[Comm] Попытка взлома?

Alexey Borovskoy =?iso-8859-1?q?alexey=5Fborovskoy_=CE=C1_mail=2Eru?=
Сб Сен 24 12:23:59 MSD 2005 

* Суббота 24 Сентябрь 2005 20:45 Владимир Гусев

> Здравствуйте!

Добрый вечер.

> Это происходит с обычными домашними компами так редко, что
> решил показать кусок из messages вам..
> Спасибо Gkrellm, как бы его ни ругали, но именно он позволил
> мне заметить необычную активность исходящего трафика.. Это
> показалось мне странным, так как xMule я не запускал..
> В общем, насколько я понял, кто-то из Италии может быть
> перебрал nmap'ом порты, увидел запущенные sshd и smb (каюсь,
> грешен - не пользуюсь ими дома) и решил перебором (?)
> попытаться получить shell(?). В общем я минут через 20 подошел
> к компу, увидел активность.. щелкнул по сетевому индикатору
> icewm (netstat). так увидел чей-то IP и похоже какие-то
> попытки.. пришлось зайти root'ом, сделать service network stop
> и посмотреть messages. Фрагмент из них прилагаю.. В конце
> видно, как зашел я и застопил ненужные сервисы..

Судя по логу пробоя не было.

Способ борьбы следующий. В sshd отключается аутентификация по 
паролю, остается аутентификация по ключу. И пусть ломятся в 
дверь сколько угодно.

Затем через whois (www.ripn.net) выясняется чьей сетке 
принадлежит 194.183.2.192. Затем владельцу сетки на abuse@ 
пишется письмо и прикладывается лог.

Владелец настучит юзеру в бубен.

Если не настучит, то через www.ripn.net выясняется через кого 
владелец сетки прокачивает свой траффик (AS peers). И им на 
abuse@ пишется жалоба на владельца сетки. Когда владельца сетки 
поотрубают от Интернета, то он живо настучит юзеру в бубен.

Но можно сделать гораздо проще - настроить iptables и подружить с 
ним xMule.

> Не поможете точно расшифровать картину того, что происходило,
> что он пытался и почему писались определенные фразы про
> hosts.deny (насчет warning: /etc/hosts.deny, line 9: missing
> newline or line too long). У меня на домашнем компе в
> hosts.allow ALL:127.0.0.1, в hosts.deny ALL:ALL, iptables не
> включен..

Девятая строка в /etc/hosts.deny не завершается <Enter>.
Перейдите в конец девятой строки и нажмите <Enter>, ругаться 
больше не будет.

> Естественно, что я сам виноват, что в отличие от сервера на
> работе домашний комп "оставил на произвол судьбы", оставил
> ненужные сервисы и т.д. Но с другой стороны - насколько
> уязвима/неуязвима была моя система (Мастер 2.4) с минимальными
> настройками.. Да и xMule не любит, чтобы я находился за
> файволлом, либо включил iptables..

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20050924/c5552837/attachment-0003.bin>

Подробная информация о списке рассылки community