From: Alexey Borovskoy <alexey_borovskoy@mail.ru>
To: ALT Linux Community <community@altlinux.ru>
Subject: Re: [Comm] Попытка взлома?
Date: Sat, 24 Sep 2005 21:23:59 +1300
Message-ID: <200509242124.10055.alexey_borovskoy@mail.ru> (raw)
In-Reply-To: <op.sxljumciglg102@post.cnt.ru>
[-- Attachment #1: Type: text/plain, Size: 2477 bytes --]
* Суббота 24 Сентябрь 2005 20:45 Владимир Гусев
> Здравствуйте!
Добрый вечер.
> Это происходит с обычными домашними компами так редко, что
> решил показать кусок из messages вам..
> Спасибо Gkrellm, как бы его ни ругали, но именно он позволил
> мне заметить необычную активность исходящего трафика.. Это
> показалось мне странным, так как xMule я не запускал..
> В общем, насколько я понял, кто-то из Италии может быть
> перебрал nmap'ом порты, увидел запущенные sshd и smb (каюсь,
> грешен - не пользуюсь ими дома) и решил перебором (?)
> попытаться получить shell(?). В общем я минут через 20 подошел
> к компу, увидел активность.. щелкнул по сетевому индикатору
> icewm (netstat). так увидел чей-то IP и похоже какие-то
> попытки.. пришлось зайти root'ом, сделать service network stop
> и посмотреть messages. Фрагмент из них прилагаю.. В конце
> видно, как зашел я и застопил ненужные сервисы..
Судя по логу пробоя не было.
Способ борьбы следующий. В sshd отключается аутентификация по
паролю, остается аутентификация по ключу. И пусть ломятся в
дверь сколько угодно.
Затем через whois (www.ripn.net) выясняется чьей сетке
принадлежит 194.183.2.192. Затем владельцу сетки на abuse@
пишется письмо и прикладывается лог.
Владелец настучит юзеру в бубен.
Если не настучит, то через www.ripn.net выясняется через кого
владелец сетки прокачивает свой траффик (AS peers). И им на
abuse@ пишется жалоба на владельца сетки. Когда владельца сетки
поотрубают от Интернета, то он живо настучит юзеру в бубен.
Но можно сделать гораздо проще - настроить iptables и подружить с
ним xMule.
> Не поможете точно расшифровать картину того, что происходило,
> что он пытался и почему писались определенные фразы про
> hosts.deny (насчет warning: /etc/hosts.deny, line 9: missing
> newline or line too long). У меня на домашнем компе в
> hosts.allow ALL:127.0.0.1, в hosts.deny ALL:ALL, iptables не
> включен..
Девятая строка в /etc/hosts.deny не завершается <Enter>.
Перейдите в конец девятой строки и нажмите <Enter>, ругаться
больше не будет.
> Естественно, что я сам виноват, что в отличие от сервера на
> работе домашний комп "оставил на произвол судьбы", оставил
> ненужные сервисы и т.д. Но с другой стороны - насколько
> уязвима/неуязвима была моя система (Мастер 2.4) с минимальными
> настройками.. Да и xMule не любит, чтобы я находился за
> файволлом, либо включил iptables..
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
next prev parent reply other threads:[~2005-09-24 8:23 UTC|newest]
Thread overview: 16+ messages / expand[flat|nested] mbox.gz Atom feed top
2005-09-24 7:45 Владимир Гусев
2005-09-24 8:12 ` Pyatnitskich Evgeniy
2005-09-24 8:56 ` Владимир Гусев
2005-09-24 8:23 ` Alexey Borovskoy [this message]
2005-09-24 9:01 ` Владимир Гусев
2005-09-24 10:29 ` Andrey Rahmatullin
2005-09-24 10:39 ` Владимир Гусев
2005-09-26 8:31 ` ABATAPA
2005-09-26 10:10 ` Alexey Borovskoy
2005-09-26 12:33 ` [Comm] " Michael Shigorin
2005-10-11 13:51 ` ABATAPA
2005-10-12 10:15 ` [Comm] [JT] " Michael Shigorin
2005-10-12 13:20 ` Aleksander N. Gorohovski
2005-09-24 8:31 ` [Comm] " Дмитриев Михаил Николаевич
2005-09-24 8:58 ` Владимир Гусев
2005-09-24 11:39 ` Gleb Kulikov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=200509242124.10055.alexey_borovskoy@mail.ru \
--to=alexey_borovskoy@mail.ru \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git