abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Jak na soukromí v mobilním telefonu
    dnes 04:00 | Zajímavý článek

    Jiří Eischmann v příspěvku na svém blogu představuje typy, jak lépe chránit své soukromí na mobilním telefonu: "Asi dnes neexistuje způsob, jak se sledování vyhnout úplně. Minimálně ne způsob, který by byl kompatibilní s tím, jak lidé technologie běžně používají. Soukromí ovšem není binární věc, ale škála. Absolutního soukromí je dnes na Internetu dost dobře nedosažitelné, ale jen posun na škále blíže k němu se počítá. Čím méně dat se o vás posbírá, tím nepřesnější budou vaše profily a tím méně budou zneužitelné proti vám."

    Ladislav Hagara | Komentářů: 3
    NixOS 25.05 Warbler
    dnes 00:22 | Nová verze

    Byla vydána nová stabilní verze 25.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Warbler. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

    Ladislav Hagara | Komentářů: 0
    Heroic 2.17.0 Franky
    včera 18:11 | Nová verze

    Multiplatformní open source spouštěč her Heroic Games Launcher byl vydán v nové stabilní verzi 2.17.0 Franky (Mastodon, 𝕏). Přehled novinek na GitHubu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    Apache NetBeans 26
    včera 18:00 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 26 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    IBM Model M je 40 let starý
    včera 14:55 | IT novinky

    Klávesnice IBM Enhanced Keyboard, známá také jako Model M, byla poprvé představena v roce 1985, tzn. před 40 lety, s počítači IBM 7531/7532 Industrial Computer a 3161/3163 ASCII Display Station. Výročí připomíná článek na zevrubném sběratelském webu Admiral Shark's Keyboards. Rozložení kláves IBM Enhanced Keyboard se stalo průmyslovým standardem.

    Fluttershy, yay! | Komentářů: 5
    Pharo 13
    včera 12:00 | Nová verze

    Vyšlo Pharo 13 s vylepšenou podporou HiDPI či objektovým Transcriptem. Pharo je programovací jazyk a vývojové prostředí s řadou pokročilých vlastností.

    Pavel Křivánek | Komentářů: 2
    Java má dnes 30. narozeniny
    včera 04:00 | IT novinky

    Java má dnes 30. narozeniny. Veřejnosti byla představena 23. května 1995.

    Ladislav Hagara | Komentářů: 7
    1. července Mozilla vypne službu Fakespot
    22.5. 21:55 | IT novinky

    1. července Mozilla vypne službu Fakespot pro detekci podvodných recenzí v internetových obchodech. Mozilla koupila Fakespot v květnu 2023.

    Ladislav Hagara | Komentářů: 1
    8. července Mozilla vypne službu Pocket
    22.5. 21:33 | IT novinky

    8. července Mozilla vypne službu Pocket (Wikipedie) pro ukládání článků z webu na později. Do 8. října si uživatelé mohou vyexportovat data. Mozilla koupila Pocket v únoru 2017. Několik měsíců byl Pocket integrovanou součástí Firefoxu.

    Ladislav Hagara | Komentářů: 7
    Turris OS má aktuálně problém s aktualizací související s ukončením podpory OCSP u Let's Encrypt
    22.5. 13:22 | Upozornění

    Turris OS má aktuálně problém s aktualizací související s ukončením podpory protokolu OCSP u certifikační autority Let's Encrypt.

    Ladislav Hagara | Komentářů: 4
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký je váš oblíbený skriptovací jazyk?
     (58%)
     (28%)
     (6%)
     (3%)
     (0%)
     (0%)
     (5%)
    Celkem 98 hlasů
     Komentářů: 6, poslední 22.5. 14:43
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Nezvaná návštěva na serveru
    Štítky: heslo, Internet, log, pod, práva, přihlášení, rsync, server, sítě, SSH, stroj, uživatel

    Dotaz: Nezvaná návštěva na serveru

    13.4.2020 19:08 Jirka | skóre: 25
    Nezvaná návštěva na serveru
    Přečteno: 1931×
    Zdravím všechny,
    měl jsem tu hosta, kterej použil můj server a internetový připojení jako stroj pro ssh bruteforcing 3 IP adres někde v holandsku a vůbec se s tím nes*al, takže to skončilo odpojením celý sítě od internetu mým providerem.
    Teď zjišťuju, jakým způsobem ty pakety napadenej stroj odesílá, zatím jsem zjistil že:
    Pod běžným uživatelem běží procesy rsync a kswapd0, když je odstřelím, útok přestane. Tento uživatel měl velice mizerné heslo. Ale bylo cosi měněno i v /etc/shadow, protože má datum změny dnešní noc. Měl tedy práva roota. Nezjistil jsem, co tam změnil.
    Ve /var/log/auth.log je zaznamenáno "nekonečno" neúspěšných pokusů o ssh přihlášení na cílové IP adresy.
    Útočící procesy se po restartu objeví znova, v /etc/rc.local ani /etc/systemd/system nejsou.
    Asi budu potřebovat nakopnout, co ještě prohledat a jak se to mohlo stát. Díky.
    Dokud to funguje, nešťourej se v tom!...

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    13.4.2020 19:33 pavele
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Proveď obraz disku pomocí dd a stroj kompletně přeinstaluj.

    Pro přístup používej příště pouze ssh klíče.

    13.4.2020 19:47 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ta mašina musí zejtra jet a rád bych se taky vyspal. Připojení už mám, ty breberky byly na 99% spuštěný z domovskýho adresáře uživatele s mizerným heslem, v adresáři .configrc byl bordel vytvořenej právě v ten čas a byl mezi nima i ten kswapd0. Po přejmenování a restartu se už procesy nespouští. Nová hesla uživatelů samozřejmostí, u cifs z /etc/fstab, asterisku a z čínských voip adaptérů ten plain text taky vyházen (jo, hesla se opakujou...) Mrknu ještě na nastavení iptables,ten má taky nějaký mouchy... ještě jsem na něco zapomněl?
    Dokud to funguje, nešťourej se v tom!...
    Petr Tomášek avatar 14.4.2020 14:49 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To je zase jednou debilní hláška. Pokud máš silné heslo, je jedno, jestli používáš heslo nebo klíč.
    multicult.fm | monokultura je zlo | welcome refugees!
    14.4.2020 20:31 Michal
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Zas tak debilní není. Když povolíš jen přihlášení SSH klíčem, tam znemožňíš, aby měl uživatel na serveru slabé heslo ;-)

    A ta druhá část je také validní - jednou kompromitovanému serveru nelze důvěřovat.
    14.4.2020 20:42 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Souhlasím. Já navíc používám pro jistotu volbu AllowGroups.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    13.4.2020 19:58 debian+
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Prejdi systemd configy zoradene podla zmeny. Pre kontrolu.

    Zisti vcetko o tej binarke. Zaarchivuj si proc. Pozri si .bash_history

    Co ti da: 
    ls | grep PODIVNE_PID
    Samozrejme, reinstal je najlepsie volba a nepouzivat jednoduche hesla.
    13.4.2020 21:00 Kit | skóre: 45 | Brno
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Pokud se nedostal do roota, tak reinstalace nedává smysl.
    Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
    14.4.2020 21:25 debian+
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    oprava: 
    lsof | grep PODIVNE_PID
    13.4.2020 20:05 Kit | skóre: 45 | Brno
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    /etc/shadow má jiné datum, protože měnil heslo napadeného uživatele. Právo roota tedy mít nemusel, stačilo použt standardní službu.

    Samozřejmě doporučuji přihlašování pomocí klíčů i běžných uživatelů.
    Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
    Petr Tomášek avatar 14.4.2020 14:52 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Samozřejmě doporučuji přihlašování pomocí klíčů i běžných uživatelů.
    Lepší je mít silná hesla a pak takovýto blbosti nejsou potřeba.
    multicult.fm | monokultura je zlo | welcome refugees!
    14.4.2020 18:53 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Čím častěji zadáváš heslo, tím vyšší pravděpodobnost, že ho napíšeš kam nemáš, nebo že ti ho někdo odchytne.
    14.4.2020 21:55 Kit | skóre: 45 | Brno
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Klíče jsou pohodlné a když k nim máš agenta, tak se přihlašuješ jen jednou do všech přidělených serverů.
    Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
    14.4.2020 23:23 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To je je jenom dalsi kravina, kterou jsi vyplodil.
    Nekdo ma dejme tomu deravou PHP aplikaci a sosnou si jeho /etc/shadow. S root heslem je v <>, s klicem neprustrelny.
    PS: vsem doporucuju si tohohle kretena zablokovat!
    15.4.2020 05:41 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Kto má pre boha v roku 2020 čitateľné /etc/shaddow pre užívateľa, hoci aj toho pod ktorým beží web server s php?

    Si môžeš s ním ruku podať, kľúč si nájde na disku každý mallware harwester.
    15.4.2020 15:12 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Napsal jsem 'dejme tomu'. Je spousta moznosti, jak kompromitovat root heslo. Jde jenom o to, aby ti bylo pres SSH k nicemu.
    Jendа avatar 15.4.2020 16:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Náhodou ony opravdu existují náhodné počítače, které ti dají svůj shadow. Ale PT psal o silném hesle -- tohle asi silné nebylo, když jsem ho našel ve slovníku.
    15.4.2020 19:47 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Klic na disku je samozrejme se silnou passphrase, ale radove lepsi je mit ho na necem jako Yubikey.
    A to uz vubec neresim, ze se na ruzne servery prihlasuju treba 100x za hodinu. Bez SSH agenta bych se asi brzy zblaznil.
    15.4.2020 20:18 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Sto krát za hodinu, to je častejšie ako každú minútu. Také niečo je už zrelé na automatizáciu, inak by sa človek zbláznil z ručne zadávaných príkazov.
    15.4.2020 21:19 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ocividne zapominas na git.
    Jendа avatar 15.4.2020 22:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    ale radove lepsi je mit ho na necem jako Yubikey
    Na Yubikey se přímo generuje - náhodným generátorem, který nikdo nikdy neauditoval?
    15.4.2020 23:02 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Samozrejme si na nej muzes nahrat vlastni klic.
    Jendа avatar 15.4.2020 16:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Vypisuji bounty 500 Kč pro toho, kdo najde heslo roota když mu sem nahraju svůj shadow. Nabídka platí 90 dní. 
    root:$6$0X/2i48HZk2CX6/C$lns73irmeqN6KFXhgw7y3m6zAIYbeT1bij.BAk2VwzlBhagOmd2AnVWiOnSotJntfSpK1XE95K9V4rBkvrUsz1:15883:0:99999:7:::
    15.4.2020 23:00 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Hubero kororo? ;-)
    Gréta avatar 16.4.2020 12:46 Gréta | skóre: 37 | blog: Grétin blogísek | 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

    takovýho papíru hele :O ;D

    Zelená energetická soustava založená na obnovitelnejch zdrojích energie versus realnej svět 🤡🇪🇸
    16.4.2020 07:23 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To není moc dobrá nabídka. Za 90 dní propálí běžnej krumpáč na elektrice násobně víc.
    Dokud to funguje, nešťourej se v tom!...
    16.4.2020 07:40 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    No alespoň vidíš, na kolik si je jist. Mě asi před deseti lety taky napadli jeden zapomenutý virtuálek. Byl to testovací image s uživatelem test a heslem test, takže žádná složitost.
    Jendа avatar 16.4.2020 20:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    No tak mi řekni za kolik bys to zlomil. (vzor vznikl pomocí příkazu cat /dev/urandom | tr -dc a-zA-Z0-9 | head -c 16)
    17.4.2020 12:00
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Doufám, že si to heslo pamatuješ. ;-)
    17.4.2020 12:40 _
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Si ho vygeneruje znova, za nějakou chvíli se musí znovu objevit.
    17.4.2020 13:00 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Prečo by si to heslo nemohol pamätať? Veď on si tak pomenoval vlastného kocúra.
    Jendа avatar 18.8.2020 23:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Plaintext byl YAi9dJEoxsQ3aelm.
    Jendа avatar 15.4.2020 16:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Tohle mě fakt zajímá: jak používáš hesla, že klíče jsou „takovýto blbosti“? Máš nějaký password manager, který podporuje ssh? I když bych souhlasil, že silná hesla jsou dostatečně bezpečná, tak mi to přijde jako nekonečný opruz -- s klíčem přidám do image ze kterého instaluju počítače svůj veřejný, zatímco s heslem je potřeba řešit že ho po instalaci vygeneruju a musím ho někam uložit a s tím strojem spárovat (protože musí být pro každý stroj unikátní, zatímco klíč jsem vyrobil jednou a někam pověsil veřejnou část a je mi jedno že se třeba i válí na internetu). To všechno za situace, kdy řádkové utility (ssh, sftp…) nemají žádné API na to, jak jim heslo dávat, zatímco klíč stačí umístit do ~/.ssh a všechno funguje automaticky.
    Josef Kufner avatar 13.4.2020 22:16 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Měl tedy práva roota. Nezjistil jsem, co tam změnil.
    Takže to kompletně přeinstaluj.

    V první řadě si udělej kompletní kopii systému. Jednak abys to mohl prozkoumat, a pak abys mohl při přeinstalaci obnovovat nastavení.

    Pokud máš záložní kopii, což bys opravdu měl mít, tak můžeš porovnat změny v systém oproti té záloze.

    Nejlepší řešení je obnovit server ze zálohy, ponechat uživatelská data a opravdu důkladně se podívat, kde máš díru, neboť v té obnovené verzi bude ještě nepoužitá (snad).
    Hello world ! Segmentation fault (core dumped)
    13.4.2020 22:42 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    "Nejlepší řešení je obnovit server ze zálohy"
    Je.
    Ale kdo z nás je poctivě dělá a hlavně aktualizuje? Párkrát jsem to zkoušel, ale za chvíli byl v těch zálohách takovej ..., že byl jednodušší vanilla install a pak to tam skriptem všecko nahrát a jen nakopírovat konfiguráky.
    Tady se přikláním k variantě, že k hacknutí roota přece jen nedošlo, takže jsem zatím pozměňoval nejslabší hesla, nahodil přes noc do fake brány, která loguje pokusy směrem ven a zbytek zabezpečení + vynadání uživatelům se dořeší zejtra. Zatím díky. :-)
    Dokud to funguje, nešťourej se v tom!...
    Josef Kufner avatar 14.4.2020 08:24 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ale kdo z nás je poctivě dělá a hlavně aktualizuje?
    Každý?

    Ale vážně. Zálohy by měly být plně automatické a inkrementální alespoň pár týdnů nazpět. To je věc, která se jednou nastaví a pak už se na to nesahá. Jen se čas od času koukne, že to i po letech ještě funguje. A není to nic komplikovaného. Vlastně stačí z cronu volat rsync na sousední server a dělat si snapshoty. Stejně tak s notebooky a vůbec všemi počítači. Nastavení je na pár minut a zachrání to mnoho dat i nervů.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 15.4.2020 16:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ale kdo z nás je poctivě dělá a hlavně aktualizuje?
    Já. Teda aktualizaci řeší cron každou noc, o to se samozřejmě ručně nestarám.
    Párkrát jsem to zkoušel, ale za chvíli byl v těch zálohách takovej ..., že byl jednodušší vanilla install a pak to tam skriptem všecko nahrát a jen nakopírovat konfiguráky.
    To mě překvapuje, já jednoduše rsyncuju celé /, a obnova vypadá tak, že prohodím u rsyncu zdroj a cíl.
    16.4.2020 09:34 .
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    já jednoduše rsyncuju celé /, a obnova vypadá tak, že prohodím u rsyncu zdroj a cíl
    Jak dlouho ti oboji trva a na cem (objem dat, FS)?
    Josef Kufner avatar 16.4.2020 09:39 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    U mne inkrementální záloha celého notebooku (jeden teď má na disku 400 GB, druhý 100 GB) po WiFi trvá obvykle 10 až 20 minut.

    Kompletní obnova je na pár hodin. To se vyplatí vyndat disk a připojit do serveru, nebo alespoň najít síťový kabel.
    Hello world ! Segmentation fault (core dumped)
    16.4.2020 09:51 .
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    inkrementální záloha
    Pres rsync to neni uplne inkrementalni, ne? https://serverfault.com/a/138412
    Josef Kufner avatar 16.4.2020 11:31 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Inkrementální záloha je o tom, že se s každou zálohou uchovávají jen rozdíly oproti předchozí záloze. Ten odkazovaný komentář je ptákovina.

    Možností jak implementovat ty rozdíly je několik. Relační databáze často používají log operací, který pak znovu přehrajou. Btrfs shapshoty si drží seznam změněných bloků. Rsync porovnává metadata a následně i data souborů, inkrementy pak umí pomocí hardlinků, nebo jde kombinovat se snapshoty filesystému. Git počítá hashe obsahu a ty používá k adresování a následně aplikuje delta kompresi, aby to bylo efektivní. Rdiff-backup zas ukládá aktuální verzi a rozdíly od předchozí, takže je krutě pomalý. Pointa je, že nezměněné soubory zabírají místo na disku jen jednou.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 16.4.2020 20:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    5 TB celkem (asi 6 serverů), denní diff měl tak 10 GB, záloha trvala tak hodinu (v září jsem tam skončil). Core 2 Quad, rotační disky, na serverech je ext4, zálohuje se na btrfs se snapshoty.
    Jendа avatar 16.4.2020 20:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    A obnovu jsem dělal celou jednou (jinak jsem obnovoval jen individuální soubory), a to jelo tak 50 MB/s (po gigabitové síti). Pomalé je když je tam spousta malých souborů.
    14.4.2020 09:37 Teddy_CZ
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Podíval bych se na crontab u patřičného uživatele. Když se dá místo času @reboot tak se skript spustí po restartu počítače.
    Max avatar 14.4.2020 11:11 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Mně by spíše zajímalo, co na tom provozuješ za služby, že se ti něco dostalo do shellu?
    Zdar Max
    Měl jsem sen ... :(
    14.4.2020 18:43 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Je tam toho docela dost, IP telefonie, samba+nfs a pak bokem ještě dlna a torenty, aby to nejelo tak naprázdno...
    Projíždím teď logy a byl to slovník jak vyšitej, pokus č.22029, zapomnělo se na fail2ban, stane se... :-D
    Do roota se fakt nedostal, změnil heslo napadeného uživatele, skouknul, co tam je, odhlásil se a zkoušel další loginy a hesla.
    A pak k tomu botu nejspíš přišla obsluha, spustila ten skript a prozměnu útočila pomocí mýho stroje na někoho dalšího.
    Dokud to funguje, nešťourej se v tom!...
    otasomil avatar 14.4.2020 19:10 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Zdravim Jak lidi tady pisou, vsem uzivatelum zmenit hesla za silna, prosel bych uzivatelske adresare a Crontab viz @reboot namisto casu, data. Taky zvazte jestli onen uzivatel nemel Sudo. Utocnik ktery se prihlasil jako bezny uzivatel sic v systemu nepopacha prakticky nic spatnyho kvuli cemu by se mel os povazovat za napadeny a bylo nutne jej reinstalovat/obnovit ze zalohy. Muze vsak zacit provozovat jakoukoli webovou sluzbu na portech vyssich jak 1024 a provadet utoky na dalsi ip aniz by roota vubec potreboval. Taky muze byt utocnikuv soubor spousten ne pri startu os ale pri prihlaseni na konkretniho uzivatele, prohlednete tedy .bashrc
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    14.4.2020 20:46 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    A případně konfiguraci dalších programů, které umožňují zasahovat do systému – např. vimrc, at úlohy, ….

    Je celkem rozumné mít povolené příchozí spojení (např. pomocí iptables) jen na portech, které mají být používány.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    14.4.2020 21:00 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Projíždím to, asi těch breberek bude víc. Problém s ssh bruteforcingem vyřešen, ale tcpdump zachytává odchozí pakety do číny a ruska, tentokrát vlastník přímo root. Asi nebyl dobrej nápad dávat do všech krabiček stejný hesla shodný s rootem... :-D
    Dokud to funguje, nešťourej se v tom!...
    Řešení 1× (Jirka (tazatel))
    Josef Kufner avatar 14.4.2020 21:12 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Na to jsou dobré ty klíče.
    Hello world ! Segmentation fault (core dumped)
    14.4.2020 21:20 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Na ja, mrknu na to, díky všem, zas je co dělat. :-)
    Dokud to funguje, nešťourej se v tom!...
    15.4.2020 18:17 pavele
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Nehledě na to, že SSH přihlašování pomocí hesla je náchylné na MITM útok.
    otasomil avatar 14.4.2020 21:26 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Asi nebyl dobrej nápad dávat do všech krabiček stejný hesla shodný s rootem... :-D
    To rozhodne nebyl. Taky je vhod nemit nikoho v sudousers. Heslo roota napadne delsi a slozitejsi nez uzivatelu. Pamatujte - i silna hesla jsou zadarmo. Pohodlnost v podobe jednoducheho hesla se nevyplaci. Prihlaseni pomoci klicu je fajn ale zase ma nedostatek v tom ze ze systemu od ktereho se prihlasujete obvykle pracujete jako bezny uzivatel tudiz .ssh je snadno zkopirovatelny coz je mnohem snadnejsi operace jak chytat stisky klaves a cekat na pravy cas.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    15.4.2020 17:37 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Proto je dobré mít šifrované soubory v /home nebo alespoň šifrovaný klíč. Pak se agent musí zeptat na heslo (a rozšifrovaný klíč si drží v RAM). Není to 100% ochrana, ale tím se vyřeší problém s možností zkopírování ~/.ssh.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    15.4.2020 08:38 Ladislav
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Zdravim, nedavno som riesil podobne incidenty, ktore zodpovedaju Vasmu popisu. Ak ten stroj este bezi a nebol preinstalovany, tak sem pridam zopar tipov:
    • bezny pouzivatel, pod ktorym to bezi, by mal mat vo svojom home skryty adresar, ktory obsahuje kswapd0 aj dalsi bordel ako obsluzne skripty a podobne (v podadresaroch s nazvami a, b, pripadne aj c)
    • perzistencia (automaticke spustanie) je cez crontab tohoto bezneho pouzivatela
    • v .ssh/authorized_keys bude pravdepodobne pridany ssh kluc, ktory pouzivaju utocnici na opatovne pripajanie sa cez ssh. Pravdepodobne bude pri tomto kluci uvedene aj "mdrfckr"
    • v /tmp (alebo vo /var/tmp) by mal byt adresar .X[??]-unix, kde [??] bude nejake cislo, napr 20. A v tomto adresari maliciozne subory poodobne tym, ktore su u bezneho pouzivatela - napr nejaky .tar.gz archiv s malverom a obsluznymi skriptami, aj rozbaleny do nejakeho skryteho adresara, napr. /tmp/X[??]-unix/.rsync/ Opat by tu mali byt nejake podadresare a,b,c,
    • toho bordelu by tam malo byt viac, napr Coinminer (XMRig, to by mal byt ten kswapd0), Perl shellbot vyuzivajuci IRC na ovladanie (pravdepodobne Vami popisovany rsync), ssh-bruteforcer, skript/program modifikujuci ten ssh authorized_keys subor a podobne.

    • a este mala rada na zaver: ak to nie je kriticke zariadenie, je lepsie ho preinstalovat, obnovit data zo zaloh spred utoku a hardenovat system, nez zistovat, co vsetko tam utocnik spravil, odstranovat ten bordel a riskovat, ze nieco ostane nenajdene a utocnik sa tam zasa vrati :-)
    15.4.2020 22:24 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Přesně tohle jsem tam našel. Zjistil jsem datum a čas průniku a vyhledal vše s odpovídajícím časem, nakonec jsem smáznul uživatelův crontab. Po vyčištění na ten server prakticky furt někdo útočí, tak 5 pokusů za minutu na různých portech. Ale snad už v cajku. :-)
    Dokud to funguje, nešťourej se v tom!...
    15.4.2020 22:35 otazka
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Nemohly jste si to tam zanest samy spustenim neceho stahnuteho z internetu, nebo jste oba aktualizovaly z napadeneho repa? Jen se ptam?
    16.4.2020 00:22
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    No to mi ho vYndej..
    16.4.2020 06:30 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Tohle nejsou widle :-D
    Dokud to funguje, nešťourej se v tom!...
    16.4.2020 09:13 Ladislav
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    vo vseobecnosti je vela moznosti, ako sa moze dostat podobny bordel do systemu. Avsak tentoraz (minimalne v pripadoch, ktore sa dostali ku mne) slo o prelomenie slabeho hesla nejakeho pouzivatela. Napokon, medzi tym malverom na zariadeni je aj jeden, ktory robi bruteforce utoky na ssh. A nielen hesla, ale aj hlada ssh kluce na napadnutom zariadeni. Takze Jirka, ak ste tam nahodou mali ulozeny aj nejaky privatny ssh kluc, povazujte ho za kompromitovany.

    Aj podla toho, co Jirka pise, tak aj v jeho pripade mal dany pouzivatel slabe heslo.

    Doplnil by som len, ze toto nie je uplne neznama a nova kampan utocnikov, ale rovnake ci velmi podobne utoky sa vyskytuju uz niekolko mesiacov. Priklad z januara: http://jakob.space/blog/investigating-a-shellbot-aa-infection.html
    17.4.2020 13:13 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ráno jsem mrknul do logu fail2ban, za 12 hodin 300 zabanovaných adres, co to k**va je? :-O
    Dokud to funguje, nešťourej se v tom!...
    17.4.2020 13:45 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Nejspíš Tor, případně se mu už povedlo nabourat se i k někomu jinému.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    17.4.2020 13:51 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To vypadá, jako bys nebyl spokojen ;-) Nebo bys je měl raději u sebe opět na návštěvě?
    17.4.2020 14:02 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Mě překvapuje ta intenzita, před půl rokem jednou dvakrát za den pokus o ftp přihlášení a teď takovej ssh bombing, máte to na svých strojích taky?
    Dokud to funguje, nešťourej se v tom!...
    vencour avatar 17.4.2020 14:35 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ano, máme, proto se s tim tak nemažem.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    17.4.2020 14:00 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To je bežný distribuovaný útok z botnetu. A ukazuje to, že si fail2ban spĺňa svoju prácu.

    Odporučil by som vyextrahovať zabanované IPky a pozrieť k nim geolokáciu. Človek sa tak môže zamyslieť či by nebolo rozumné rovno zablokovať niektoré krajiny (z ktorých sa určite nikto legitímny nebude prihlasovať na server). Alebo zablokovať všetko, a povoliť iba niektoré segmenty. Poprípade tam nasadiť napr. port knocking.
    17.4.2020 14:03 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Je to hlavně čína a rusko, abuseipdb u nich hlásí stovky narušení všude možně.
    Dokud to funguje, nešťourej se v tom!...
    Jendа avatar 17.4.2020 14:03 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Já mám SSH na jiném portu ne kvůli bezpečnosti, ale protože je tohle otrava. Plus na slabém HW/konektivitě to žere prostředky.
    17.4.2020 14:05 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To já právě taky, hodně vysokej port a vůbec to nemá vliv.
    Dokud to funguje, nešťourej se v tom!...
    17.4.2020 15:48 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Zkus portknock a prihlasovani pouze pres klice a mas klid.
    17.4.2020 20:14 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Já mám 22, ale omezuji uživatele pomocí AllowGroups, takže mi nepůsobí až tak velkou zátěž.

    Jinak pár (50) IP adres, odkud se ke mě přihlašují: 
    101  13.80.123.119
99   222.186.180.130
92   222.186.42.155
92   222.186.30.167
91   167.86.96.128
90   222.186.42.7
90   222.186.15.115
87   185.153.196.230
86   222.186.42.136
84   222.186.30.218
84   222.186.190.14
83   222.186.15.158
82   222.186.42.137
82   222.186.180.142
81   222.186.52.39
81   222.186.15.10
79   222.186.31.83
79   222.186.30.112
74   222.186.30.35
73   222.186.52.139
73   222.186.15.114
72   222.186.30.76
69   222.186.31.166
66   222.186.15.62
58   222.186.30.57
47   222.186.175.23
29   45.136.108.85
10   41.231.5.110
5    85.209.0.142
5    49.88.112.72
5    49.88.112.68
4    85.209.0.248
4    192.95.47.224
2    95.163.118.126
2    94.23.212.137
2    89.231.96.134
2    88.198.20.72
2    85.25.199.69
2    85.214.254.74
2    67.23.31.238
2    61.183.35.8
2    60.249.43.19
2    59.90.182.225
2    51.91.110.51
2    51.83.42.108
2    51.178.55.92
2    51.178.2.79
2    51.15.126.41
2    51.15.108.244
2    49.234.233.164
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    17.4.2020 20:17 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To číslo je počet pokusů z dané adresy.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.