський]

To Дмитро Ковальов

Дуже дякую за пораду. Deny ALL:ALL - то сила!
Сиджу як у танку!

Визнаю, не усвідомлював корисності тих файлів.

І стаття дуже цікава.

Шкода, що більшість користувачів не усвідомлює вразливості їхніх систем.
І як просто розказуєш, то не діє.
Допомагає тільки, коли при них залазиш на машинку якоїсь фірмочки і форматуєш там дискетку, чи іншу якусь дрібницю.

І перебільшують можливості антивірусів. Свіжонаписаний троян не визначається AVP і елементарно вживлюється через netBIOS.

Провайдери, звичайно, не зацікавлені в тому, користувачі були в курсі. У І-нета має бути лише позитивний образ. А віруси, трояни - то у когось, десь далеко, хто не поновлює бази AVP.

Але у мене є підозра, що в обов'язки провайдера входить і захист своїх клієнтів. Чомусь часто вони це не роблять. Хоча у них є апаратна і програмна бази для цього.

Ну, то була лірика. Нехай як знають. Всім всерівно не розтлумачиш. Ще раз дякую за пораду.

[Yaroslav Fedevych]

Ну... Захист з боку провайдера -- палиця з двома кінцями. Інфоком вважає, що захищатись чи ні -- особиста справа кожного. І добре робить (мені один раз треба було, щоб апач повисів нічку з-під діалапа, то було супер). Фарлеп робить маскарадинг, і так запросто до нього не доберешся -- навіть коли без злого задуму й дуже потрібно. Виходить, "захист користувача від самого користувача"...

Але це мене теж на філософію пробило...

[Yevgen]

а як можна перевірити ефективність використання файлу
/etc/hosts.deny ? попросити знайомого хакера вломитись у комп? )
якось занадто просто виходить..