Forum » Informacijska varnost » firestarter linux outbound connections
firestarter linux outbound connections
BRBR ::
Na mojem web serverju je en kup povezav (to gledam skozi firestarter) od mene ven preko raznih portov.Trenutno jih je en kup na ip:93.87.178.233
Teh povezav nisem naredil jaz .
servici so npr: chip-im, intv,ibm-abtact, itd
Nimam pojma kako je to mogoče, edini odprt port je 80, se pravi če je kaka piz..., je lahko prišla not samo tam. Kako naj se teh stvari znebim, razen da banam ip-je, samo s tem ne bom nikamor prišel ... ?
Teh povezav nisem naredil jaz .
servici so npr: chip-im, intv,ibm-abtact, itd
Nimam pojma kako je to mogoče, edini odprt port je 80, se pravi če je kaka piz..., je lahko prišla not samo tam. Kako naj se teh stvari znebim, razen da banam ip-je, samo s tem ne bom nikamor prišel ... ?
Never underestimate the power of idiots in large groups.
- spremenil: BRBR ()
retsom ::
Kaj pa izpišejo tile ukazi (poženeš jih kot root):
netstat -anpt //pregled omrežnih povezav
ps -elf //izpis aktivnih procesov
pstree -aAp //"lepši" izpis procesov
Če najdeš kakšen sumljiv proces z npr. PIDom 3333, lahko več o njem izveš s:
lsof -p 3333
ls -l /proc/3333 (tu seveda 3333 spremeniš s tvojim PIDom!)
Iz teh podatkov lahko izveš, iz kje ti procesi startajo.
Ponavadi je pametno prevertiti tudi vsaj mapo /tmp (ls -la /tmp).
Potem pa sledi iskanje varnostne luknje. Če imaš odprt zgolj TCP/80, boš moral temeljito pregledati access log spletnega strežnika (npr. /var/log/apache2/access.log). Ponavadi pomaga, če s pomočjo zgornjih ukazov najdeš kakšne sumljive datoteke, pregledaš čas njihovega nastanka (npr. z "stat FILENAME"), in pregledaš access.log v teh časih. Preveri še /var/www/html mapo, če so bile kakšne datoteke pred kratkim premenjene/dodane (ls -lrt).
Ko najdeš varnostno luknjo, pa jo je seveda potrebno zakrpati. Google ti je pri tem lahko v pomoč. Ali pa ta forum.
Srečno!
LP
netstat -anpt //pregled omrežnih povezav
ps -elf //izpis aktivnih procesov
pstree -aAp //"lepši" izpis procesov
Če najdeš kakšen sumljiv proces z npr. PIDom 3333, lahko več o njem izveš s:
lsof -p 3333
ls -l /proc/3333 (tu seveda 3333 spremeniš s tvojim PIDom!)
Iz teh podatkov lahko izveš, iz kje ti procesi startajo.
Ponavadi je pametno prevertiti tudi vsaj mapo /tmp (ls -la /tmp).
Potem pa sledi iskanje varnostne luknje. Če imaš odprt zgolj TCP/80, boš moral temeljito pregledati access log spletnega strežnika (npr. /var/log/apache2/access.log). Ponavadi pomaga, če s pomočjo zgornjih ukazov najdeš kakšne sumljive datoteke, pregledaš čas njihovega nastanka (npr. z "stat FILENAME"), in pregledaš access.log v teh časih. Preveri še /var/www/html mapo, če so bile kakšne datoteke pred kratkim premenjene/dodane (ls -lrt).
Ko najdeš varnostno luknjo, pa jo je seveda potrebno zakrpati. Google ti je pri tem lahko v pomoč. Ali pa ta forum.
Srečno!
LP
BRBR ::
Hvala. Tole bo uporabno.
Ampak že kar takoj pri
netstat -anpt
mi ni jasno sledeče: če vidim prej omenjeni ip 93.87.178.233 v firestarterju pod destination, bi ga moral tudi tule pod
foreign address , a ne ? Namreč tule ga pa ni.
Ampak že kar takoj pri
netstat -anpt
mi ni jasno sledeče: če vidim prej omenjeni ip 93.87.178.233 v firestarterju pod destination, bi ga moral tudi tule pod
foreign address , a ne ? Namreč tule ga pa ni.
Never underestimate the power of idiots in large groups.
Zgodovina sprememb…
- spremenil: BRBR ()
retsom ::
netstat -anpt prikaže vse aktivne TCP povezave. Poskusi še brez -t (TCP), se pravi :
netstat -anp
netstat -anp |egrep "93.87.178.233"
Kaj pa točno ti firestarter izpiše? Lahko sem prilimaš printscreen?
LP
netstat -anp
netstat -anp |egrep "93.87.178.233"
Kaj pa točno ti firestarter izpiše? Lahko sem prilimaš printscreen?
LP
BRBR ::
evo, onega sem blokiral, trenutno pa je en tak za katerega mi ni jasno kaj je 89.212.97.36
slika
In kaj dobim z netstatom ? Nič.
slika
In kaj dobim z netstatom ? Nič.
[root@localhost ~]# netstat -anp |egrep "89.212.97.36"
[root@localhost ~]#
Never underestimate the power of idiots in large groups.
Zgodovina sprememb…
- spremenil: BRBR ()
retsom ::
Sicer ne vem, iz kje firestarter dobiva podatke, morda iz netstata pa jih malce dlje prikaže? Pojma nimam. Itak pa je na sliki premalo podatkov, da bi lahko kaj več povedal. Za port mi ni jasno, ali je to source ali destination, možno je, da je 89.212.97.36 zgolj en obiskovalec tvoje spletne strani (dinamični T-2 naslov).
Če mene vprašaš, tole sploh ne izgleda da bi šlo za zlorabo. Po mojem samo firestarter malce čudno prikazuje povezave. Razen če nimaš rootkitanega netstata naj ti bo ta dosti bolj referenčen kot pa firestarter.
Če pa hočeš biti res ziher, za nekaj minut zaženi tcpdump (če je možno raje na usmerjevalniku in ne na samem sistemu), in preuči zajeti promet, npr:
#tcpdump -i eth0 -s 0 -w dump.pcap
potem pa dump.pcap odpreš v wiresharku. Potem pa preveriš paket za paketom ;-) Če tega nisi še nikoli počel, ti zna vzeti kar precej časa.
Blokada posameznih IP naslovov ni ravno smiselna, če nisi prepričan, za kaj gre.
LP
Če mene vprašaš, tole sploh ne izgleda da bi šlo za zlorabo. Po mojem samo firestarter malce čudno prikazuje povezave. Razen če nimaš rootkitanega netstata naj ti bo ta dosti bolj referenčen kot pa firestarter.
Če pa hočeš biti res ziher, za nekaj minut zaženi tcpdump (če je možno raje na usmerjevalniku in ne na samem sistemu), in preuči zajeti promet, npr:
#tcpdump -i eth0 -s 0 -w dump.pcap
potem pa dump.pcap odpreš v wiresharku. Potem pa preveriš paket za paketom ;-) Če tega nisi še nikoli počel, ti zna vzeti kar precej časa.
Blokada posameznih IP naslovov ni ravno smiselna, če nisi prepričan, za kaj gre.
LP
BRBR ::
Sicer ne vem, iz kje firestarter dobiva podatke, morda iz netstata pa jih malce dlje prikaže?
Zaenkrat tako zgleda, ampak za povezave na port 80 pa dela lepo dinamično. Povezava se prikaže, en čas visi na spisku, potem postane "disablana", in potem izgine.
89.212.97.36 še kar visi na spisku na firestarterju.
EDIT: se mi pa zdi da če naredim:
service iptables restart
da potem pa firestarter prikaže realne podatke.
Se pravi, po tem, 89.212.97.36 ni bilo več na spisku.
Never underestimate the power of idiots in large groups.
Zgodovina sprememb…
- spremenil: BRBR ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Postavitev mySQLOddelek: Programiranje | 2192 (1770) | M01O |
| » | iptables restartOddelek: Omrežja in internet | 1704 (1527) | BRBR |
| » | block ip, linux, centosOddelek: Informacijska varnost | 786 (708) | BRBR |
| » | AppServOddelek: Programiranje | 1213 (1143) | BigWhale |
| » | Internet štekal danes ponoči (ADSL) (strani: 1 2 )Oddelek: Omrežja in internet | 6950 (5218) | IceLord |