Hacknutý server - co dělat?

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Hacknutý server - co dělat?
« Odpověď #30 kdy: 23. 04. 2012, 15:39:02 »
Hlavne jsi "vul", kdyz pouzivas pripojeni pres heslo a ne verejny klic na serveru viditelnem z internetu ;-)

Toz kdyby sshd jel na nejakem podivnem portu, byl zakazany root login, useri meli poradna hesla a jeste tam bylo denyhosts nebo jak se to, se synchronizaci proti vnejsi databazi, tak to je celkem v pohode, at si bruteforcuji, jak se jim zachce. Za tech rekneme pet povolenych pokusu to nestihnou.


MartinX

Re:Hacknutý server - co dělat?
« Odpověď #31 kdy: 23. 04. 2012, 15:44:07 »
Tak pokud mas ssh na svem serveru SSH na defaultnim portu 23 tak se nedivim ze tam mas tak pusto....

Samozrejme, ze je to na 22

xxx

Re:Hacknutý server - co dělat?
« Odpověď #32 kdy: 23. 04. 2012, 15:59:00 »
Citace
já vím že bych měl mít heslo ve stylu 7*6c6)Q>FlD6_8Z-87gk>3&}n

Takhle überkomplikovaný heslo ani není potřeba, stačí dostatečná délka. Hesla o délce nad 20 znaků bude někdo louskat do alelujá.

David

Re:Hacknutý server - co dělat?
« Odpověď #33 kdy: 23. 04. 2012, 16:07:10 »
To si jenom myslíš. Dvacetiznakové heslo složené jenom z písmen (resp. slov, která dávají smysl) se dá prolomit znatelně rychleji, než heslo, které obsahuje i speciální znaky.

Jeník

Re:Hacknutý server - co dělat?
« Odpověď #34 kdy: 23. 04. 2012, 16:16:55 »
Na shovávání služeb je super toto http://cs.wikipedia.org/wiki/Port_knocking a ne nějaké změnění defaultního portu.


xxx

Re:Hacknutý server - co dělat?
« Odpověď #35 kdy: 23. 04. 2012, 16:18:15 »
Citace
Dvacetiznakové heslo složené jenom z písmen (resp. slov, která dávají smysl) se dá prolomit znatelně rychleji

Vždyť to ani nikde nepopírám ;-) Jen tvrdím, že u takhle dlouhého hesla je doba potřebná k prolomení dostatečně dlouhá i při použití abecedy(velká/malá písmena). Třeba tebou uvedené heslo bych si v životě nezapamatoval.

Re:Hacknutý server - co dělat?
« Odpověď #36 kdy: 23. 04. 2012, 16:21:34 »
Jinak k tomu flamu tady: nebylo by lepší než měnit porty říct které IP se mohou připojit? :) Zakázat všechny kromě... xxx.xxx.xxx.xxx

"Lepší" z hlediska čeho?

Já se třeba neustále pohybuju mezi X různýma sítěma, v některých z nich mají dokonce stanice veřejné IP adresy. O připojení z mobilu ani nemluvě. Takže pro mě osobně je daleko lepší použít:
1. nestandardní port
2. smart card jako standardní způsob přihlášení
3. kvalitní heslo jako nouzovka když 2 nejde použít

1 je ochrana proti otravujícím botům (hlavně mi vadilo přeplňování logu. zbytečná zátěž serveru a linky není zas taková trága). 2 a 3 je situaci-odpovídající ochrana proti cílenému útoku.

Pokud bych chtěl na tom mým způsobu něco vylepšovat, zvažoval bych one time passwords a delay pro neúspěšná přihlášení. Zatím ale nevidím důvod.

Takhle to vyhovuje mým potřebám, tvoje potřeby můžou být úplně jiné, takže úplně jiné může být i jim odpovídající řešení. Pokud chceš třeba útoky zkoumat, nebo útočníky prudit, můžeš si na port 22 umístit falešné sshčko s nějakým honeypotem :) Fantazii se meze nekladou, záleží jenom na tom, čeho chceš dosáhnout.

David

Re:Hacknutý server - co dělat?
« Odpověď #37 kdy: 23. 04. 2012, 16:34:01 »
http://cs.wikipedia.org/wiki/Port_knocking

Stejně nepomůže pokud půjde o cílený útok. Akorát prodlouží. Tu sekvenci ťukání je také možné odposlechnout, nebo se pletu?

aaaaaaaaaaaaaa

Re:Hacknutý server - co dělat?
« Odpověď #38 kdy: 23. 04. 2012, 16:36:01 »
To si jenom myslíš. Dvacetiznakové heslo složené jenom z písmen (resp. slov, která dávají smysl) se dá prolomit znatelně rychleji, než heslo, které obsahuje i speciální znaky.
Nez ake heslo? 20 znakove heslo zlozene len z pismen prelomis pri offline utoku na lepsom GPU cca za 7,6e7 nasobok veku vesmiru. (~1e18 rokov).
Heslo zo 4 slov, co davaju zmysel (vyber 4 slov z Oxford English Dictionary, rychlo som to nevedel spocitat lepsie): 25876 rokov. A to je stale offline utok pri 2.8mld pokusoch za sekundu; nepocitam s tym, ze niekto moze medzi slovami pouzit / nepouzit medzeru, zacat kazde slovo velkym pismenom a pod. V realnom zivote by to bolo teda radovo horsie uz preto, lebo sa nezvlada bruteforcovat takou rychlostou.
Ak pridame cisla a specialne znaky, tak sme na urovni 20 pismenoveho hesla niekde u 16.5 znaku. To nie je take velke zlepsenie, ak to nie je dobre zapamatatelne.

Inak k flamu tady: Presuvanie na iny port nema vyznam - kazdy aspon trochu schopnejsi bot oskenuje porty. Single packet authorization a port knocking je rozumna alternativa. Nevidim dovod, preco by mal moj SSH port vidiet cely svet.

A vobec nechapem, preco by som mal mat povolene prihlasenie pomocou hesla.

Vyznam port knockingu je hlavne ten, ze nie kazdy sa dostane na take miesto, aby to mohol odpocuvat. A ak sa tam dostane, tak su tu stale dalsie ochranne mechanizmy, totiz tie od samotneho SSH (a medzi tym mi pride SMS, ze sa niekto prihlasuje k serveru a ja spravim opravu).

David

Re:Hacknutý server - co dělat?
« Odpověď #39 kdy: 23. 04. 2012, 16:47:52 »
No ale co třeba kdyby to 20ti znakové heslo bylo nějaké jedno opravdu dlouhé anglické slovo? Při troše štěstí a dobrém wordlistu by bylo možné odhalit takovéhle heslo mnohem dřív... podotýkám při štěstí... teoreticky

Re:Hacknutý server - co dělat?
« Odpověď #40 kdy: 23. 04. 2012, 16:47:56 »
Inak k flamu tady: Presuvanie na iny port nema vyznam - kazdy aspon trochu schopnejsi bot oskenuje porty.
Ze zkušenosti můžu potrvdit opak. Na pěti serverech s sshčkem otevřeným do světa na nestandardním portu během několika let si nepamatuju žádnej útok. Předtím několik denně.

A vobec nechapem, preco by som mal mat povolene prihlasenie pomocou hesla.
A on tě někdo nutí ho mít povolené?

aaaaaaaaaaaaaa

Re:Hacknutý server - co dělat?
« Odpověď #41 kdy: 23. 04. 2012, 16:53:47 »
Inak k flamu tady: Presuvanie na iny port nema vyznam - kazdy aspon trochu schopnejsi bot oskenuje porty.
Ze zkušenosti můžu potrvdit opak. Na pěti serverech s sshčkem otevřeným do světa na nestandardním portu během několika let si nepamatuju žádnej útok. Předtím několik denně.
Staci si pockat na nejaky 0day ssh exploit a potom zacne zabava (kludne staci aj nieco ako predictable random number generator z Debianu). Alebo mozno bude stacit len niekto schopnejsi a cieleny utok.

A vobec nechapem, preco by som mal mat povolene prihlasenie pomocou hesla.
A on tě někdo nutí ho mít povolené?
To neviem, ale pisete
Citace
3. kvalitní heslo jako nouzovka když 2 nejde použít
(a taky pripad si nejak neviem predstavit)

Re:Hacknutý server - co dělat?
« Odpověď #42 kdy: 23. 04. 2012, 17:00:39 »
Staci si pockat na nejaky 0day ssh exploit a potom zacne zabava (kludne staci aj nieco ako predictable random number generator z Debianu). Alebo mozno bude stacit len niekto schopnejsi a cieleny utok.
...anebo na 0day exploit pro Postfix. Takze asi zavedeme port-knocking pro port 25 :)

To neviem, ale pisete
Citace
3. kvalitní heslo jako nouzovka když 2 nejde použít
(a taky pripad si nejak neviem predstavit)
Takovy pripad nastane napriklad tehdy, kdyz se prihlasuju ze stroje, ktery nemam pod spravou a tedy tam nemuzu pouzit smart card (neni podpora), ale zaroven spravci duveruju, ze mi nesnifuje heslo. Jiste je to riziko, ale v jistych situacich jsem ochoten ho podstoupit.

Jinak bych asi znovu zopakoval, ze jsem mluvil o tom, co pouzivam ja. Jini lidi maji jine potreby a tedy i jina reseni, ktere jim neberu.

Jinak bych doporucil ke cteni thread "Nekonecne dlouhy auth.log" http://www.freebsd.cz/listserv/archive/users-l/2008q4/thread.html#22906 a specialne Danuv prispevek: http://www.freebsd.cz/listserv/archive/users-l/2008q4/022935.html

David

Re:Hacknutý server - co dělat?
« Odpověď #43 kdy: 23. 04. 2012, 17:05:54 »
Udelej neco, co utocnik neceka a s cim nepocita.
Takova obrana byva necekane ucinna a pritom casto pomerne nenarocna.


Přesně to jsem udělal :D Měl jsem SSH na 22 a heslo pro roota root :D

Tak tohle nečekal :D

smoofy

  • *****
  • 1 058
    • Zobrazit profil
    • E-mail
Re:Hacknutý server - co dělat?
« Odpověď #44 kdy: 23. 04. 2012, 17:18:44 »
Citace
Takovy pripad nastane napriklad tehdy, kdyz se prihlasuju ze stroje, ktery nemam pod spravou a tedy tam nemuzu pouzit smart card (neni podpora), ale zaroven spravci duveruju, ze mi nesnifuje heslo. Jiste je to riziko, ale v jistych situacich jsem ochoten ho podstoupit.
No i v takovem pripade ale muzu pouzit USB se svym klicem coz bude asi rozumnejsi reseni nez nechavat povolene heslo.