Hacknutý server - co dělat?

Re:Hacknutý server - co dělat?
« Odpověď #15 kdy: 23. 04. 2012, 13:08:43 »
Nic jiného jsi ovšem nenapsal :) . Vše je jenom o tom že zhoršuješ útočníkovi cestu , tudíž ani změna portu k ničemu nevede atd. atd.  A je zbytečné o tom polemizovat neb takových diskusí je na netu tuna. 


SSH na jiný port nemusíš dávat je to zbytečné, nastav si přihlašování přes klíče a pokud můžeš tak jen přes VPN /není podmínkou/ .

Neni to zbytecne. Jakmile bot najde otevreny ssh port, zacne ho bombardovat pokusy - to vede minimalne k zbytecnemu zahlceni pripojeni. Zakazovani podle IP v dnesni ere botnetu nema moc smysl - tabulka zakazanych IP bobtna a utoky pokracuji.

Pristup k ssh pres vpn je uz uplny nesmysl. Napr. OpenVPN ma stejne silnou autentizaci jako ssh, takze to zadny vyznamny narust bezpecnosti neprinasi, jenom to komplikuje pristup.


Re:Hacknutý server - co dělat?
« Odpověď #16 kdy: 23. 04. 2012, 13:14:23 »
tudíž ani změna portu k ničemu nevede atd. atd.
Jisteze vede: presun na jiny port eliminuje celou jednu skupinu utoku a to jsou utoky botu.

VPN ale [skoro] nic neprinasi, protoze jenom pridava druhou vrstvu s uplne stejne silnym zabezpecenim. S trochou nadsazky je to asi tak jako kdyz k jedne FABce pridas druhou, uplne stejnou. Temer shodneho efektu muzes dosahnout zdvojnasobenim delky klice.

Re:Hacknutý server - co dělat?
« Odpověď #17 kdy: 23. 04. 2012, 13:33:36 »
:)) reaguji naposled /neb to nemá cenu/  Změna portu se s trochou nadsázky dá přirovnat k tomu že jsi místo visacího zámku dal FABku. Prostě si útočník vezme jen jiný paklíč.

Re:Hacknutý server - co dělat?
« Odpověď #18 kdy: 23. 04. 2012, 13:41:14 »
neb to nemá cenu

Souhlasim.

AlYoSHA

Re:Hacknutý server - co dělat?
« Odpověď #19 kdy: 23. 04. 2012, 13:51:24 »
To co ti tam nainstaloval je IRC bot.  Pouzivaju na to najcastejsie eggdrop i ked binarka sa asi bude volat inac.  Bot sa pripaja do botnetu kde mozu byt aj miliony podobne napadnutych PC a skrze irckovy kanal prijma prikazy od operatorov.  Takto je mozne celkom efektivne ovladat velke mnoztvo PC zombies.  Celkom bezny utok + instalacia.  Mozno by stacilo odmazat binarky a nastavit lepsie hesla, ale je by som radsej reinstaloval.  Jeden nikdy nevie.


David

Re:Hacknutý server - co dělat?
« Odpověď #20 kdy: 23. 04. 2012, 14:04:05 »
A jak dlouho ten server bezel an vnejsi siti nez se to stalo?
Cca 30 hodin ... a tohle asi nebyl boot, ale někdo živý (v logu bylo vidět i bombardování od bootů, zkoušeli různá jména podle nějakého slovníku) ale tenhle průnik byl z uplně jiné IP.

David

Re:Hacknutý server - co dělat?
« Odpověď #21 kdy: 23. 04. 2012, 14:07:44 »
IRC boot se maskoval jako sshd a ještě to vypadá že mám nějaký "upravený" bind... jako řešení vidím kompletní reinstall. Jinak k tomu flamu tady: nebylo by lepší než měnit porty říct které IP se mohou připojit? :) Zakázat všechny kromě... xxx.xxx.xxx.xxx

.....

Re:Hacknutý server - co dělat?
« Odpověď #22 kdy: 23. 04. 2012, 14:12:26 »
preinstalovat.
krome toho koukam, ze metody jsou docela furt stejny. irc bot & sshd. Pred par lety se mi taky stalo, ze jeden server byl hacknut, poznal jsem to podle toho, ze se mi zvedl nehorazne traffic a pak sem nasel irc bot, ktery slouzil jako redirektor.
dal sem si tenkrat praci, pustil si tcpdump a nasel si, z jakyho irc serveru a kanalu chodej prikazy, tak sem se tam prihlasil, chvili si s tema rumunama povidal (ano skutecne to byli rumuni) a kdyz mi neverili, ze jsem z jednoho jejich hacknuty serveru, tak sem jim zacal zabijet konexe jednu po druhy. pak me vykopli a i kdyz sem stroj komplet preinstaloval a zkonfiguroval znova a lepe, byl aspon 14 dni pod viceci mene nepravidelnou vetsi zatezi :0)

smoofy

  • *****
  • 1 058
    • Zobrazit profil
    • E-mail
Re:Hacknutý server - co dělat?
« Odpověď #23 kdy: 23. 04. 2012, 14:36:26 »
Věren heslu: "Všeho s Mírou." musím s Mírou souhlasit. Změna SSH portu slouží skutečně k eliminaci trafiku a hloupích botů a script kiddies spíše než jako bezpečnostní prvek sloužící k znesnadnění přístupu do sítě.  Samozřejmě že při "cíleném" útoku si útočník port zjistí scanem ale to už je úplně jiná písnička. Ono totiž k bezpečnosti můžeme přispět nejenom vymýšlením složitých triků jak útočníka nepustit do systému, ale i tím, že mu to nebudeme usnadňovat.

Citace
nebylo by lepší než měnit porty říct které IP se mohou připojit?
Pro tvé účely určitě, v praxi ne dost dobře použitelné. Spousta adminů je dosti v pohybu a má ráda, může-li adminovat servery na dálku odkudkoliv s využitím mobilního připojení etc. což by při povolení pouze určitých IP nebylo možné. To už bys rovnou mohl použít druhou síťovku  s nezávislým filtrovaným připojením pro přihlášení přes SSH :).

smoofy

  • *****
  • 1 058
    • Zobrazit profil
    • E-mail
Re:Hacknutý server - co dělat?
« Odpověď #24 kdy: 23. 04. 2012, 14:45:07 »
Ještě co se týká těch Vašich analogií, tak nechat SSH na defaultním portu je asi stejně chytrý jako dát si na klíče od bytu cedulku s adresou a nebo je ztratit a vyvěsit letáky s nápisem s žádostí vrácení na oné adrese. Beztak jedinej kdo potřebuje mít přístup na SSH je admin tak to opravdu nikterak velký problém není. Navíc může ten port používat u všech serverů co spravuje stejný, protože základní myšlenkou je, že ten port není defaultní a ne kterej port to vlastně kruci je.

Kit

Re:Hacknutý server - co dělat?
« Odpověď #25 kdy: 23. 04. 2012, 14:53:03 »
A jak dlouho ten server bezel an vnejsi siti nez se to stalo?
Cca 30 hodin ... a tohle asi nebyl boot, ale někdo živý (v logu bylo vidět i bombardování od bootů, zkoušeli různá jména podle nějakého slovníku) ale tenhle průnik byl z uplně jiné IP.

Rada úplné reinstalace je vhodná u produkčního serveru. Jestli chceš zkoumat následky útoku a zkoušet různé metody obrany, tak se ho pokus vyčistit.

Hlavně zakaž přihlašování ze sítě heslem a nechej jen přihlášení pomocí klíčů. Změnu defaultního portu SSH považuji za zbytečnou, protože ani se správným heslem se už nikdo nepřihlásí.

BTW: bot a boot jsou dvě slova s rozdílným významem.

MartinX

Moja skusenost
« Odpověď #26 kdy: 23. 04. 2012, 15:18:44 »
Mam na testovacom servri s verejnou IP ssh na defaultnom porte 23 (root samozrejme zakazany, ale prihlasovanie heslom povolene) a denne su na server urobene cca. 3 utoky, ktore po par pokusoch vzdy zablokuje denyhosts.  V /etc/hosts.deny mam za asi 2 roky prevadzky 2144 zablokovanych IP adries. Zaujimave je sledovat v auth.log, ake uzivatelske mena tie boty skusaju, okrem "root" je tam napriklad "oracle" a v poslednom case som si vsimol multi-kulti "moustaffa" :-)

smoofy

  • *****
  • 1 058
    • Zobrazit profil
    • E-mail
Re:Hacknutý server - co dělat?
« Odpověď #27 kdy: 23. 04. 2012, 15:25:43 »
Tak pokud mas ssh na svem serveru SSH na defaultnim portu 23 tak se nedivim ze tam mas tak pusto....

Pavouk106

  • *****
  • 2 399
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Hacknutý server - co dělat?
« Odpověď #28 kdy: 23. 04. 2012, 15:27:15 »
Podle mě stačí zabezpečení, který mam já - přihlášení jen s klíčem, root úplně zakázanej, SSH na standard portu. fail2ban a podobný nepoužívam, traffic mi připadá naprosto v pohodě (v řádek kilobajtů, když zrovna nedělám něco velkýho).

Samozřejmě bych udělal komplet čistou instalaci.

smoofy

  • *****
  • 1 058
    • Zobrazit profil
    • E-mail
Re:Hacknutý server - co dělat?
« Odpověď #29 kdy: 23. 04. 2012, 15:31:10 »
2 Pavouk106
A jak se projevi na logu pokus o autentifikaci bota kdyz je vypnute prihlasovani heslem? Projevi se to nejak nebo je komunikace proste zahozena?