Forum » Operacijski sistemi » linux vdor -- nekdo skenira druge prek SSH ?
linux vdor -- nekdo skenira druge prek SSH ?
PujsaPepa ::
Imam linux streznik. Dobil sem opozorilo da moj PC skenira druge preko 22.porta.
Va katere loge naj pogledam (ali procese. Kako ?) da bi videl kje je vzrok, in
ce vsiljivca lahko odstranim brez da bi sel preformatirat streznik ?
Va katere loge naj pogledam (ali procese. Kako ?) da bi videl kje je vzrok, in
ce vsiljivca lahko odstranim brez da bi sel preformatirat streznik ?
overlord_tm ::
lsof -i :22
netstat -ap | grep ssh
in chkrootkit
Od koga pa si dobil obvestilo? ISPja?
Si mel kako kratko geslo na kompu? SSH na default portu?
netstat -ap | grep ssh
in chkrootkit
Od koga pa si dobil obvestilo? ISPja?
Si mel kako kratko geslo na kompu? SSH na default portu?
PujsaPepa ::
lsof in netstat mi pokažeta trenutne povezave, kajne ?
So se kam zapisale tudi v kak log, da bi jih lahko pogledal nazaj ?
Se da to kako uredit za vnaprej - da bi se logiralo ?
So se kam zapisale tudi v kak log, da bi jih lahko pogledal nazaj ?
Se da to kako uredit za vnaprej - da bi se logiralo ?
overlord_tm ::
Jap.
Lahko pogledas če imaš recimo /var/log/secure (pomoje ena RH fora, drugi nimajo) ali pa /var/log/iptables in je kaj notri, samo dvomim.
Odvisno kaj hočeš oz. potrebuješ.
Lahko pogledas če imaš recimo /var/log/secure (pomoje ena RH fora, drugi nimajo) ali pa /var/log/iptables in je kaj notri, samo dvomim.
iptables -I OUTPUT -p tcp --dport 22 -j LOG --log-prefix "outbound ssh connection" ali iptables -D OUTPUT -p tcp --dport 22 -j DROP
Odvisno kaj hočeš oz. potrebuješ.
Brane2 ::
Ne verjamem, da bo kje kak log. Bi blo preveč tega in preveč bi bremzalo sistem.
Lahko pa IMHO nastaviš lasetn firewall da ti logira attempt, ko gre ven paket s target portom 22.
Mogoče lahko dobišš celo ven kateri program je bil to...
Lahko pa IMHO nastaviš lasetn firewall da ti logira attempt, ko gre ven paket s target portom 22.
Mogoče lahko dobišš celo ven kateri program je bil to...
On the journey of life, I chose the psycho path.
terryww ::
Če je tvoj PC, potem si verjetno root. Zakaj ne pogledat .history fajl, da vidiš kaj je kdo delal? Preveriš ssh loge, dmesg, messages.log, syslog in auth.log, ki ti pove kdo in kdaj se je loginal.
redo ::
Še preden kaj delaš, bi ti jaz toplo priporočal, da narediš kopijo logov ali kar celega sistema ali zagon preko live-cd-ja, zato da a) ti loger ne bo čez popisal logov, b) ti s svojo analizo ne povoziš dokazov, ter c) temu sistemu ne moreš več zaupati (napadalec je lahko spremenil karkoli, npr. ti poženeš ls in ta poleg izpisa ls požene še kaj drugega).
Tukaj je nekaj navodil in linkov na to temo
http://www.debian.org/doc/manuals/secur...
Tukaj je nekaj navodil in linkov na to temo
http://www.debian.org/doc/manuals/secur...
terryww ::
Še enostavneje - poglej kdo je zadnji uporabljal tvoj sistem:
$ last | grep -v "^$" | awk '{ print $1 }' | sort -nr | uniq -c
če skenira, potem verjetno več IP-jev naenkrat. Preveri:
$ netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n | tail
Kateri fajli so bili nazadnje spremenjeni:
$ ls -lrt
ko ugotoviš kdo, ugasneš vse kaj ima zagnano:
$ ps -ef | grep $USERNAME | awk {'print $2'} | xargs kill [-9]
rkhunter in podobne zadeve so za lnx dosti manj razvite kot za win. Poglej, katere porte imaš odprte (netstat ne pomaga nič če imaš rootkit):
nmap -sS -P0 -sV -O "target"
Še nekaj orodij, za preverjanje integritete datotečnega sistema:
http://www.la-samhna.de/library/scanner...
$ last | grep -v "^$" | awk '{ print $1 }' | sort -nr | uniq -c
če skenira, potem verjetno več IP-jev naenkrat. Preveri:
$ netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n | tail
Kateri fajli so bili nazadnje spremenjeni:
$ ls -lrt
ko ugotoviš kdo, ugasneš vse kaj ima zagnano:
$ ps -ef | grep $USERNAME | awk {'print $2'} | xargs kill [-9]
rkhunter in podobne zadeve so za lnx dosti manj razvite kot za win. Poglej, katere porte imaš odprte (netstat ne pomaga nič če imaš rootkit):
nmap -sS -P0 -sV -O "target"
Še nekaj orodij, za preverjanje integritete datotečnega sistema:
http://www.la-samhna.de/library/scanner...
Zgodovina sprememb…
- spremenil: terryww ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Postavitev mySQLOddelek: Programiranje | 2230 (1808) | M01O |
| » | iptables problemOddelek: Operacijski sistemi | 2260 (2026) | poweroff |
| » | ProtFtp Passive mode in iptablesOddelek: Programska oprema | 2256 (2078) | SasoS |
| » | Linux-localhostOddelek: Operacijski sistemi | 1988 (1502) | 'FireSTORM' |
| » | iptables problem z SSHOddelek: Omrežja in internet | 1919 (1773) | sverde21 |