Автор Гілка: Мене, схоже, атакували  (Прочитано 9637 раз)

Відсутній Андрій Головинський

  • Кореспондент
  • ***
  • дописів: 141
  • Карма: +0/-0
Мене, схоже, атакували
« : 2004-06-28 21:09:54 »
У мене дома Slackware. Якось на днях я залишив її на ніч в неті покачати музику. Коли вранці прокинувся, побачив таке:
іде якийсь дивний траффік через модем. При цьому я нічого не качаю.
Потім подивився статистику по з'єднанню: від десятка машин з мережі ідуть пакети до мене і від мене. Їх дуже багато, вони маленького розміру.

І так мене бомбили, схоже, всю ніч ( бо практично нічого не скачалося)

Потім я виліз-заліз в інет, все продовжилося ( мабуть попав на той самий ІР)

Заліз до іншого провайдера - припинилося.

З приводу цього у мене виникло кілька питань:
  Панове, що то було?
  Які мають бути мої дії в подібній ситуації?
  Як, взагалі, визначити, що в мою систему залізли?

Дуже дякую тому, хто підкаже мені.
Never argue with idiots. They just drag you down to their level, and then beat you with experience

dusoft

  • Гість
Re: Мене, схоже, атакували
« Відповідей #1 : 2004-06-29 01:19:41 »
А як ви качали музику? може через aMule, та просто не знаєте принципу функціонування цієї мережі?

Відсутній Андрій Головинський

  • Кореспондент
  • ***
  • дописів: 141
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #2 : 2004-06-29 08:55:57 »
Та ні. Якщо підняв сам із сирців DNS, Sendmail, Apache, Mysql, Squid, pqsql ( не кажу що то важко все, просто для прикладу) то вже про peer-to-peer системи якесь враження мати маю. Принаймі знав би, чим користуюся.

Ні. Я качав з ftp-ніка.
Never argue with idiots. They just drag you down to their level, and then beat you with experience

Відсутній Дмитро Ковальов

  • Кореспондент
  • ***
  • дописів: 236
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #3 : 2004-06-29 12:33:18 »
На яких портах ідуть пакети? І які взагалі порти відкриті у машини?

Відсутній Андрій Головинський

  • Кореспондент
  • ***
  • дописів: 141
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #4 : 2004-06-29 14:46:44 »
Я тоді спросоння якось не здогадався записати, які порти. Щось на зразок 38** .

Чи можна зараз десь у логах знайти їх?

А щодо того, які відкриті, то їх таки багато ( див. раніше, що навішано на систему ). Я питанням безпеки раніше не займався.

Може подумали, що то якась серйозна машина і вирішили її зламати ?

До речі, знайшов у провайдера баг: не вимикається зв'язок вранці, коли тарифний час закінчується. Оце думаю, чи повідомляти?  ;D ;D ;D ;D ;D ;D
Never argue with idiots. They just drag you down to their level, and then beat you with experience

Відсутній Yaroslav Fedevych

  • Літератор
  • ******
  • дописів: 1069
  • Карма: +0/-0
  • Людина — ніщо, справа — все
Re: Мене, схоже, атакували
« Відповідей #5 : 2004-06-29 15:01:16 »
А то як подивитись. Може, ще проситимете в мене, щоб я топік прибрав :)

Відсутній Андрій Головинський

  • Кореспондент
  • ***
  • дописів: 141
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #6 : 2004-06-29 21:13:59 »
То нехай лізуть. Всеодно веселіше, аніж із тарганами воювати. Треба підвищувати свою кваліфікацію.

Де б взяти щось на зразок "Курсу молодого бійця"? :)
Never argue with idiots. They just drag you down to their level, and then beat you with experience

Відсутній Yevgen

  • Графоман
  • ****
  • дописів: 278
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #7 : 2004-06-29 21:52:25 »
приєднуюсь до пропозиції. було б дуже класно якби хтось розповів доступно про безпеку в лінуксі. мене особливо цікавить захист під час роботи в мережі та віруси - вони ж є, хоч і небагато. а купувати здоровенний талмуд про безпеку юніксів так не хочеться..

Відсутній Misha

  • Кореспондент
  • ***
  • дописів: 191
  • Карма: +0/-0
  • Насправді все не так, як у реальності
Re: Мене, схоже, атакували
« Відповідей #8 : 2004-06-29 23:42:23 »
До речі, знайшов у провайдера баг: не вимикається зв'язок вранці, коли тарифний час закінчується. Оце думаю, чи повідомляти?  ;D ;D ;D ;D ;D ;D
А провайдер часом не Relcom? Тоді це не баг, це фіча :o (вони мені так сказали).

dusoft

  • Гість
Re: Мене, схоже, атакували
« Відповідей #9 : 2004-06-30 01:18:44 »
38.. том може бути squid... А навіщо вам усе те? Це домашній комп'ютер? Доречі "pqsql" - ви мабуть хотіли сказати pgsql?

Відсутній Андрій Головинський

  • Кореспондент
  • ***
  • дописів: 141
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #10 : 2004-06-30 01:25:04 »
Так історично склалося.
Apache треба був, коли хтось замовив якийсь сайт ( я не дизайнер, щось стулив простеньке, своє отримав, а сервер залишився)
DNS знадобився, коли налаштовував dial-in товаришам до моєї домашньої мережі, інакше кожному в вінді треба було прописувати імена хостів, а так - динамічний DNS, як у провайдерів.
Sendmail - то коли захотілося відсилати файли якого хочу розміру. Зробив власний мейл сервер, який маскується під ukr.net, бо не всі сервери хочуть приймати від myhome.kiev.ua.
Postfix простіший, але не такий гнучкий і не дозволяє маскуватися. Може можна було б і простіше якось, але воно і так добре працює.
Mysql, pgsql - вибирав, яка більш мені підходить, ознайомлювався. Залишив mysql.
Samba - то для другої машини з вінузом.

Може ще щось стоїть, що не згадав.

А ще все те стоїть, бо я вважаю, що добре можна розібратись в системі, лише скрутивши її з нуля. Хоча б один раз. Без усіляких конфігураційних утіліт. Просто руками.
Хоча, з рештою, кожному своє. Це просто моя особиста думка.
Never argue with idiots. They just drag you down to their level, and then beat you with experience

Відсутній Дмитро Ковальов

  • Кореспондент
  • ***
  • дописів: 236
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #11 : 2004-06-30 05:58:37 »
То нехай лізуть. Всеодно веселіше, аніж із тарганами воювати.
Ситуація не така весела, насправді.

Загалом вже закінчились ті часи (а скоріше їх ніколи й не було), коли романтизовані хакери лізли на машини банків і Пентагону, щоб поганяти кваку на супер-комп'ютері.

Ніхто не ламає машини зараз (або відсоток таких цілеспрямованих "мєдвєжатників" надзвичайно малий) бо машина "цінна". ScriptKiddies просто сканують все підряд, знаходять дірки і встановлюються на машини. І проблема тут не в тому, що Ваша машина зломана, а в тому, що Ваша машина буде використана як полігон для атак на інших. Тижневої давності "завал" такого величезного сервісу, як Акамаї був би неможливий без розподіленої в просторі мережі машин. І вважається, що саме зламані машини, типу Вашої послужили базою для атаки. Якщо Ви коректо не сконфігурували relaying  в сендмейлі, скоріше всього Ваша машина розсилає цілі вагони спаму по всьому світу, аж поки не попаде в якийсь black-list.

Загалом -- назовню відкриті порти і порти відриті всередину: це "двє большиє разніци".

А "Курс молодого бійця" безперечно треба буде написати. Для початку я можу порадити хоча-б встановити /etc/hosts.deny і /etc/hosts.allow. В першому просто треба поставити ALL: ALL, а в другому відкрити тільки ті порти для тільки тих, хостів і інтерфейсів, яким це справді потрібно.

Дещо про встановлення досить примітивного брандмауера описано у мене в "Мережі для малого офісу..." http://yarylo.sytes.net/dmytro/soho/SOHO-setup.pdf

І на закінчення: якщо Вашу машину дійсно позбавили цнотливості, то іншого шляху позбавитись від зарази крім перевстановлення системи немає.  Ви не зможете напевне сказати, що в Вашій системі змінилося. Якщо це справді реальний ScriptKiddie, то Ви не побачите нічого ненормального ні через netstat, ні через ps, ні в /proc.

Відсутній Андрій Головинський

  • Кореспондент
  • ***
  • дописів: 141
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #12 : 2004-06-30 13:45:25 »
To Дмитро Ковальов

Дуже дякую за пораду. Deny ALL:ALL - то сила!
Сиджу як у танку!

Визнаю, не усвідомлював корисності тих файлів.

І стаття дуже цікава.

Шкода, що більшість користувачів не усвідомлює вразливості їхніх систем.
І як просто розказуєш, то не діє.
Допомагає тільки, коли при них залазиш на машинку якоїсь фірмочки і форматуєш там дискетку, чи іншу якусь дрібницю.

І перебільшують можливості антивірусів. Свіжонаписаний троян не визначається AVP і елементарно вживлюється через netBIOS.

Провайдери, звичайно, не зацікавлені в тому, користувачі були в курсі. У І-нета має бути лише позитивний образ. А віруси, трояни - то у когось, десь далеко, хто не поновлює бази AVP.

Але у мене є підозра, що в обов'язки провайдера входить і захист своїх клієнтів. Чомусь часто вони це не роблять. Хоча у них є апаратна і програмна бази для цього.

Ну, то була лірика. Нехай як знають. Всім всерівно не розтлумачиш. Ще раз дякую за пораду.
Never argue with idiots. They just drag you down to their level, and then beat you with experience

Відсутній Yaroslav Fedevych

  • Літератор
  • ******
  • дописів: 1069
  • Карма: +0/-0
  • Людина — ніщо, справа — все
Re: Мене, схоже, атакували
« Відповідей #13 : 2004-06-30 14:04:05 »
Ну... Захист з боку провайдера -- палиця з двома кінцями. Інфоком вважає, що захищатись чи ні -- особиста справа кожного. І добре робить (мені один раз треба було, щоб апач повисів нічку з-під діалапа, то було супер). Фарлеп робить маскарадинг, і так запросто до нього не доберешся -- навіть коли без злого задуму й дуже потрібно. Виходить, "захист користувача від самого користувача"...

Але це мене теж на філософію пробило...

Відсутній Yevgen

  • Графоман
  • ****
  • дописів: 278
  • Карма: +0/-0
/etc/hosts.deny
« Відповідей #14 : 2004-06-30 23:49:23 »
а як можна перевірити ефективність використання файлу
/etc/hosts.deny ? попросити знайомого хакера вломитись у комп? :))
якось занадто просто виходить.. :)