» »

"Port scan" stanje na IPv4 omrežju

"Port scan" stanje na IPv4 omrežju

«
1
2

HotBurek ::

Pozdravljeni.

Zanima me, če gledate log fajle/live traffic na public IPv4 naslovu; kakšno stanje imate?

Par dni nazaj sem dobil tole od Arnes-a:

Okeanos
Postavite virtualni strežnik v grškem oblaku.


https://okeanos.grnet.gr/home/


VM ima nameščen Debian (In to verzijo 8-Jessie, ki je že out. Trenutno aktualna je 10-Buster.) + nftables, ter logging v file. Vsakih par sekund drug IP skenira porte, praktično samo 445 in 3389.

Zakaj ISP-ji, ter t.i. "klaud provajderji" ne blokirajo po defaultu ves ta promet, ter po potrebi odprejo zgolj tisto, kar se res potrebuje?

To je ja čisto neurjeno, da se tako izvaja permanentni port scan, pa nikom ništa.

(Od 21:52:15 do 21:53:24, 69 sekund, 29 vnosov, vsake 2.3 sekunde 1 port scan)



In fora je, da nove IP-je blokiram parkart na dan, pa se še kr najdejo novi.

Kakšno je stanje drugod?


Če kdo pozna kul tool-e (cut, cat, awk, sort, ...), bi bilo zanimivo pogrupirat po portih in naredit count. Mogoče se lotim...

Spodaj sample:
Oct 3 21:50:38 snf-48775 kernel: [96515.458921] nftables.drop IN=eth1 OUT= MAC=aa:0c:f0:e6:fe:c4:cc:47:52:4e:45:54:08:00 SRC=179.107.128.187 DST=1.2.3.4 LEN=48 TOS=0x00 PREC=0x80 TTL=106 ID=31932 DF PROTO=TCP SPT=59421 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
Oct 3 21:50:40 snf-48775 kernel: [96516.535646] nftables.drop IN=eth1 OUT= MAC=aa:0c:f0:e6:fe:c4:cc:47:52:4e:45:54:08:00 SRC=182.255.1.13 DST=1.2.3.4 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=23971 DF PROTO=TCP SPT=59705 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
Oct 3 21:50:41 snf-48775 kernel: [96518.038481] nftables.drop IN=eth1 OUT= MAC=aa:0c:f0:e6:fe:c4:cc:47:52:4e:45:54:08:00 SRC=91.217.4.74 DST=1.2.3.4 LEN=52 TOS=0x04 PREC=0xA0 TTL=116 ID=21635 DF PROTO=TCP SPT=54361 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
Oct 3 21:50:41 snf-48775 kernel: [96518.272808] nftables.drop IN=eth1 OUT= MAC=aa:0c:f0:e6:fe:c4:cc:47:52:4e:45:54:08:00 SRC=117.212.229.117 DST=1.2.3.4 LEN=48 TOS=0x00 PREC=0x80 TTL=106 ID=20943 DF PROTO=TCP SPT=57170 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
  • spremenilo: HotBurek ()

SeMiNeSanja ::

Stalno dodajanje novih IP naslovov v permanentne block liste je čisti nonsense.

Jaz te 'skenerčke' ob prvi zaznavi (npr. poskus vzpostavitve povezave na IP/port, ki ni eksplicitno dovoljen) samodejno zablokiram za 20 minut (če bi probavali še na katerem drugem naslovu/portu), potem pa pozabim nanje (po izteku 'kazni' se samodejno brišejo z block liste).

Stalno (eksplicitno) blokiran imam bolj ali manj samo *.Shodan.io
Sicer v ozadnju imam še botnet block listo od Kasperskija in DNSWatch, ampak te so 'nekje zadaj' in se z njimi ne ukvarjam.

Namesto tega raje uporabljam geografsko filtriranje - res ni potrebe, da je dovoljen kakršenkoli dostop iz npr. Nigerije....

Kljub temu, da je vse blokirano, pa se pridno delajo log zapisi. Tako se je na externem IF danes v 23 urah nabralo 26.000 'Deny' zapisov. To nanese cca. 19 zapisov na minuto. Tdugače pa je pri meni najbolj pogosto blokirani port 23 - Telnet. Tipanja za RDP portom je bilo 'le' 280 poskusov v 23 urah.

Pride pa malo več zapisov, ker imam kopico javnih IP naslovov, pa skennerji probavajo na vseh naslovih....

Se pa take statistike znajo razlikovati celo od stranke do stranke. Očitno so določena adresna območja bolj priljubljena pri skenerjih, kot druga.

Ampak ja... tega skeniranja je kot dreka. Če imaš kilava orodja za analizo logov je to lahko tudi precejšen problem, saj med tem 'šumenjem' zelo hitro spregledaš kaj takega, kar bi pa vendarle bilo dobro videti.

Taki ali drugačni providerji pa se nočejo s tem ukvarjati. Kar se skenira, so vse legitimni porti, na katerih imajo njihove stranke povsem legitimne servise (3389/tcp bi vseeno lahko zaprli, da bi bil že mir). Blokiranje bi potem imelo za posledico nešteto support klicev, da vsakemu nazaj odpreš njegove 'nujno potrebne' porte. Komu se pa da razlagat, da naj ne uporabljajo RDP direktno ampak da naj uporabijo VPN in se preko njega povezujejo....

Kdor pa vendarle kdaj pogleda te loge, pa se mu počasi lahko začne svitati, da se z izpostavljenimi storitvami/aplikacijami ni za hecat. Tukaj ni šanse, da jih nebi našli...vprašanje je zgolj kdaj jih bodo našli in kdaj jih bo kdo poskušal zlorabiti.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

joggi79 ::

HotBurek je izjavil:

Zakaj ISP-ji, ter t.i. "klaud provajderji" ne blokirajo po defaultu ves ta promet, ter po potrebi odprejo zgolj tisto, kar se res potrebuje?

Zato ker v praksi vsak, in njegov pes, hoce imeti vse odprto, ker drugace a.) "bom prisel do vas z brzostrelko in vse pobil!!!", b. "bom vse na sodisce dal pa boste pol videli!!", ali c. "v cajtnge vas bom dal barabe izkoriscevalske!!!"
Mogoce se ti zdi smesno, ampak tako je v resnici, in vse tri opcije sem ze slisal/videl na lastne oci/usesa... predvsem od pametnjakovicev, ki se jim ne sanja kaj sploh port je... ma kaj port... kaj sploh ip je... ampak njihov prijatelj je pa racunalniski strokovnjak... pa se mitraljez ima :))
Opcija d. "Hvala ker imate to zaprto in ste preprecili, da v 10min ko sem dal racunalnik na net nisem imel gor 100 virusov in ugrabljen racunalnik, ker seveda passworda ne rabim" pa ne obstaja. Vsaj do sedaj, pa sem v tem businessu (no hvala bogu ne v end user supportu) ze enih 20let, je nisem dozivel.

Zgodovina sprememb…

  • spremenilo: joggi79 ()

SeMiNeSanja ::

V principu pa lahko kontaktiraš 'providerja' in ga vprašaš, če ti lahko blokira dostop do portov, na katerih želiš imeti mir.

Meni je na tak način nekoč najedal nek prav siten skenner (se žal ne spomnim več, zakaj je bil 'izjema'), pa sem na abuse@t-2.net kontaktiral človeka (upam, da mi ni ustregel samo zato, ker sva se osebno poznala), ki me je odrešil tiste zgage nadležne.

Škodovati ne more, če preveriš. Mogoče se lahko zmeniš, da ti zaprejo vse, razen tistih portov, ki jih dejansko potrebuješ.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

HotBurek ::

Bolj me zanima to, zakaj so po defaultu vsi porti odprti. In to ne mislim neki za domače uporabniki (tam so tako zaprti?), ampak za razne strežnike v "gostovanju".

Npr. postaviš VPS in imaš naenkrat vse porte odprte. Koliko ljudi sploh nastavi firewall, spremlja loge itn.? Ker problem so (lahko) tisti, ki tega ne spremljajo in ne poznajo...

Lahko bi bila opcija, da ko kreiraš zahtevek za VPS, da napišeš, katere porte oz. storitve boš uporabljal. Res pa je, da je lahko nakoncu tako, kot na štantu, kjer imajo sladoled; "Kater okus boš? Vse. Vseh 20 okusov." Že videno pri programerjih, ki ne vedo, na katerem portu teče njihova aplikacija. "Vse porte odpri, pa bo delal." :)


Še glede statistike. Sem naredil za dva strežnika. Tisto, kar bi lahko še dodal, je request per hour...

Prvi strežnik je na TELEMACH omrežju:

--[loglines=12347]--
Count Percent Port Proto
4030 32.64% 23 TCP
625 5.06% 8291 TCP
611 4.95% 7547 TCP
605 4.9% 34567 TCP
524 4.24% 8080 TCP
504 4.08% 5555 TCP
448 3.63% 52869 TCP
255 2.07% 22 TCP
252 2.04% 2323 TCP
249 2.02% 81 TCP
196 1.59% 60001 TCP
161 1.3% 3389 TCP
156 1.26% 88 TCP
136 1.1% 8081 TCP
134 1.09% 8000 TCP
132 1.07% 8888 TCP
131 1.06% 82 TCP
123 1.0% 139 TCP
112 0.91% 1433 TCP
105 0.85% 9200 TCP
102 0.83% 1588 TCP
97 0.79% 8181 TCP
93 0.75% 83 TCP
91 0.74% 9090 TCP
83 0.67% 5984 TCP
82 0.66% 84 TCP
79 0.64% 5060 UDP
77 0.62% 85 TCP
72 0.58% 5431 TCP
56 0.45% 65529 TCP
52 0.42% 6379 TCP
49 0.4% 4899 TCP
47 0.38% 69 UDP
46 0.37% 21 TCP
45 0.36% 2222 TCP
41 0.33% 8088 TCP
41 0.33% 3306 TCP
40 0.32% 7001 TCP
27 0.22% 6380 TCP
--[end]--


Drugi strežnik je na OKEANOS omrežju:

--[loglines=35593]--
Count Percent Port Proto
30759 86.42% 445 TCP
2570 7.22% 3389 TCP
458 1.29% 23 TCP
159 0.45% 53 UDP
94 0.26% 8080 TCP
88 0.25% 34567 TCP
66 0.19% 5555 TCP
57 0.16% 81 TCP
37 0.1% 88 TCP
32 0.09% 2323 TCP
27 0.08% 65353 TCP
27 0.08% 8000 TCP
27 0.08% 1433 TCP
25 0.07% 82 TCP
23 0.06% 60001 TCP
21 0.06% 8888 TCP
19 0.05% 9200 TCP
19 0.05% 9090 TCP
19 0.05% 5060 UDP
18 0.05% 8083 TCP
17 0.05% 6379 TCP
16 0.04% 8081 TCP
16 0.04% 85 TCP
11 0.03% 5431 TCP
11 0.03% 25 TCP
10 0.03% 8181 TCP
10 0.03% 8088 TCP
10 0.03% 7001 TCP
10 0.03% 6380 TCP
10 0.03% 5900 TCP
10 0.03% 4899 TCP
9 0.03% 65529 TCP
9 0.03% 10000 TCP
9 0.03% 139 TCP
8 0.02% 1588 TCP
8 0.02% 84 TCP
7 0.02% 65530 TCP
7 0.02% 5984 TCP
7 0.02% 3306 TCP
--[end]--



Razlike so. Pri prvem je port 23/TCP na 30%, pri drugem pa 445/TCP na 85%. V obeh primerih isti OS.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

SeMiNeSanja ::

Tako kot sem ti že jaz povedal - očitno skenerji določena IP območja bolj 'obdelujejo' z eno vrsto skena, drugo območje pa z drugim.

Ampak da vidiš 'tišino na IPv6.... tudi slučajno noben ne zaide :)
Pa ko grem staviti, da so IPv6 hosti VELIKO slabše zaščiteni. Samo 'najti' jih je težje, ker je adresni prostor tako velik. Ampak tudi tu so raziskovalci že tuhtali neke fore...

Kar se tiče ponudnikov - po svoje jih je pa tudi za razumeti, da po default nič ne filtrirajo. En aspekt je tisti, ki ga je omenjal joggi, drugi pa je "puščanje denarja na mizi". Drugače povedano - zakaj bi ti to nudili brezplačno, če ti lahko 'prodajo' uporabo virtualne požarne pregrade, s katero si lahko filtriraš kar ti je volja. Tako lepo vrnejo žogico tebi, hkrati pa še nekaj zaslužijo od tega...

O programerju, ki ne ve katere porte njegova aplikacija uporablja, pa ni vredno izgubljati besed. Takemu bi postavil filter, da mu aplikacija sploh nebi mogla komunicirat z internetom, dokler se ne nauči osnov TCP/IP komunikacij.....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

AštiriL ::

Ali je torej skeniranje nedovoljeno?
Mislim za Slovenijo, slišal sem, da je v Nemčiji to striktno nedopustno.

SeMiNeSanja: Vi ste torej kontaktirali T-2 in so oni le do vas blokirali ta IP, ali je T-2 temu uporabniku prekinil naročnino?

Ali mi lahko T-2 blokira Internetni dostop, če, hipotetično, skeniram nek del Interneta?

Kot skeniranje mislim nmap stealth SYN sken.

Kje je v pogojih to navedeno?
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.

SeMiNeSanja ::

AštiriL je izjavil:

Ali je torej skeniranje nedovoljeno?
Mislim za Slovenijo, slišal sem, da je v Nemčiji to striktno nedopustno.

SeMiNeSanja: Vi ste torej kontaktirali T-2 in so oni le do vas blokirali ta IP, ali je T-2 temu uporabniku prekinil naročnino?

Ali mi lahko T-2 blokira Internetni dostop, če, hipotetično, skeniram nek del Interneta?

Kot skeniranje mislim nmap stealth SYN sken.

Kje je v pogojih to navedeno?

Ni se šlo za T-2 naročnika, temveč za nekoga xy, ki je prav sitno 'nabijal' ne nek port / servis...
Če se ne motim, se je šlo za 'preverjanje' DNS amplifikacije (mojemu javnemu DNS-u je pošiljal query-je za neko xy domeno). Seveda je lahko tudi nekdo narobe skonfiguriral svojo domeno, a dvomim...

Taki 'poskusi' ponavadi gredo skozi celo neopaženi, saj uporabljajo dostop, ki je odprt za kogarkoli - problem pa je v 'vsebini'. Navaden packet filter požarni zid bo to prepustil brez da bo karkoli 'opozarjal'. Če pa imaš malo bolj napredno zadevo, ti pa tudi taki poskusi padejo v oči.

Bistveno pri teh skeniranjih ni tisto, kar v logih vidimo, da je bilo blokirano. To nas takointako ni v nobenem oziru ogrozilo.
Problem je tisto, kar 'najde' odprte porte in žive servise na teh portih.

Ti skeni so tisti, ki preverjajo, ali je naša storitev ranljiva ali napačno skonfigurirana. To so tudi tista 'odkritja', katera se potem zabeležijo v raznih bazah in 'preprodajajo' interesentom.

Tipično požarne pregrade 'dropnejo' pakete oz. poskuse povezav, ki priletijo na porte, ki niso odprti in pri tem v syslog ali drug strežnik za dnevnike ustvarijo zapis o 'dogodku'. Samo po sebi dokaj neuporabni zapisi do dogodkih, ki nam niso predstavljaji neko grožnjo. Malenkost bolj zanimivi postanejo, če jih obdelamo statistično in gledamo skozi neko obdobje, tako da lahko nekoliko opazujemo dogajanje/trende na internetu na splošno.

V mojem primeru pa pri teh 'poskusih tipanja' povzročitelj prejme še eno po prstih - če ga zalotim, da je tipal karkoli, kar ni eksplicitno dovoljeno, samodejno za 20 minut pristane na blacklisti in tako ne more 'odkrivati' niti tistih portov in storitev, ki so sicer dostopni za kogarkoli (ki se lepo obnaša).

Ne vem, kako je z 'pravnim statusom' raznoraznih skeniranj. Precej teško bi se to z zakonom prepovedalo, saj tudi marsikatera legalna storitev 'išče sosede' s katerimi se bo povezala. V lokalnih omrežjih to lahko počneš z broadcast-om, v WAN pa ta metoda odpade. Tako potem preostane le možnost registracije na nek centralni strežnik ali pa skeniranje za odprtimi porti. Slednje pa pri legalnih aplikacijah vse manj pride v poštev, na IPv6 pa je praktično neuporabno.

Glede na to, koliko je enih legalnih servisov (npr. Shodan.io), ki redno skenirajo internet za raznoraznimi odprtimi porti in izpostavljenimi aplikacijami, vsekakor dvomim, da bi kdo preganjal 'enostavno skeniranje'.

Tisto, kar postane kazenskopravno problematično, je korak naprej - ko na osdkritem odprtem portu 'preverjaš', če nek 'hack' dejansko deluje. To lahko delaš na svojih računalnikih, na tujih pa le z dovoljenjem lastnika.

No, potem pa je še neka siva cona, o kateri je bilo že veliko govora v drugih temah, ko so se razkrivale ranljive spletne strani naših zdravstvenih domov, bolnic,....

----
Istočasno pa se ne smeš čuditi, če imaš zlorabljen računalnik ali router, ki pošilja spam v svet in dobiš klic od ISP-ja, da te bo odklopil od interneta, če takoj ne odpraviš spammanje. TO je čisto vsakdanji dogodek.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

jsmith ::

Večina naprednih VPS ponudnikov omogoča, da že pri njih blokiraš ves nepotreben dohodni promet in spustiš skozi samo tisto, kar potrebuješ (npr. TCP port 80, 443 in SSH dostop, omejen na tvoje IP naslove, po potrebi še ICMP ping).

link_up ::

skeniranje pa ja ni skodljivo...saj pa ja moras vedeti, ce je kdo/kaj na drugi strani.
In and Out

c3p0 ::

Skeniranje je konstantno. Če sem včasih vzpostavil VPS za stranko in da ni bil blokiran port 22, je čez 2h bilo že nekaj 100 poskusov loginov. Zato porta 22 že lep čas ne odpirano navzven. Poskusi so očitno iz raznih botnetov, ker gre včasih tudi za tisoče različnih IP-jev.

Razne blackliste in ipset na GW-jih precej pomagajo.

jukoz ::

c3p0 je izjavil:

Skeniranje je konstantno. Če sem včasih vzpostavil VPS za stranko in da ni bil blokiran port 22, je čez 2h bilo že nekaj 100 poskusov loginov. Zato porta 22 že lep čas ne odpirano navzven. Poskusi so očitno iz raznih botnetov, ker gre včasih tudi za tisoče različnih IP-jev.

Razne blackliste in ipset na GW-jih precej pomagajo.



Kje je pa problem na portu 22? A je tolk prijav da že DoS-ajo al kaj?

WhiteAngel ::

HotBurek je izjavil:

Bolj me zanima to, zakaj so po defaultu vsi porti odprti. In to ne mislim neki za domače uporabniki (tam so tako zaprti?), ampak za razne strežnike v "gostovanju".

Npr. postaviš VPS in imaš naenkrat vse porte odprte. Koliko ljudi sploh nastavi firewall, spremlja loge itn.? Ker problem so (lahko) tisti, ki tega ne spremljajo in ne poznajo...


Zakaj bi imel porte zaprte s požarnim zidom? Koliko servicov pa sploh laufa na vanilla Ubuntuju LTS? Verjetno SSH na 22, ko ga vklopiš, potem pa nginx/apač na 80/443 in to je to? Po drugi strani se pa lahko igraš in imaš kakšne neznane porte uporabljene za forwarding kam drugam na notranji mreži, če ti proxy ne deluje.

Če imaš Windows strežnik in neke proprietary service pa ja... samo tam moraš pazit, da ti iexplore.exe, sambe, ali miške na rdp-ju ne pohekajo za začetek, ker pač Windows :))

WhiteAngel ::

jukoz je izjavil:

c3p0 je izjavil:

Skeniranje je konstantno. Če sem včasih vzpostavil VPS za stranko in da ni bil blokiran port 22, je čez 2h bilo že nekaj 100 poskusov loginov. Zato porta 22 že lep čas ne odpirano navzven. Poskusi so očitno iz raznih botnetov, ker gre včasih tudi za tisoče različnih IP-jev.

Razne blackliste in ipset na GW-jih precej pomagajo.



Kje je pa problem na portu 22? A je tolk prijav da že DoS-ajo al kaj?


Boti redno poskušajo na 22 z generičnimi up. imeni in gesli, ja. To zgleda dosti grozno, ampak ko še enkrat pogledaš, je cca na 10 sekund en poskus in ni variante da bi bruteforcali geslo. Problem je, ko imaš nesposobnega uporabnika na drugi strani in nima gesla oz. ima janez/123. Takrat mu bo to šola za naprej :P

c3p0 ::

jukoz je izjavil:


Kje je pa problem na portu 22? A je tolk prijav da že DoS-ajo al kaj?


Nepotrebno žre resurse, ja. Not a biggie, a polni loge napačnih prijav.

Nisem pa zasledil, da bi komu kdaj uganili geslo, ker so poskusi kar bedasti. Nek uspeh pa gotovo imajo, drugače bi že pred leti obupali.

misek ::

A obstaja kakšen program s podobno funkcionalnostjo, kot je Port knocking na Linuxu? Port je po privzetem zaprt in se odpre samo na trkanje.

jukoz ::

WhiteAngel je izjavil:



Boti redno poskušajo na 22 z generičnimi up. imeni in gesli, ja. To zgleda dosti grozno, ampak ko še enkrat pogledaš, je cca na 10 sekund en poskus in ni variante da bi bruteforcali geslo. Problem je, ko imaš nesposobnega uporabnika na drugi strani in nima gesla oz. ima janez/123. Takrat mu bo to šola za naprej :P


Če imaš user/pass avtentikacijo na odprtem internetu imaš problem že prej, ne samo ko nekomu uganejo geslo "password123".
No, razen če si Mr.Stein =)

joggi79 ::

WhiteAngel je izjavil:

Zakaj bi imel porte zaprte s požarnim zidom? Koliko servicov pa sploh laufa na vanilla Ubuntuju LTS? Verjetno SSH na 22, ko ga vklopiš, potem pa nginx/apač na 80/443 in to je to?

Tole je sarkazem ali resno? Ker ce je resno, potem prosim ne dajaj nasvetov glede network securitya. Pa ne mislim nic slabega ampak pac o tem ne ves dovolj, da bi bil kompetenten.
Zakaj bi imel pred serverji/mrezo firewall? Dobesedno iz istega razloga, kot doma ali v avtu zaklepas vrata ko zapustis stanovanje/hiso ali gres od avta v trgovino. To je realno najlepsa primerjava. Ce te pa zanima koliko portov imas odprting na freshly installed Linuxu pa naredi "netstat -tulpn | grep LISTEN"

issak ::

misek je izjavil:

A obstaja kakšen program s podobno funkcionalnostjo, kot je Port knocking na Linuxu? Port je po privzetem zaprt in se odpre samo na trkanje.


iptables ali pa knockd mogoče https://wiki.archlinux.org/index.php/Po...
Desktop: i7-4790K | RTX2080 | Asus Z97i-Plus | 16 GB RAM | Acer XF270HUA
Server: Asrock J3160-ITX | 8GB RAM | CM Elite 130
OLKB Planck | Logitech G403 Wireless | Sennheiser HD6XX

HotBurek ::

root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

misek ::

issak, pozabil sem dopisati za Windows sistem :(

rabelj5 ::

c3p0 je izjavil:

jukoz je izjavil:


Kje je pa problem na portu 22? A je tolk prijav da že DoS-ajo al kaj?


Nepotrebno žre resurse, ja. Not a biggie, a polni loge napačnih prijav.

Nisem pa zasledil, da bi komu kdaj uganili geslo, ker so poskusi kar bedasti. Nek uspeh pa gotovo imajo, drugače bi že pred leti obupali.

ljudje ki gledajo loge niso nijihova ciljna publika zato tudi nisi videl da bi uganili geslo :)

AštiriL ::

SeMiNeSanja: hvala za odgovor.-

joggi79: torej, po tvojem mnenju, iptables zaščita ni dovolj in bi potreboval še kakšen hardware firewall?-

odprta vrata 22 in ssh servis ponavadi ne predstavlja problema, le dokler imaš varna gesla in pa kakšen drugačen protection. Jaz uporabljam fail2ban, torej, da po 3 napačnih poizkusih gesla na dan zapovrstjo, blokira temu ipv4/32 naslovu vse povezave na strežnik z iptables za en dan.
problem je, če inštaliraš kakšne predpotopne tehnologije, kot so legacy FTP standardi (nmap lahko uporabi slabo skonfiguriran legacy FTP strežnik kot proxy za odkrivanje TCP odprtih vrat), NTP (amplifikacijski DoS), ali pa že prej omenjeni slabo skonfigurirani DNS strežniki brez omejitev (amplifikacijski DoS).

Če moj strežnik zazna sumljivo aktivnost, se ne bo več odzial na pakete iz tega IP-ja.

Problem nastane pri NAT-u, ko en uporabnik znotraj NAT-a vsem ostalim onemogoči dostop do mojega strežnika z pičlimi tremi poizkusi SSH gesla.
Druga težava je pri IPv6, ko ne veš točno, koliko bi omejil naslovni prostor. Nekateri ponudniki nudijo /64, kakšni več/manj.

Preden sem uporabljal fail2ban sem zbiral gesla in izdeloval wordlist. Ni se obrestovalo, saj so poizkusi res iz generičnih wordlist in ne vsebujejo novih leakov.
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.

jukoz ::

AštiriL je izjavil:



joggi79: torej, po tvojem mnenju, iptables zaščita ni dovolj in bi potreboval še kakšen hardware firewall?-


iptables je povsem dovolj, ne rabiš železne kište.

Če se ti zdi da rabiš, ti lahko posodim en hardware FW z opozorilnimi lučkami za VIRUS in podobno. Če misliš da boš potem bolj varen =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

joggi79 ::

AštiriL je izjavil:

joggi79: torej, po tvojem mnenju, iptables zaščita ni dovolj in bi potreboval še kakšen hardware firewall?-

Ne vem... vsi Linux freaki imajo iptables za firewall nad firewalli. Ker pac nisem Linux freak (ceprav je Linux moj primarni sistem za delo), ampak sem ze fejst dolgo v networkingu (Cisco pa se to bolj core networking kot security), se vedno prisegam na pravi firewall, ne na bugasto stvar, ki tece na bugastem sistemu (no offense Linux fans). Tako da vsaj kar se mene tice je iptables ze ok, ampak pred tem mora biti spodoben firewall.

SeMiNeSanja ::

Vse je še kolikor toliko 'pregledno', dokler imaš samo 'mašino' na omrežju. Pri čem ta mašina služi striktno enemu določenemu namenu (npr. web server).

Nekako ne rabiš biti nek znanstvenik, da lepo vse ostale porte pozapreš, nepotrebne servise pogasneš, tako da imaš na koncu samo še peščico odprtih portov in zagnanih storitev. Če so vse te 100% pravilno skonfiguritane in sproti posodabljane, se lahko nekako 'zmažeš'.

Z vsakim dodatnim uporabniškim imenom in vsako dodatno storitvijo pa tveganje narašča.
Čim pa enkrat poleg mašine dodaš še interaktivnega uporabnika, pa je v hipu konec zabave. Manj ko je ta uporabnik osveščen in bolj ko uporablja 'internet' bolj se povečuje tveganje, da bi lahko 'enkrat' nekaj šlo narobe.

ČE imaš samo en strežnik nič interaktivnih uporabnikov in se ti ljubi ukvarjat z iptables (oz. jih obvladaš - kar ni povsem samoumevno), potem se za prvo silo z njimi dovolj 'zapreš'. Z high-end samostojnimi rešitvami se razlikuješ le v toliko, da dovoljeni promet ne 'seciraš' z vsemi mogočimi varnostnimi storitvami. Zato je potem toliko bolj pomembno, da imaš izpostavljene servise pravilno skonfigurirane in posodobljene.

'Železnina' oz. centralni firewall (saj je lahko tudi kot virtualka), postane smiselna, če imaš veliko serverjev in nebi ravno na vsakem posebej nekaj štrikal z iptables. Lahko je tudi smiseln, če se nikakor ne moreš spoprijateljiti z iptables. Enako je potreben, če hočeš omejevati promet med posameznimi virtualnimi omrežji in subneti. Nuja pa postane, če imaš še interaktivne uporabnike na omrežju.

Drugače pa je tudi odvisno od tega, kaj imaš na svojem strežniku. Če boš imel finančne podatke podjetja z kadrovsko evidenco in plačami, ali šolsko bazo dijakov, ocen in drugih osebnih podatkov.... no, potem bi vseeno priporočal malo bolj 'konkretno' zaščito, da ti kasneje ne bo kdo očital, da nisi zadev 'primerno' varoval. Če pa na strežniku zgolj skladiščiš svoje najljubše playliste, pa res ni potrebe za zaščito tipa fort knox.

Drugače pa jaz nisem ravno pristaš odprtih portov za 'uporabniški dostop'. Za to obstajajo VPN povezave, pa še bistveno ti olajšujejo osrednji nadzor nad tem, kdo je kdaj visel na sistemu. Če nadgradiš še z MFA, pa se lahko samo posmehuješ tistim, ki skušajo na brutforce vdirati.
Pri sebi nimam odprtega ne imap, niti pop3, kaj šele smtp za pošiljanje. Povežem se preko VPN, potem pa lahko mailam. Če zame ni 'prehuda', nebi smela biti za nikogar.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

mahoni ::

joggi79 je izjavil:

AštiriL je izjavil:

joggi79: torej, po tvojem mnenju, iptables zaščita ni dovolj in bi potreboval še kakšen hardware firewall?-

Ne vem... vsi Linux freaki imajo iptables za firewall nad firewalli. Ker pac nisem Linux freak (ceprav je Linux moj primarni sistem za delo), ampak sem ze fejst dolgo v networkingu (Cisco pa se to bolj core networking kot security), se vedno prisegam na pravi firewall, ne na bugasto stvar, ki tece na bugastem sistemu (no offense Linux fans). Tako da vsaj kar se mene tice je iptables ze ok, ampak pred tem mora biti spodoben firewall.

Danasnji firewall ni samo firewall, ampak vsi govorijo o tako imenovanem Next Generation Firewallu oziroma iz preteklosti o UTM.

Jaz brez tapravega "zeleznno-virtualnega" firewalla ne verjamem nobenmu druzmu firewallu.

jukoz ::

joggi79 je izjavil:


Ne vem... vsi Linux freaki imajo iptables za firewall nad firewalli. Ker pac nisem Linux freak (ceprav je Linux moj primarni sistem za delo), ampak sem ze fejst dolgo v networkingu (Cisco pa se to bolj core networking kot security), se vedno prisegam na pravi firewall, ne na bugasto stvar, ki tece na bugastem sistemu (no offense Linux fans). Tako da vsaj kar se mene tice je iptables ze ok, ampak pred tem mora biti spodoben firewall.


Zadnji bugi so vpisani v petek, tako da...
https://tools.cisco.com/security/center...

SeMiNeSanja je izjavil:



Nekako ne rabiš biti nek znanstvenik, da lepo vse ostale porte pozapreš, nepotrebne servise pogasneš, tako da imaš na koncu samo še peščico odprtih portov in zagnanih storitev. Če so vse te 100% pravilno skonfiguritane in sproti posodabljane, se lahko nekako 'zmažeš'.


Ne nekako, si kar zares, relano varen.

SeMiNeSanja je izjavil:


'Železnina' oz. centralni firewall (saj je lahko tudi kot virtualka), postane smiselna, če imaš ...


A bi lahko prosim nehali propagirati virtualke kot dobro idejo za FW. Že 15 let nazaj je bila to totalna bedarija, danes je pa tudi. FW je tvoja prva obrambna linija in je deležev vsega kar je na netu. Ko ti zaradi nekih bugov pade, ima napadalec dostop do VM strežnika in potem do vsega kar imaš gor.

To je slaba varnostna praksa. Potem je bolje imet 15 let star železen FW. Ga vsaj noben ne zna več pohackat =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

HotBurek ::

Jaz uporabljam fail2ban, torej, da po 3 napačnih poizkusih gesla na dan zapovrstjo, blokira temu ipv4/32 naslovu vse povezave na strežnik z iptables za en dan.

Kaj pa, če iščejo veljavna uporabniška imena? Primer:

Oct 6 20:12:39 host sshd[2767]: Invalid user naadmin from 193.105.134.95 port 8663
Oct 6 20:12:42 host sshd[2767]: pam_unix(sshd:auth): check pass; user unknown
Oct 6 20:12:42 host sshd[2767]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.105.134.95
Oct 6 20:12:44 host sshd[2767]: Failed password for invalid user naadmin from 193.105.134.95 port 8663 ssh2
Oct 6 20:12:46 host sshd[2767]: Disconnecting invalid user naadmin 193.105.134.95 port 8663: Change of username or service not allowed: (naadmin,ssh-connection) -> (dvs,ssh-connection) [preauth]


Ti naredijo po 100 poizkusov, rotirajo pa username. Gre to v Fail2ban tudi rešit?


Ta drugi, ki so nadležni, so pa tile:

116.255.212.248 - - [06/Oct/2019:14:30:53 +0300] "GET /phppma/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:30:53 +0300] "GET /phpmy/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:30:53 +0300] "GET /mysql/admin/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:30:54 +0300] "GET /mysql/dbadmin/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:30:57 +0300] "GET /mysql/sqlmanager/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:30:57 +0300] "GET /mysql/mysqlmanager/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.$
116.255.212.248 - - [06/Oct/2019:14:30:57 +0300] "GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) C$
116.255.212.248 - - [06/Oct/2019:14:30:57 +0300] "GET /sqladmin/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:31:00 +0300] "GET /sql/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:31:00 +0300] "GET /SQL/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:31:00 +0300] "GET /websql/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:31:01 +0300] "GET /MySQLAdmin/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:31:02 +0300] "GET /manager/html HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"



Pa tele sem zasledil:

51.15.130.59 - - [05/Oct/2019:13:25:07 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 666 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:25:10 +0300] "" 400 0 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:25:10 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 684 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:25:15 +0300] "it.norm&CmdAck=" 400 150 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:25:15 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 657 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:25:18 +0300] "+wget.exploit.zte" 400 150 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:30:35 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 662 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:30:38 +0300] "" 400 0 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:30:38 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 682 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:30:43 +0300] "it.norm&CmdAck=" 400 150 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:30:44 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 655 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:30:47 +0300] "+wget.exploit.zte" 400 150 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:37:56 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 667 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:37:59 +0300] "" 400 0 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:37:59 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 689 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:38:04 +0300] "ck=" 400 150 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:38:04 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 657 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:38:07 +0300] "" 400 0 "-" "-"


Requesti, ki ne zabeležijo niti GET/POST.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

joggi79 ::

Jukoz ok brez veze. Poglej si stevilo critical bugov v Cisco zgodovini in stevilo le-teh na Linuxu... pa za Linux ni treba iti v zgodovino... bo samo en mesec dovolj, da prides na isto stevilko. Nikoli nisem trdil da je Cisco (ali karkoli podobnega) brez bugov, jih ima pa se vedno manj kot recimo nek linux. Ampak vsak pac dela kar hoce, ceprav mi gre mocno na k** boga in pol "strokovnjakov", ki pametujejo o teh stvareh, v resnici pa ne znajo skonfigurirati niti pravega IP-ja na port/kartico in potem imam posledicno tudi jaz neprimerno vec dela, ce je pol masin (pa v praksi jih ni pol ampak recimo 90%) na omrezju prosto odprtih. Ma ja, pac naj si vsak postima kar si zeli, se pa strinjam da je tudi napol postiman iptables vseeno boljsi kot nic.

jukoz ::

mahoni je izjavil:


Danasnji firewall ni samo firewall, ampak vsi govorijo o tako imenovanem Next Generation Firewallu oziroma iz preteklosti o UTM.

Jaz brez tapravega "zeleznno-virtualnega" firewalla ne verjamem nobenmu druzmu firewallu.


Glede na eno drugo temo se še učiš. In naučil se boš, da je danes realno "interno" omrežje ena velika džungla, kjer ti "Next Gen" FWji ne pomagajo kaj dosti.

Vsak gradnik omrežja mora biti varovan in mora sam ščititi svoje povezave. Dandanes se 99% omrežij ne da centralno zakleniti. Vedno bo nekdo rabil nek wetransfer ali pa svoj 10 let star PC priklopiti na omrežje. In potem se začne veselje.

Samo v res organiziranih in kontroliranih omrežjih lahko vse zakleneš in centralno držiš nadzor =)

joggi79 je izjavil:

Jukoz ok brez veze. Poglej si stevilo critical bugov v Cisco zgodovini in stevilo le-teh na Linuxu... pa za Linux ni treba iti v zgodovino... bo samo en mesec dovolj, da prides na isto stevilko. Nikoli nisem trdil da je Cisco (ali karkoli podobnega) brez bugov, jih ima pa se vedno manj kot recimo nek linux. Ampak vsak pac dela kar hoce, ceprav mi gre mocno na k** boga in pol "strokovnjakov", ki pametujejo o teh stvareh, v resnici pa ne znajo skonfigurirati niti pravega IP-ja na port/kartico in potem imam posledicno tudi jaz neprimerno vec dela, ce je pol masin (pa v praksi jih ni pol ampak recimo 90%) na omrezju prosto odprtih. Ma ja, pac naj si vsak postima kar si zeli, se pa strinjam da je tudi napol postiman iptables vseeno boljsi kot nic.


Ne spomnim se da bi kdaj kakšna spoštovana distribucija Linuxa izšla s hardcodanimi gesli. FWji od Cisco, Juniper, Fortinet, ... pa so =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

Jah, to je pa 'evolucija' požarnih pregrad. Tako, kot je TV bil nekoč katodni in črnobel, tako so nekoč bile požarne pregrade zgolj paketni filtri. "Prva generacija".

Za nekoga, ki nima pojma (direktor neke firme, nek s.p.-jevec,...) je tudi požarna pregrada prve generacije 'požarna pregrada'.

Vendar nič ne de - čeprav se gre za tehnologijo, ki je stara 30 let, lahko v DOLOČENIH SCENARIJIH povsem zadošča. Nikakor pa ne zadošča za vse primere in scenarije.

Problem nastane, ko nek skopuški direktor vidi, da na škatli od Asus ali nevem katerega usmerjevalnika piše "FIREWALL" in te potem obtoži, da ga skušaš naplahtati, ker 'tvoj Firewall' ni 50EUR ampak 200x več.

V isti koš se meče 30, 20, 10 let staro tehnologijo in tehnologijo današnjega dne. Še na področju 'današnjih' rešitev na področju 'NextGen' ali kakor jim jaz raje rečem "SODOBNIH" požarnih pregrad so gromozanske razlike, katere le redko kdo pozna.

@Jukoz - nikar generalno ne črni virtualnih požarnih pregrad - preveč je scenarijev, kjer nimaš možnosti, da boš postavil svojo 'železnino', nebi se pa rad zanašal izključno na to, kar ti nudi hosting provider. Čim si pa enkrat v filtranju med virtualnimi omrežji, pa ti fizična železnina takointako ne more več pomagati in si prisiljen posegati po virtualni požarni pregradi.
Enako velja za Amazon in Azure - tja ne moreš odnesti svoje železnine, zaščito pa ravno tako še vedno potrebuješ.

Vsekakor imajo virtualne požarne pregrade svoj smisel obstoja. Moraš pa seveda vedeti kje in zakaj uporabljaš tako ali drugačno implementacijo.

V OP-ovem primeru je bilo govora o neki VPS platformi v GRČIJI... Malo verjetno, da bi tja pošiljal neko svojo železnino, da ti bo varovala strežnik...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

jukoz ::

HotBurek je izjavil:


Ta drugi, ki so nadležni, so pa tile:

116.255.212.248 - - [06/Oct/2019:14:30:53 +0300] "GET /phppma/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:30:53 +0300] "GET /phpmy/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:30:53 +0300] "GET /mysql/admin/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:30:54 +0300] "GET /mysql/dbadmin/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:30:57 +0300] "GET /mysql/sqlmanager/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:30:57 +0300] "GET /mysql/mysqlmanager/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.$
116.255.212.248 - - [06/Oct/2019:14:30:57 +0300] "GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) C$
116.255.212.248 - - [06/Oct/2019:14:30:57 +0300] "GET /sqladmin/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:31:00 +0300] "GET /sql/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:31:00 +0300] "GET /SQL/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:31:00 +0300] "GET /websql/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:31:01 +0300] "GET /MySQLAdmin/index.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.108 Safari/537.36"
116.255.212.248 - - [06/Oct/2019:14:31:02 +0300] "GET /manager/html HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0"



Pa tele sem zasledil:

51.15.130.59 - - [05/Oct/2019:13:25:07 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 666 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:25:10 +0300] "" 400 0 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:25:10 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 684 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:25:15 +0300] "it.norm&CmdAck=" 400 150 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:25:15 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 657 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:25:18 +0300] "+wget.exploit.zte" 400 150 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:30:35 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 662 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:30:38 +0300] "" 400 0 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:30:38 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 682 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:30:43 +0300] "it.norm&CmdAck=" 400 150 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:30:44 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 655 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:30:47 +0300] "+wget.exploit.zte" 400 150 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:37:56 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 667 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:37:59 +0300] "" 400 0 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:37:59 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 689 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:38:04 +0300] "ck=" 400 150 "-" "-"
51.15.130.59 - - [05/Oct/2019:13:38:04 +0300] "POST /web_shell_cmd.gch HTTP/1.1" 200 657 "-" "HaxerMen"
51.15.130.59 - - [05/Oct/2019:13:38:07 +0300] "" 400 0 "-" "-"



Tile samo testirajo za znanimi ranljivostmi. Se ni za sekirat.

tony1 ::

" Ne spomnim se da bi kdaj kakšna spoštovana distribucija Linuxa izšla s hardcodanimi gesli. FWji od Cisco, Juniper, Fortinet, ... pa so =)"

Seveda se to zdi danes precej nerodno (za tele omenjene vendorje se sčasoma zna zgoditi, da bodo kje kakšno takšno pozabljeno geslo še kje našli), treba pa je razumeti, da se varnostne prakse z leti pač spreminjajo. In ker je Linux starejši od vseh omenjenih firewallov sam ne bi upal dati roke v ogenj, da kdaj v preteklosti tega niso naredili.

jukoz ::

SeMiNeSanja je izjavil:


@Jukoz - nikar generalno ne črni virtualnih požarnih pregrad - preveč je scenarijev, kjer nimaš možnosti, da boš postavil svojo 'železnino', nebi se pa rad zanašal izključno na to, kar ti nudi hosting provider. Čim si pa enkrat v filtranju med virtualnimi omrežji, pa ti fizična železnina takointako ne more več pomagati in si prisiljen posegati po virtualni požarni pregradi.
Enako velja za Amazon in Azure - tja ne moreš odnesti svoje železnine, zaščito pa ravno tako še vedno potrebuješ.

Vsekakor imajo virtualne požarne pregrade svoj smisel obstoja. Moraš pa seveda vedeti kje in zakaj uporabljaš tako ali drugačno implementacijo.

V OP-ovem primeru je bilo govora o neki VPS platformi v GRČIJI... Malo verjetno, da bi tja pošiljal neko svojo železnino, da ti bo varovala strežnik...


Hm... ena virtualka varuje drugo virtualko na istemo hostu. Kaj neki bi lahko šlo narobe =)

Theo de Raad pravi nekaj v tem smislu:
"Why does everything think that when it comes to writing VM/container software suddenly people gain super human programming powers and no longer make the same mistakes they make writing operating systems?"

tony1 ::

Informacijska varnost se vedno gradi v plasteh, tudi če te niso 100%, ker nobena zaščita ni. Jasno je, da je fizično ločena naprava boljša; v realnosti pa je VM (zelo čez palec) kakšnih 10% slabša.

Glede na to, kako se gradi oblake v kontejnerjih, pa je danes morda že VM firewallov skoraj toliko kot fizičnih škatel :)

SeMiNeSanja ::

@Jukoz - torej je po tvoje bolje ne imeti nič, kot nekaj, kar bi morda teoretično lahko bilo kdaj problematično? (Trenutno mi ni poznan exploit, ki bi efektivno zaobšel virtualno požarno pregrado)

Mogoče imaš nekoliko ekstremno stališče. Imam par high-end uporabnikov, ki so izredno zadovoljni z virtualno varianto in niti pod razno ne delijo tvojega mnenja.

Kot rečeno - kaj ti preostane drugega, če imaš najete mašine nekje v tujini, na Amazon ali Azure? Fizična požarna pregrad ni opcija - boš potem zaradi 'ideoloških pomislekov' raje brez vsega? Potem moraš imeti iste pomisleke tudi proti Cloud-u in virtualizaciji generalno.

Za varovanje fizičnih omrežij pa tudi jaz ne priporočam virtualne požarne pregrade (čeprav se tudi to kje najde). Predvsem imajo fizične požarne pregrade tudi prednost pri HW podpori šifriranju, kar potrebuješ, če delaš SSL inšpekcijo in/ali imaš intenzivne VPN povezave.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

mahoni ::

SeMiNeSanja je izjavil:


Mogoče imaš nekoliko ekstremno stališče. Imam par high-end uporabnikov, ki so izredno zadovoljni z virtualno varianto in niti pod razno ne delijo tvojega mnenja.

Za katero resitev pa gre, ce ni skrivnost?

SeMiNeSanja ::

mahoni je izjavil:

SeMiNeSanja je izjavil:


Mogoče imaš nekoliko ekstremno stališče. Imam par high-end uporabnikov, ki so izredno zadovoljni z virtualno varianto in niti pod razno ne delijo tvojega mnenja.

Za katero resitev pa gre, ce ni skrivnost?

Ni skrivnost - itak vrabci čivkajo, da sem "WatchGuard"-ovec
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

tony1 ::

Vsak vendor požatnih pregrad ima skoraj gotovo tudi VM rešitev.

Kot je SMNS že omenil je (poleg večje varnosti) prednost strojnih požarnih pregrad tudi to, da vsebujejo namenske čipe za akceleracijo firewallinga in vseh vrst enkripcije. Če ti to ni življenjsko pomembno, so lahko povsem uporabne.

jukoz ::

tony1 je izjavil:

Informacijska varnost se vedno gradi v plasteh, tudi če te niso 100%, ker nobena zaščita ni. Jasno je, da je fizično ločena naprava boljša; v realnosti pa je VM (zelo čez palec) kakšnih 10% slabša.

Glede na to, kako se gradi oblake v kontejnerjih, pa je danes morda že VM firewallov skoraj toliko kot fizičnih škatel :)


Zelo čez palec =)

Nimamo načina da bi naredili oceno. Prednost virtualk je, da (običajno) sedijo na zelo močnem hostu, ki:
1.) je mnogo bolj razširljiv kot pa nek HW FW
2.) potencialno ne kuri dodatnega štroma oz kuri manj kot dodatna kišta

Ampak, če imaš že nek host VM mašino, potem tudi kuri tono štroma sama po sebi. In v tem primeru te en namenski PC za FW ne stane kaj dosti več:

Cela kištica (mal švoh):
https://www.amazon.de/Mi19W-S2-Celeron-...

Razširljivo kolikor češ:
https://www.amazon.de/Gigabyte-GA-H110-...

SeMiNeSanja je izjavil:

@Jukoz - torej je po tvoje bolje ne imeti nič, kot nekaj, kar bi morda teoretično lahko bilo kdaj problematično? (Trenutno mi ni poznan exploit, ki bi efektivno zaobšel virtualno požarno pregrado)

Mogoče imaš nekoliko ekstremno stališče. Imam par high-end uporabnikov, ki so izredno zadovoljni z virtualno varianto in niti pod razno ne delijo tvojega mnenja.

Kot rečeno - kaj ti preostane drugega, če imaš najete mašine nekje v tujini, na Amazon ali Azure? Fizična požarna pregrad ni opcija - boš potem zaradi 'ideoloških pomislekov' raje brez vsega? Potem moraš imeti iste pomisleke tudi proti Cloud-u in virtualizaciji generalno.

Za varovanje fizičnih omrežij pa tudi jaz ne priporočam virtualne požarne pregrade (čeprav se tudi to kje najde). Predvsem imajo fizične požarne pregrade tudi prednost pri HW podpori šifriranju, kar potrebuješ, če delaš SSL inšpekcijo in/ali imaš intenzivne VPN povezave.


Nikakor nisi brez vsega - kot sem zapisal, v oblaku računalnik ni tvoj in ne nadziraš kaj se dogaja z njem. Torej imaš gor samo tisto kar mora res biti.
Ne razumem kje je problem, če imaš nek iptables, ki skrbi da do dostopne samo zadeve ki jih rabiš.

V cloudu predvidevam da nimaš virtualnega FW za fizično omrežje pri sebi =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

tony1 je izjavil:

Vsak vendor požatnih pregrad ima skoraj gotovo tudi VM rešitev.

Kot je SMNS že omenil je (poleg večje varnosti) prednost strojnih požarnih pregrad tudi to, da vsebujejo namenske čipe za akceleracijo firewallinga in vseh vrst enkripcije. Če ti to ni življenjsko pomembno, so lahko povsem uporabne.

Res je, bolj ali manj vsi proizvajalci ponujajo neke virtualne požarne pregrade.
Vendar so različni odzivi uporabnikov, glede na katere ne veš, kaj bi si mislil.

Npr. pri Sophos sem že večkrat slišal, da ima tista 'home' varianta porazne performanse. Istočasno pa se v forumu ni odzval predstavnik Sophosa, da bi pojasnil, če se komercialna varianta obnaša lepše (bilo bi možno, da so 'home' verziji vgradili 'ročno zavoro', da bi bila neatraktivna za poslovno rabo). Vendar pa je to slaba marketing poteza, če ne poveš na ves glas, da je 'home' verzija še kaj drugače omejena, kakor le glede na število uporabnikov.

Probleme z virtualnimi požarnimi pregradami imajo tudi proizvajalci, ki so močno odvisni od ASIC čipovja...
Nasprotno pa proizvajalci, ki uporabljajo Intel platforme, bistveno hitreje in lažje nudijo virtualne inačice.

Ostalo pa... stvar okusa... Tako kot pri fizičnih imaš goreče zagovornike ene ali druge platforme, velja isto tudi za virtualne (oz, se prenese naprej nanje). Žal prepogosto slepo zagovarjajo 'svojo' platformo, ne da bi o drugih karkoli vedeli....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

gslo ::

če so managed VPS-ji, potem ni odprto nič, razen tistega kar stranka laufa, ponavadi ne dobi niti roota.

če niso managed VPS-ji, stranka dela kar se ji sprdne. Ima svoj IP in te bk, če prleti na vse spamliste tega sveta. ko zajebejo sceno, jo sanirajo sami, če je problem zakonodaja, jo odklopiš ti, če ga pa pohekajo in rabi restore, pa to plača in dobi. v tistem primeru jim pač ne moreš omejevat kaj lahko in česa ne, ker je scenarij zakaj kdo kaj rabi preveč. pač jih opozoriš, če je to slaba praksa, na koncu je pa še vedno na njih. če folk omejuješ preveč, se poberejo h konkurenci, ki ima zadeve "bolj odprte". to dela, dokler ni sranja.

Providerji majo ponavad porihtan pr seb in pr strankah, ki jih popolnoma upravljajo. drugim pa pač dajo resource v najem in se ne ukvarjajo več s tem.

Zgodovina sprememb…

  • spremenilo: gslo ()

SeMiNeSanja ::

jukoz je izjavil:


Nikakor nisi brez vsega - kot sem zapisal, v oblaku računalnik ni tvoj in ne nadziraš kaj se dogaja z njem. Torej imaš gor samo tisto kar mora res biti.
Ne razumem kje je problem, če imaš nek iptables, ki skrbi da do dostopne samo zadeve ki jih rabiš.

Mislim da malenkost preveč ozko gledaš kaj vse ljudje postavljajo v oblake in z kakšnim namenom.

Imaš tudi take, ki so čisto 'notpadli' kar se tiče oblakov in so tja zvleki še svojo staromamo.
Čim imaš enkrat celo kopico virtualk v oblaku, si že tam, kjer se nočeš ukvarjati z iptables in vsako mašino posebej.

Eni so počasi že šli korak nazaj, drugi pa še niso tako daleč. Definitivno pa imaš vse sorte načinov uporabe in enostavno ne moreš vse metati v isti koš.

jukoz je izjavil:


V cloudu predvidevam da nimaš virtualnega FW za fizično omrežje pri sebi =)


Samo še to se mi manjka.....

Pa kljub temu, se to dejansko ponuja na trgu (ni dva meseca tega, ko so me eni snubili, če bi hotel nekaj takega ponujat zanje....sem rekel hvala, se ne sklada z mogo 'ideologijo')
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

tony1 ::

jukoz: Od kje sem potegnil 10%?

Načina nimamo, ga bom pa zdajle izumil: recimo, da imamo neko število lukenj, s katerimi slabi fantje uspejo nepooblaščeno priti do inf. virov, ki naj bi jih FW ščitil. Teh je cel kup, od vseh vrst varnostnih lukenj, do slabe konfiguracije in do... nepopatchanega biosa, driverjev, CPU lukenj, Minixa v CPUju in kar je še tega, kar bi omogočalo VM-jump, pa naj bi bilo nemogoče s strojnim firewallom.

In menim, da se vsaj 90% exploitov na firewalih naredi brez zlorabe tistih sort lukenj, ki na strojnih FWjih ne obstajajo. Iz tega potegnem oceno, da VM firewalli niso idelana rešitev, so pa lahko varnostno gledano čisto solidna rešitev.

tony1 ::

Ker pa ne bi rad, da se tukaj začne sveta vojna: vsi moji Fwji so hardverski. :))

SeMiNeSanja ::

tony1 je izjavil:

Ker pa ne bi rad, da se tukaj začne sveta vojna: vsi moji Fwji so hardverski. :))

V principu imaš vključen tudi IPS, ki bi tudi smel otežiti 'preskakovanje', če nisi izumil neko čisto novo varianto.
Tiste 'ta stare' variante pa mislim da so vse pokrpane...?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Saul Goodman ::

čak, a jest prov razumem, da zastopnik za watchguard v letu 2019 v Sloveniji strankam govori, da on nima FireboxV in Firebox Cloud v ponudbi, ker se ne sklada z njegovo ideologijo? :D yikers.

jukoz ::

SeMiNeSanja je izjavil:


jukoz je izjavil:


V cloudu predvidevam da nimaš virtualnega FW za fizično omrežje pri sebi =)


Samo še to se mi manjka.....



To sem si tudi jaz mislil 10 let nazaj za Asterisk centrale. Glej ga zlomka =)

SeMiNeSanja ::

Saul Goodman je izjavil:

čak, a jest prov razumem, da zastopnik za watchguard v letu 2019 v Sloveniji strankam govori, da on nima FireboxV in Firebox Cloud v ponudbi, ker se ne sklada z njegovo ideologijo? :D yikers.

Kaj si pa ti zdaj narobe razumel?
Jajks!

Da ne boš še enkrat zgoraj bral in mogoče še eno novo varianto interpretacije pogruntal:

Kontaktirali so me iz neke nemške firme, ki ponuja nekakšne "Cloud Firewall as a service" - torej ena in edina opcija, da oni na svoji infrastrukturi poganjajo nekakšno svojo UTM rešitev, tebi pa preko nekakšnega tunela 'dostavijo' prečiščen promet...

To nima nič skupnega z FireboxV ali Cloud - oboje se prvenstveno uporablja za varovanje 'lokalne' infrastrukture (lokalne v cloudu ali na nivoju virtualnega hosta).
'Skregano z mojo ideologijo' je nekje v oblaku filtrirat promet za moje (oddaljeno) lokalno omrežje. Nekako ne gre, da bom promet iz WiFi AP-ja poslal v Cloud in nazaj, če bom hotel npr. filtrirat promet do mail serverja v lokalnem DMZ.
Te storitve ki jih ponujajo taki ponudniki so za uporabnike z najnižjo zahtevnostjo in popolnoma 'flat' omrežjem. Za kakšnega čevlarja morda... če je veriga čevljarjev je pa že problem, ker lahko rabi še VPN povezljiost...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

KODI na PC - težava

Oddelek: Pomoč in nasveti
5514 (266) refosk
»

Škoda zaradi internetnih prevar raste

Oddelek: Novice / Varnost
295461 (2972) JN
»

Nginx log - razlaga zapisa

Oddelek: Izdelava spletišč
6496 (215) dunda
»

Fake traffic generator

Oddelek: Omrežja in internet
191514 (710) HotBurek
»

Reinštalacija sistema

Oddelek: Pomoč in nasveti
111323 (1035) scipascapa

Več podobnih tem