Автор Гілка: Мене, схоже, атакували  (Прочитано 9636 раз)

Відсутній Андрій Головинський

  • Кореспондент
  • ***
  • дописів: 141
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #15 : 2004-07-01 01:26:58 »
Можна просканувати комп з іншої машини. Видно відкриті порти, але приєднатись до них не можна. То, в принипі все. Влізти не можна.

Хоча, є такий тип атаки IP Spoofing, проти якої принцип довірених хостів не працює. В ТСР пакеті ІР адреса замінюється на адресу довіреного хосту. Атака технічно складна, але можлива. Для захисту від неї потрібна фільтрація пакетів.

Хоча, думаю, якщо в hosts.allow залишити лише localhost, то можна почуватись, як Ленін в бронепоїзді.

Ззовні нас не дістануть.
Never argue with idiots. They just drag you down to their level, and then beat you with experience

Відсутній Дмитро Ковальов

  • Кореспондент
  • ***
  • дописів: 236
  • Карма: +0/-0
Re: /etc/hosts.deny
« Відповідей #16 : 2004-07-01 05:28:13 »
а як можна перевірити ефективність використання файлу /etc/hosts.deny ?

Якщо немає нікого, хто може ззовні запустити на Вашу машину nmap, можна скористуватись веб-сканером http://security.symantec.com. Він загалом показував мені ті, ж самі результати, що й nmap, але дуже багато треба клацати, поки доберешся до результату і побачиш справжні номери портів. Найкращий результат, коли Симантек показує порт в стані "stealth".

Занадто покладатися на tcp_wrappers (aka hosts.deny, hosts.allow) теж не потрібно. Наприклад, той же ssh може бути скомпільованим без підтримки tcp_wrappers. Звичайно-ж, нормальні люди завжди компілюють з їх підтримкою, але сам факт, що можна зробити й без них (тобто забути сказати --with-tcpwrappers для ./configure) говорить сам за себе. Тобто, краще все-таки розібратися хоча б з мінімальним брандмауером.

Ніколи не можна бути *занадто* обережним.

Відсутній Dmytro Yurchenko

  • Новачок
  • *
  • дописів: 9
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #17 : 2004-07-01 09:47:06 »
Хотілося ще б добавити, що для користучачів, що підключені до Інтернет не по діал-ап, відкриті порти провокують недобрих людей до ініціювання багатьох спроб підключення до сервісу, що призводить іноді до чималого трафіку. Так що бренд-мауер - це неминуча річь для забеспечння хоч якогось захисту, і такі засоби *inetd як hosts.* у більшості випадках недостатні.
The key of joy is... disobedience.

Відсутній Андрій Головинський

  • Кореспондент
  • ***
  • дописів: 141
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #18 : 2004-07-01 10:07:54 »
Той сканер не схотів сканувати мою машинку. Сказав таке:
Error 001

Security Scan and Virus Detection do not work with your operating system. To run Security Scan and Virus Detection, you must be using Windows 98/ME, NT 4.0 Workstation/2000 Pro/XP, or Mac OS 8.1 or higher.

Ну, може й правильно... У них дірок більше, їм потрібніше.
Never argue with idiots. They just drag you down to their level, and then beat you with experience

Відсутній Дмитро Ковальов

  • Кореспондент
  • ***
  • дописів: 236
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #19 : 2004-07-01 12:01:24 »
Так, дійсно я запускав з Мака. Але це не залежить від того, скільки дірок в системі, бо в  мене назовню стоїть дебіан. Скоріше всього треба попробувати обдурити, що в Вас Експлодер.

Хоча щоб захистити любиму систему - в Маку дірок не більше, ніж в Лінаксі. А стандартна поставка МакОСХ значно краще захищена, ніж той же редхет. Що стосується МакОС до 10ї системи, то загально визнано, що самим безпечним веб-сервером за всю історію був (здається така його була назва) МакВеб. Вломатися в нього було неможливо. Але  було це правда давно.
« Змінено: 2004-07-01 12:05:48 від dmytro »

Відсутній Yaroslav Fedevych

  • Літератор
  • ******
  • дописів: 1069
  • Карма: +0/-0
  • Людина — ніщо, справа — все
Re: Мене, схоже, атакували
« Відповідей #20 : 2004-07-01 12:10:11 »
Цитата
Вломатися в нього було неможливо.

Слово "було" має неминучу тенденцію вставлятись у такого типу речення... Ніколи не слід недооцінювати противника. А втім, завелика паранойя, коли користувач ще й не зна, від чого захищатись, здатна пошкодити більше, ніж допомогти.

Відсутній Yevgen

  • Графоман
  • ****
  • дописів: 278
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #21 : 2004-07-01 13:07:57 »
Той сканер не схотів сканувати мою машинку. Сказав таке:
Error 001

а я все ж просканив. можна нортона надурити - запускаєш konqueror і в меню кажеш йому, аби він ідентифікувався як експлодер, який працює під віндою.
отож в мене результат - "Security Status: Safe! You are protected against most common security threats."
приблизно половину портів показало як закриті, половина - стелс.

один правда був відкритий -
"ICMP Ping
Ping. Ping is a network troubleshooting utility. It asks your computer to acknowledge its existence. If your computer responds positively to a ping, hackers are more likely to target your computer."

розкажіть хто-небудь - я в цих питаннях повний чайник - чи потрібно якось прикрити і цей порт також?

каже ж  бо що хакери будуть атакувати :)
« Змінено: 2004-07-01 13:09:24 від yevgen »

Відсутній Андрій Головинський

  • Кореспондент
  • ***
  • дописів: 141
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #22 : 2004-07-01 13:30:24 »
То, може, дійсно не варто сильно цим перейматися. А то, як подумати:
Невідомо, скільки дірок в Опері, хоч я і не рутом сиджу, але все рівно, моя колекція фільмів у небезпеці. А ще ядро діряве. А ще ніхто ( наскільки я розумію) не заважає віндовським вірусам лізти в лінуксовий розділ.
Клієнтську машину, можливо, в принципі не можна нормально захистити...
Never argue with idiots. They just drag you down to their level, and then beat you with experience

Відсутній Yaroslav Fedevych

  • Літератор
  • ******
  • дописів: 1069
  • Карма: +0/-0
  • Людина — ніщо, справа — все
Re: Мене, схоже, атакували
« Відповідей #23 : 2004-07-01 13:52:40 »
Перестати користуватись віндою. Вивчити принципи роботи справжньої системи. Тоді можна менше боятись, що вас надмуть, як балона з гуми :)

Так між іншим, пінги закрити можна, але то не з парафії портів, бо ICMP!=TCP. Та й боятися смертельного пінга не варто... Хіба що хтось буде слати таку велику кількість пінг-запитів, що заб'є весь трафік...
« Змінено: 2004-07-01 13:56:09 від JaFd »

Відсутній Володимир Лісівка

  • Адміністратор ЩОДО
  • Видавець
  • *****
  • дописів: 3566
  • Карма: +2/-0
  • Програміст
Re: Мене, схоже, атакували
« Відповідей #24 : 2004-07-01 17:30:03 »
Завантажитися на якійсь іншій машині з Knoppix-а й просканувати свою машину nessus-ом . Допомагає від багатьох хвороб. ;)
[Fedora Linux]

Відсутній Yevgen

  • Графоман
  • ****
  • дописів: 278
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #25 : 2004-07-01 18:37:22 »
а мені ще сподобався прикол у нортона на сайті. після тесту видає результати - "ваш комп'ютер повністю в безпеці" і одразу видає стандартну рекламу - "цю проблему можна вирішити - встановіть нортон антивірус та файрвол" :))))

Відсутній Er

  • Новачок
  • *
  • дописів: 4
  • Карма: +0/-0
  • Що новенького?
Re: Мене, схоже, атакували
« Відповідей #26 : 2004-07-05 13:17:39 »
Взагалi складаеться таке враження, що нiхто не користуеться iptables. чому б не скористатись можливостями даного пакету

Відсутній knedlyk

  • Дописувач
  • **
  • дописів: 98
  • Карма: +0/-0
  • Archlinux форева!
Re: Мене, схоже, атакували
« Відповідей #27 : 2004-07-12 22:58:53 »
Pereviryty svij comp mozhna tut:

http://stealthtests.lockdowncorp.com/

Iptables vzagali duzhe potuzhna shtuka, pravyl'no nastrojity dlia svojih potrebuje chytannia docs i faq:-)
« Змінено: 2004-07-12 23:01:42 від knedlyk »

Відсутній Yevgen

  • Графоман
  • ****
  • дописів: 278
  • Карма: +0/-0
безпека, iptables та інше
« Відповідей #28 : 2004-08-17 01:15:36 »
в мене нарешті дійшли руки проінсталювати та спробувати kmyfirewall. досить прикольна штука, особливо якщо часу не вистачає розбиратись з налаштуваннями iptables. все що воно (kmyfirewall) робить - налаштовує у режимі візарда  iptables докладно пояснюючи кожен крок.

результат перевірив на http://scan.sygate.com/ - мене вразило - всі порти стелсовані (чи як його правильно сказати :), плюс там ще прикольний тест - намагаються вирахувати які програми виконуються на компі - теж нічого не знайшло. сайт цей ще вигідно відрізняється від того ж нортона тим, що в них є тести спеціально для лінукса.

отаке - можливо комусь стане у пригоді. до речі хотілося б почути коментарі когось більш досвідченого ніж я стосовно цієї теми - чи варто використовувати софт який налаштовує  iptables чи краще повністю розібратись самому та налаштувати руками?

Відсутній Дмитро Ковальов

  • Кореспондент
  • ***
  • дописів: 236
  • Карма: +0/-0
Re: Мене, схоже, атакували
« Відповідей #29 : 2004-08-17 06:42:32 »
Я особисто не бачу ніяких проблем в тому, щоб використати ГУІ. якщо це треба зробити один раз замість того, щоб просидіти 3-5 днів і розбиратися в тому, як воно працює. Єдина вимога моя до всіляких ГУІв, щоб воно було надбудовою над командним рядком, а не намагалося реалізуваьи все те, що вже в цьому командному рядку зроблено.

Як приклад нормальних ГУЇв особисто для мене є цей же самий kmyfirewall (воно в мене не працювало так як треба, але це інше питання), подібний ГУЙ є в МакОСХ, робить теж саме (просто надбудова, яка створює конфіг-файл для ipfw). З іншої області, правда, exmh - просто надбудова над mh. В противагу exmh -- просто жахливі віндузо-драні Силфід і Еволюція (в режимі роботи з mh-каталогами). Просто жах, що ці останні двоє роблять, в той час як є величезний набір команд CLI, які на сьогодні здібні робити набагато більше, ніж силфід з еволюцією разом, і саме головне, що задіяти ці команди ні з того, ні з іншого неможливо. (Але це був крик душі, який ніяк не стосувався теми...)