» »

linux vdor -- nekdo skenira druge prek SSH ?

linux vdor -- nekdo skenira druge prek SSH ?

PujsaPepa ::

Imam linux streznik. Dobil sem opozorilo da moj PC skenira druge preko 22.porta.
Va katere loge naj pogledam (ali procese. Kako ?) da bi videl kje je vzrok, in
ce vsiljivca lahko odstranim brez da bi sel preformatirat streznik ?

overlord_tm ::

lsof -i :22
netstat -ap | grep ssh
in chkrootkit

Od koga pa si dobil obvestilo? ISPja?
Si mel kako kratko geslo na kompu? SSH na default portu?

PujsaPepa ::

lsof in netstat mi pokažeta trenutne povezave, kajne ?

So se kam zapisale tudi v kak log, da bi jih lahko pogledal nazaj ?
Se da to kako uredit za vnaprej - da bi se logiralo ?

overlord_tm ::

Jap.

Lahko pogledas če imaš recimo /var/log/secure (pomoje ena RH fora, drugi nimajo) ali pa /var/log/iptables in je kaj notri, samo dvomim.

iptables -I OUTPUT -p tcp --dport 22 -j LOG --log-prefix "outbound ssh connection"
ali
iptables -D OUTPUT -p tcp --dport 22 -j DROP


Odvisno kaj hočeš oz. potrebuješ.

Brane2 ::

Ne verjamem, da bo kje kak log. Bi blo preveč tega in preveč bi bremzalo sistem.

Lahko pa IMHO nastaviš lasetn firewall da ti logira attempt, ko gre ven paket s target portom 22.

Mogoče lahko dobišš celo ven kateri program je bil to...
On the journey of life, I chose the psycho path.

terryww ::

Če je tvoj PC, potem si verjetno root. Zakaj ne pogledat .history fajl, da vidiš kaj je kdo delal? Preveriš ssh loge, dmesg, messages.log, syslog in auth.log, ki ti pove kdo in kdaj se je loginal.

meacho ::

Poženi še rkhunter.

redo ::

Še preden kaj delaš, bi ti jaz toplo priporočal, da narediš kopijo logov ali kar celega sistema ali zagon preko live-cd-ja, zato da a) ti loger ne bo čez popisal logov, b) ti s svojo analizo ne povoziš dokazov, ter c) temu sistemu ne moreš več zaupati (napadalec je lahko spremenil karkoli, npr. ti poženeš ls in ta poleg izpisa ls požene še kaj drugega).

Tukaj je nekaj navodil in linkov na to temo
http://www.debian.org/doc/manuals/secur...

terryww ::

Še enostavneje - poglej kdo je zadnji uporabljal tvoj sistem:
$ last | grep -v "^$" | awk '{ print $1 }' | sort -nr | uniq -c

če skenira, potem verjetno več IP-jev naenkrat. Preveri:
$ netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n | tail

Kateri fajli so bili nazadnje spremenjeni:
$ ls -lrt

ko ugotoviš kdo, ugasneš vse kaj ima zagnano:
$ ps -ef | grep $USERNAME | awk {'print $2'} | xargs kill [-9]

rkhunter in podobne zadeve so za lnx dosti manj razvite kot za win. Poglej, katere porte imaš odprte (netstat ne pomaga nič če imaš rootkit):
nmap -sS -P0 -sV -O "target"

Še nekaj orodij, za preverjanje integritete datotečnega sistema:
http://www.la-samhna.de/library/scanner...

Zgodovina sprememb…

  • spremenil: terryww ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Postavitev mySQL

Oddelek: Programiranje
92230 (1808) M01O
»

iptables problem

Oddelek: Operacijski sistemi
242260 (2026) poweroff
»

ProtFtp Passive mode in iptables

Oddelek: Programska oprema
252256 (2078) SasoS
»

Linux-localhost

Oddelek: Operacijski sistemi
261988 (1502) 'FireSTORM'
»

iptables problem z SSH

Oddelek: Omrežja in internet
121919 (1773) sverde21

Več podobnih tem