Re: [debianPL] Czy mozna dodac to do konfiguracji listy
Jak doniosły WSI, dnia Tue, 13 Nov 2007 22:58:29 -0600 "Lukasz Szybalski" <[EMAIL PROTECTED]> napisał(a): > Witam, > Czy mogl by ktos dodac > [debianPL] > do konfiguracji listy zeby mozna bylo latwiej rozroznic emaile z tej > listy. -- ciach Po co? - filtruj po List-Id i ew. To Pozdr. sm0q
Re: Włamanie - co dalej?
Witam, obserwuję ten wątek z dość dużym zainteresowaniem i w zasadzie zastanawiam się dlaczego drodzy koledzy nie odpowiadacie na temat? Przecież pytania są bardzo sprecyzowane. Nie chcę wywoływać jakiejś "burzy w szklance wody" więc postaram się coś podpowiedzieć w odniesieniu do tychże pytań. Ad.1 Jeżeli jakieś poufne dane mogły wpaść w łapki chakiera to na policję jak najbardziej warto iść, tyle, że im najlepiej byłoby przyprowadzić kolesia ze sobą i najlepiej żeby się przyznał ;) Dane poufne to oczywiście nie zawartość stopki tylko np. baza danych klientów (np. jeśli pod witrynę był podpięty jakiś mysql). Poza tym - czy za pomocą twojego serwera mógł być przeprowadzony jakiś DoS, spamowanie itp. Oczywiście decyzja należy do ciebie, ale jej podjęcie implikuje prawidłowa analiza pytania 2. Ad 2. Zalecane, ale nie zawsze możliwe: zrób kopię 1:1 dysku i analizuj kopię. Nie zawsze możliwe (cluster?). Idealnie by było, jakbyś miał zapasowy dysk/i ze skonfigurowanym systemem, wtedy przywracasz dane z kopii przed włamem, blokujesz felerną witrynę i spokojnie zabierasz się za analizę powłamaniową na innej maszynce. Poza tym metod, tutoriali itd. jest na pęczki - hasło forensics w googlach. Ale w życiu zazwyczaj nie jest tak pięknie więc: Przede wszystkim musisz wiedzieć jakie szkody mógł zrobić włamywacz. U nas hostując strony nie jesteśmy w stanie położyć serwerów tylko dlatego, że na jakiejś wirtualce ktoś zrobił deface'a albo zincludował sobie jakiś c99shell. Dlatego wdrożyliśmy suexec'a, aby w momencie włamu przez php napastnik mógł narozrabiać tylko z uprawnieniami user'a którego witrynę przejął. Czyli - jeżeli masz więcej niż jedną witrynę działającą z uprawnieniami np. www-data:www-data to musisz przeglądnąć wszystkie pliki o właścicielu/grupie www-data. Jeżeli miałeś osobnego usera tylko na tą witrynę to prawie (PRAWIE ?) na pewno nie musisz się obawiać jakiś większych strat. Dlaczego? Prawdopodobnie (przeanalizuj logi apacha) włam przez www (jakiś skrypciarz + google + exploit z milw0rma) z remote includem, a nie przez ftp (zakładam, że ftp-user nie może logować się shellem, prawda?). Po drugie - raczej dzisiaj już nie ma takich luk, które pozwoliłyby na łatwą eskalację uprawnień z user'a na root'a. Oczywiście przeanalizuj sobie czy włamywacz mógł: użyć shell'a, wyjść z chroot'a (jeśli używasz), miał dostęp do kompilatorów (jeśli masz je zainstalowane) itd - (tripwire/aide lub find/grep/perl are your friends :) ). IMHO - nie masz się co przejmować za bardzo (?), jeśli twój serwer był skonfigurowany zgodnie "z zasadami sztuki". Po prostu zablokuj witrynę, pozmieniaj hasła, uaktualnij engine witryny (lub zostaw to klientowi) - pamiętaj, o wszystkim co jest hardcodowane w jakiś config.inc.php'ach - hasła mysql'owe, ftp'owe, pocztowe etc... Podsumowując: grsec+pax+chroot+suexec+separacja usług+mod_security+tripwire/aide+... -> to na poziomie instalacji chrootkit+logcheck+spożytkowanie logów z ww. narzędzi +np. http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html (thx Wojtek) -> to po włamie. reinstalacja od zera -> absolutna koniczność BTW - dobrym pomysłem jest dedykowana maszynka na syslog-server. Jeśli wybierasz się na policję to przygotuj płytkę z logami, uważaj na znaczniki czasu! (use tar dude) Pozdrawiam sm0q
Pomoc w tlumaczeniu
Witam, Czy mogl by ktos pomuc mi przetlumaczyc ta strone w jezyku polskim. http://lucasmanual.com/mywiki/FrontPagePolish Po skonczenium zostala by ona dodana do debian wiki po polsku. http://wiki.debian.org/Manual-HowtoPolish Lukasz -- -- Vim auto completion for python http://lucasmanual.com/mywiki/FrontPage#head-8ce19b13e89893059e126b719bebe4ee32fe103c TurboGears from start to finish: http://www.lucasmanual.com/mywiki/TurboGears -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[debianPL] Czy mozna dodac to do konfiguracji listy
Witam, Czy mogl by ktos dodac [debianPL] do konfiguracji listy zeby mozna bylo latwiej rozroznic emaile z tej listy. Dzieki Lukasz -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
On Nov 13, 2007 3:56 PM, Mikołaj Menke <[EMAIL PROTECTED]> wrote: > Dnia 2007-11-13 14:43 użytkownik Lukasz Szybalski napisał : > > Jak skonczysz narpawiac wszystko, to zainstaluj sobie "logcheck" > > Mam od dawna. > A masz wszystkie logi? Jesli tam to mozesz je przejzec, dowiedziec sie z jakiego ip on przyszedl, puzniej znalesc wszytko co kolwiek mozesz znalesc z ip lub imie. Jesli nie masz to wtedy nie wiadomo co zrobili. Prawdopodobnie bedziesz musial odinstalowac i zainstalowac programy, poniewasz nie wiadomo ktore so dobre a ktore nie. Lukasz
Re: Włamanie - co dalej?
= Dnia: wtorek, 13 listopada 2007 22:57, Mikołaj Menke pisze: > Dnia 2007-11-13 10:41 użytkownik Wojciech Zareba napisał : > > Ja - dla spokojności sumienia - zainstalował bym od początku. Po numerze > > kernela widać, że to co masz zainstalowane, to nie jest Etch z płytki, > > więc może warto choćby z tego powodu? Poza tym, jeśli na tym serwerze > > chodzi tylko apache, instalacja nie powinna Ci zająć więcej niż 1-2 > > godziny razem z wszelką konfiguracją i testowaniem, przynajmniej takie > > jest moje doświadczenie. > > Sęk w tym, że nie tylko apache, ale całe mnóstwo innych rzeczy. :-( Tym bardziej przeinstaluj... :) pzdr, jmb -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
Dnia 2007-11-13 10:41 użytkownik Wojciech Zareba napisał : > Ja - dla spokojności sumienia - zainstalował bym od początku. Po numerze > kernela > widać, że to co masz zainstalowane, to nie jest Etch z płytki, więc może warto > choćby z tego powodu? Poza tym, jeśli na tym serwerze chodzi tylko apache, > instalacja nie powinna Ci zająć więcej niż 1-2 godziny razem z wszelką > konfiguracją i testowaniem, przynajmniej takie jest moje doświadczenie. Sęk w tym, że nie tylko apache, ale całe mnóstwo innych rzeczy. :-( -- http://miki.menek.one.pl [EMAIL PROTECTED] Gadu-gadu: 2128279 Mobile: +48607345846 IRC: `miki` -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
Dnia 2007-11-13 14:43 użytkownik Lukasz Szybalski napisał : > Jak skonczysz narpawiac wszystko, to zainstaluj sobie "logcheck" Mam od dawna. -- http://miki.menek.one.pl [EMAIL PROTECTED] Gadu-gadu: 2128279 Mobile: +48607345846 IRC: `miki` -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Wymuszenie Full Duplex w Debianie?
13-11-07, Adrian Siemieniak <[EMAIL PROTECTED]> napisał(a):
> Co do wymuszania - nie polecam mii-tool'a gdyz od dawna jest nierozwijany
> i z wiekszoscia nowych kart/sterownikow sobie nie radzi - duzo
> odpowiedniejszym
> bedzie ethtool :)
mii-tool obsluguje wszystkie karty intela broadcoma bnx2 - innej karty
nie wsadziłbym do serwera/routera ;)
pozdr.
--
Wojciech Ziniewicz
Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl
ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje
ct;umount;makeclean; zip;split;done;exit:xargs!!;)}
Re: logcheck - konfiguracja
On Nov 13, 2007 2:13 PM, cura <[EMAIL PROTECTED]> wrote: > Witam, > > Sytuacja wyglada tak: logcheck z Etcha, reportlevel = server, dodaje nowy > wpis do /etc/logcheck/ignore.d.server/sambai nie wyklucza tego w > raportach. > Czy to nie powinno byc czasami w logcheck.violations.ignore? > Dokladnie rzecz biorac proboje wyciac logi samby z modulu smbd_audit. > Klasyczny zapis w syslogu wyglada mniej wiecej tak: > > Oct 24 08:36:14 serwer smbd_audit: Dokumenty|kowalski|192.168.50.19|unlink > ok|Dokumentacja projektowa/dok1.pdf > > Nie jestem regexp master, ale nawet malo eleganckie wpisy > w .../ignore.d.server/samba w stylu: > > ^.*smbd_audit.*$ > > nie przynosza zadnych rezultatow (czyli logcheck nie ignoruje linii logow z > zapisem smbd_audit) > > Byc moze cos przeoczylem lub gdzies popelniam blad - prosze o rade. > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Wymuszenie Full Duplex w Debianie?
On Tue, 13 Nov 2007 17:59:19 +0100
Wojciech Ziniewicz <[EMAIL PROTECTED]> napisał(a):
> > Chyba żeby przekazywać parametry do modułów w jądrze do karty?
> najlepiej ustawić na switchu 100 full i u ciebie autonegocjacje.
Nie do konca ;) - albo u nas w firmie sa inne serwery :P. Ogolnie jesli
ustawisz na switchu 100/full bez autonegocjacji - u nas wszystkie Linuxy
(RedHat, Suse) oraz Solarisy (sparkowy sprzet) wstaja zawsze w 100/Half,
gdyz standardowo interfacey maja autonegocjacje, a ze nie maja czego
negocjowac o dziwo wstaja w half-duplexie.
Tak wiec najbezpieczniejsze ustawienia (na dziesiatka serwerow/kart
sprawdzone) switch powinien byc autoneg on, 100 (lub 1000) i duplex na AUTO.
Co do wymuszania - nie polecam mii-tool'a gdyz od dawna jest nierozwijany
i z wiekszoscia nowych kart/sterownikow sobie nie radzi - duzo odpowiedniejszym
bedzie ethtool :)
Pozdrawiam
--
Adrian (Sauron) Siemieniak/,/ .. Who can destroy The Thing,
sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)
logcheck - konfiguracja
Witam, Sytuacja wyglada tak: logcheck z Etcha, reportlevel = server, dodaje nowy wpis do /etc/logcheck/ignore.d.server/sambai nie wyklucza tego w raportach. Dokladnie rzecz biorac proboje wyciac logi samby z modulu smbd_audit. Klasyczny zapis w syslogu wyglada mniej wiecej tak: Oct 24 08:36:14 serwer smbd_audit: Dokumenty|kowalski|192.168.50.19|unlink ok|Dokumentacja projektowa/dok1.pdf Nie jestem regexp master, ale nawet malo eleganckie wpisy w .../ignore.d.server/samba w stylu: ^.*smbd_audit.*$ nie przynosza zadnych rezultatow (czyli logcheck nie ignoruje linii logow z zapisem smbd_audit) Byc moze cos przeoczylem lub gdzies popelniam blad - prosze o rade. pozdrawiam, -- Marcin Kuras -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
(bez tematu)
-- "Kup bilet na najlepsze zawody Freestyle Motocross - DIVERSE Night of the Jupms!" http://link.interia.pl/f1c5f -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Wymuszenie Full Duplex w Debianie?
13-11-07, Wojciech Ziniewicz <[EMAIL PROTECTED]> napisał(a):
> rozwiązania "konfiguracyujnego" nie znam neistety.
dobrym rozwiązaniem byłoby wrzucenie skryptu z mii-toolem do ifup.d ;)
--
Wojciech Ziniewicz
Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl
ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje
ct;umount;makeclean; zip;split;done;exit:xargs!!;)}
Re: Wymuszenie Full Duplex w Debianie?
Linuks pytania wrote: > Jest takie narzędzie mii-tool, można nim ustawiać ale czy jest jakieś > elegantsze rozwiązanie albo coś w konfiguracji networking trzeba zmienić, > np. chcę na stałe ustawiś 100 full. > > Chyba żeby przekazywać parametry do modułów w jądrze do karty? w /etc/network/interfaces dla danej karty mozesz wpisac np.: pre-up /usr/sbin/ethtool -s $IFACE speed 100 duplex full pzdr -- Bohdan Sydor GPG id: 0x57974C4F GPG fingerprint = 16E8 F8C3 A0A5 F901 7B7F C857 01F5 25BF 5797 4C4F -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Wymuszenie Full Duplex w Debianie?
13-11-07, Linuks pytania <[EMAIL PROTECTED]> napisał(a):
>
> Jest takie narzędzie mii-tool, można nim ustawiać ale czy jest jakieś
> elegantsze rozwiązanie albo coś w konfiguracji networking trzeba zmienić,
> np. chcę na stałe ustawiś 100 full.
>
> Chyba żeby przekazywać parametry do modułów w jądrze do karty?
najlepiej ustawić na switchu 100 full i u ciebie autonegocjacje.
a jesli chcesz na stałe to dopisz gdzieś do jakiegoś rc.local, albo
pre-up w /etc/network/interfaces
rozwiązania "konfiguracyujnego" nie znam neistety.
--
Wojciech Ziniewicz
Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl
ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje
ct;umount;makeclean; zip;split;done;exit:xargs!!;)}
Wymuszenie Full Duplex w Debianie?
Jest takie narzędzie mii-tool, można nim ustawiać ale czy jest jakieś elegantsze rozwiązanie albo coś w konfiguracji networking trzeba zmienić, np. chcę na stałe ustawiś 100 full. Chyba żeby przekazywać parametry do modułów w jądrze do karty?
Re: Włamanie - co dalej?
Witaj Mikołaj, W Twoim liście datowanym 10 listopada 2007 (12:43:42) można przeczytać: > Witam. > Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł > hasło użytkownika i skasował jego stronę www, podmieniając własnym > "podpisem" oraz dorzucając php shell. Prawdopodobnie zrobił to przez > ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio > zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość > późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co > robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co > tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika > czy też w zasadzie mogę się przymierzać do reinstalacji systemu. > Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian) > PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i > tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma. > Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja > reinstalacji przeraża mnie. :-/ > -- > http://www.miki.z.pl [EMAIL PROTECTED] > Gadu-gadu: 2128279 Mobile: +48607345846 IRC: `miki` Zgłoś incydent na stronie: http://www.cert.pl/ Podeśli im logi. -- Pozdrowienia, ** * Marek (SirAdams) Adamski * * http://www.siradams.com/ * *ICQ:42751516* * GG:14747 * * Linux user:#253788 * ** -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lukasz Szybalski napisał(a): > > Jak skonczysz narpawiac wszystko, to zainstaluj sobie "logcheck" > > Lukasz aide pomaga wyłapać czy włamywacz podmienił jakieś binaria (i nie tylko) tiger skonfigurowany do wysyłania maili/sms/whatever pomaga skrócić czas w którym włamywacz harcuje bez wiedzy admina - -- Pozdrawiam Krzysztof Jastrzębski <>< Jotka Usługi Informatyczne jotka[at]jastrzebscy[dot]pl http://jotka.jastrzebscy.pl/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFHOcIlgzQmZ4O8YgkRAvWzAJ9D58MCIoRmgUhcrtD0Cd4rK7uNCQCgzDLm r9Vf4xIIXbOHX2EhcR9qUXA= =AYaZ -END PGP SIGNATURE- -- "Kup bilet na najlepsze zawody Freestyle Motocross - DIVERSE Night of the Jupms!" http://link.interia.pl/f1c5f -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
On Nov 10, 2007 9:33 AM, Wojciech Ziniewicz <[EMAIL PROTECTED]> wrote: > 10-11-07, Mikołaj Menke <[EMAIL PROTECTED]> napisał(a): > > Witam. > > Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł > > hasło użytkownika i skasował jego stronę www, podmieniając własnym > > "podpisem" oraz dorzucając php shell. Prawdopodobnie zrobił to przez > > ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio > > zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość > > późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co > > robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co > > tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika > > czy też w zasadzie mogę się przymierzać do reinstalacji systemu. > > Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian) > > PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i > > tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma. > > Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja > > reinstalacji przeraża mnie. :-/ > > najlepiej przejedź od poczatku do konca tutorial securing debian i > opczytaj o pakietach z "działu" forensics. > > pokręć sie gdzies w tych rejonach. > > http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html > > badanie przyczyn i skutków włamania to dość interesująca sprawa - > jesli tylko uda ci sie ustalić co sie dokladnie stało - podrzuć jakieś > info na liste. > > pozdr. > Jak skonczysz narpawiac wszystko, to zainstaluj sobie "logcheck" Lukasz -- -- Vim auto completion for python http://lucasmanual.com/mywiki/FrontPage#head-8ce19b13e89893059e126b719bebe4ee32fe103c TurboGears from start to finish: http://www.lucasmanual.com/mywiki/TurboGears
Re: Włamanie - co dalej?
Ja - dla spokojności sumienia - zainstalował bym od początku. Po numerze kernela widać, że to co masz zainstalowane, to nie jest Etch z płytki, więc może warto choćby z tego powodu? Poza tym, jeśli na tym serwerze chodzi tylko apache, instalacja nie powinna Ci zająć więcej niż 1-2 godziny razem z wszelką konfiguracją i testowaniem, przynajmniej takie jest moje doświadczenie. Pozdrawiam Wojtek Zaręba
