Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Próba włamania....

8 views
Skip to first unread message

Krzysztof Chajęcki

unread,
Aug 3, 2008, 8:49:40 AM8/3/08
to
Witam,

Odnotowałem dziś próbę włamania na mój serwer. Atak typu brute force na
serwer ftp. Nic się nie stało, prowadzony dość nieudolnie (nie ważne
dlaczego, ale tak uważam). W tej chwili po prostu zablokowałem port, bo i
tak FTP był prawie nie używany i nie jest konieczny, więc mogę na spokojnie
posprawdzać zabezpieczenia zanim znów go odpalę. Atak był prowadzony z
adresu 207.96.186.168. Jest pod nim zarejestrowana domena
redsandsmarketing.com . Strona oczywiście nie odpowiada. Po zamknięciu
portu 21 robot (???) zaczął macać po porcie 80. Wyciąłem więc w IPTABLES
cały ten adres dla spokoju... ;-)

Dlaczego to piszę? Ano niby ataków jest ostatnio wiele, ale może niektórzy
chcą uaktualniać swoje zapory pod kontem takich milusińskich... Nawet
nieudany atak całkiem nieźle zapycha logi, a jak się od IPTABLES odbije to
jest spokój... ;->

--
pzdr
meping

Lemat

unread,
Aug 3, 2008, 9:37:23 AM8/3/08
to
Krzysztof Chajęcki wrote:

> Odnotowałem dziś próbę włamania na mój serwer.

w tych czasach nikt już się tym specjalnie nie przejmuje

> Atak typu brute force na
> serwer ftp. Nic się nie stało, prowadzony dość nieudolnie (nie ważne
> dlaczego, ale tak uważam). W tej chwili po prostu zablokowałem port, bo i
> tak FTP był prawie nie używany i nie jest konieczny, więc mogę na
> spokojnie posprawdzać zabezpieczenia zanim znów go odpalę.

zaprzyjaźnij się z modułem ipt_recent

> Atak był
> prowadzony z adresu 207.96.186.168.

abuse | xittel.net
napisz im, że ten ich IP miał mniej szczęścia od ciebie, ktoś im się włamał
i używa go do skanowania

--
Pozdrawiam
Lemat

Sebastian Bialy

unread,
Aug 3, 2008, 10:16:46 AM8/3/08
to
Krzysztof Chajęcki wrote:
> portu 21 robot (???) zaczął macać po porcie 80. Wyciąłem więc w IPTABLES
> cały ten adres dla spokoju... ;-)

No wiesz, nie lepiej było postawić fake telneta z root:root ? Bardzo
ciekawe rzeczy można zobaczyć .... to tak w kwestii edukacyjnej.
Najbardziej mnie rozbawił ktoś kto po zalogowaniu się na root:root
napisal w tym fake telnecie "kurwa!" :) Niestety ostatnio same roboty i
nuda ...

Adam Przybyla

unread,
Aug 3, 2008, 11:07:54 AM8/3/08
to
... wiesz, tych prob jest caly czas tyle. Zwykle ida na port ssh.
Z powazaniem
Adam Przybyla

W.P.

unread,
Aug 3, 2008, 11:16:44 AM8/3/08
to
Użytkownik Sebastian Bialy napisał:

Podaj jakieś hasła do Googla odnośnie softu do zrobienia honeypota po
ssh/telnet. Ciekawi mnie co ludki/roboty wypisują.

W.P.

Sebastian Bialy

unread,
Aug 3, 2008, 12:06:27 PM8/3/08
to
W.P. wrote:
> Podaj jakieś hasła do Googla odnośnie softu do zrobienia honeypota po
> ssh/telnet. Ciekawi mnie co ludki/roboty wypisują.

Akurat to było rękodzieło studentów więc nie mogę go podać. Program
emulował zachowanie basha na tyle skutecznie, że orientowali się dopiero
po paru poleceniach że coś nie działa.

Natomiast jakiś czas temu zrobiłem tak, że odpalałem maszynę wirtualną
(bosh) z linuxem z root:root. Po zauważeniu sesji telnetu odliczałem
około 3 minuty po czym kilowałem ją automatycznie, Ponieważ root fs
ciągnęła z nfs można było obejrzeć wszelkie zmiany. Potem wgranie
filesystemu na czysto i ponowny start. Straszne rękodzieło. Trafiłem tym
sposobem na 2 prawdziwych ludzi i kilkadziesiąt robotów. W sumie
większosć robotów próbowała robić coś z ircem (nie znam się na ircu,
więc nie wiem co). Pare robotów zainstalowało mi jakieś DoS na DNS (w
kółko zapytania o jakąć domenę). Dwa zainstalowały skanery portów i
jechały po całych pulach IP. A komputer stał w sieci uniwersyteckiej
więc był łakomym kąskiem. Prawdziwi ludzie orientowali się dość szybko,
bo po 3 minutach był reboot i ich zmiany znikały, ale jeden logował się
4 razy zanim zrozumiał że coś nie gra.

IMHO wspaniała zabawa, szczególnie jak trafisz na prawdziwych.

Honeypotów nie sotsuje gotowych, zdecydowanie wole wystawianie
prawdziwych systemów do sieci i obserwacje :P Niestety nie robiłem tego
od 3 lat z braku czasu. No i skanowanie telneta na root:root nie jest
już prawie w ogóle praktykowane, będę musiał postawić sshd...

Lemat

unread,
Aug 3, 2008, 12:14:13 PM8/3/08
to
Sebastian Bialy wrote:

> W sumie
> większosć robotów próbowała robić coś z ircem (nie znam się na ircu,
> więc nie wiem co).

zrobić połączenie z serwerem IRC, gdzie na kanale czekają boty (zhackowane
serwery) i włamywacz może im stamtąd wydawać polecenia. Coś w deseń "wall"
do wszystkich serwerów pod kontrolą włamywacza.

--
Pozdrawiam
Lemat

Konrad Kosmowski

unread,
Aug 3, 2008, 4:41:46 PM8/3/08
to
** Krzysztof Chajęcki <krzysztof...@gmail.com> wrote:

> Odnotowałem dziś próbę włamania na mój serwer. Atak typu brute force na
> serwer ftp. Nic się nie stało, prowadzony dość nieudolnie (nie ważne
> dlaczego, ale tak uważam). W tej chwili po prostu zablokowałem port, bo i tak
> FTP był prawie nie używany i nie jest konieczny, więc mogę na spokojnie
> posprawdzać zabezpieczenia zanim znów go odpalę.

Ty no skoro nie jest potrzebny to po co w ogóle chcesz go uruchamiać?
Przypuszczam, że SSH i tak używasz - SSH robi właściwie to samo co FTP i w
większości przypadków wystarczy zamiast FTP.

> Atak był prowadzony z adresu 207.96.186.168. Jest pod nim zarejestrowana
> domena redsandsmarketing.com . Strona oczywiście nie odpowiada. Po
> zamknięciu portu 21 robot (???) zaczął macać po porcie 80. Wyciąłem więc w
> IPTABLES cały ten adres dla spokoju... ;-)

> Dlaczego to piszę? Ano niby ataków jest ostatnio wiele, ale może niektórzy
> chcą uaktualniać swoje zapory pod kontem takich milusińskich... Nawet
> nieudany atak całkiem nieźle zapycha logi, a jak się od IPTABLES odbije to
> jest spokój... ;->

Ataków jest tyle, że ręcznie w zasadzie nie ma sensu się w to bawić. Sensownie
jest wpiąć logi (i potencjalnie sondy NIDS i HIDS) do jakiegoś korelatora i
zdać się na to co on wykrywa (można w korelatorze ustawić np. progi dla ilości
nieudanych logowań w danym czasie, czy korelować jedne działania z drugimi
mające jakieś wspólne części np. źródłowy IP). Z open source to z tego co ja
się orientuję jedynie Prelude IDS daje pewną namiastkę (w porównaniu z
produktami komercyjnymi) korelatora.

Jeżeli:

1. Masz sensowną politykę haseł.
2. Masz zaktualizowane usługi bez znanych podatności.

To w zasadzie nie ma się czego specjalnie obawiać. Chociaż to oczywiście zależy
od krytyczności i wrażliwości systemu, ale skoro mówisz, że jest na nim FTP i
nikt nawet nie wie po co ono tam jest to można przypuszczać, że ten system w
ogóle nie jest krytyczny ani wrażliwy.

--
+ ' .-. .
, * ) )
http://kosmosik.net/ . . '-' . kK

Konrad Kosmowski

unread,
Aug 3, 2008, 5:01:14 PM8/3/08
to
** Konrad Kosmowski <kon...@kosmosik.net> wrote:

> Z open source to z tego co ja się orientuję jedynie Prelude IDS daje pewną
> namiastkę (w porównaniu z produktami komercyjnymi) korelatora.

No jeszcze Zabbix ma bardzo fajny, wbudowany język programowania korelacji
tyle, że nie jest on (Zabbix) bezpośrednio nastawiony na monitorowanie logów w
kontekście bezpieczeństwa, ale da się go do tego zaprząc.

http://view.samurajdata.se/psview.php?id=84793923&page=112

0 new messages