Re: problem z poprawnym startem systemu
On Mon, 5 May 2003, Jacek Kawa wrote: Jak podają anonimowe źródła, przepowiedziano, że Grzegorz Andrelczyk napisze: Eeeh, nie chce się samemu szukać? [EMAIL PROTECTED]:~$ cat /etc/services | grep 111 sunrpc 111/tcp portmapper # RPC 4.0 portmapper TCP sunrpc 111/udp portmapper # RPC 4.0 portmapper UDP czyli chcą się dobrać do portmappera. To akurat znalazłem. Znalazłem też informację, że RPC wykorzystywany jest w NFS i NIS. Ale dalej mi to nie mówi dlaczego cały świat chce się połączyć z moim komputerem. Zwykle takie fale połączeń na typowe porty pewnych usług pojawiają się w okolicach ujawnienia nowej dziury w kórymś z serwerów owych usług. Jeśli chodzi o RPC, to nie przypominam sobie niczego nowego w ostatnim czasie... Najlepszym remedium na logi z portsentry jest dobrze skonfigurowany firewall. Otwierasz jedynie wybrane porty, ewentualnie dla wybranych IP otwierasz troche wiecej i portsentry nie ma czego strzec :) pozdr -- mirek
Re: problem z poprawnym startem systemu
On Mon, May 05, 2003 at 11:45:22PM +0200, Jacek Kawa wrote: w okolicach ujawnienia nowej dziury w kórymś z serwerów owych usług. Jeśli chodzi o RPC, to nie przypominam sobie niczego nowego w ostatnim czasie... Rozwiązania tej zagadki mogą być różne. Masz tego portmappera uruchomionego? Portmapper był i nie był uruchomiony. Nie wpłyneło to na zachowanie Portsentry. W ciągu nocy lista zakazanych adresów wzrosła do około 170. Były to głównie próby łączenia się z portem UDP 111 ale zdażały się także porty UDP 137, TCP 119 i 515.
Re: problem z poprawnym startem systemu
Witam ponownie. Problem rozwiązałem... przeinstalowywując system. To chyba było włamanie. Teraz mam zainstlowany program portsentry i w ciągu 8 godzin zablokował mi on tyle adresów: 80.32.237.41 66.227.104.73 161.196.89.119 144.139.143.138 217.109.231.87 213.77.33.170 65.95.47.153 195.175.194.206 206.96.90.243 210.49.171.122 80.134.185.159 213.194.90.94 130.39.11.19 148.243.252.66 81.102.23.76 202.100.61.89 212.253.46.56 66.198.140.83 63.185.33.85 69.3.172.249 80.38.171.168 Wszystkie przy okazji nastepujących wpisów (na przykład): May 5 07:07:16 Debian portsentry[3103]: attackalert: Connect from host: 168.Red-80-38-171.pooles.rima-tde.net/80.38.171.168 to UDP port: 111 May 5 07:07:16 Debian portsentry[3103]: attackalert: Host 80.38.171.168 has been blocked via wrappers with string: ALL: 80.38.171.168 May 5 07:07:16 Debian portsentry[3103]: attackalert: Host 80.38.171.168 has been blocked via dropped route using command: /sbin/route add -host 80.38.171.168 reject W czasie pisania tego listu doszedł kolejny adres: host70.ainsworth.com/207.236.56.70 Portsentry jest za czuły czy ktoś się uwziął na mój serwer, bo taki ruch na porcie UDP 111 chyba nie jest normalny? PS. I jeszcze abn140-181.interaktif.net.tr/195.174.140.181 i mstr81212-62842.dial-in.ttnet.net.tr/81.212.245.122
Re: problem z poprawnym startem systemu
On Mon, 5 May 2003 17:46:53 +0200 Debian User [EMAIL PROTECTED] wrote: Portsentry jest za czuły czy ktoś się uwziął na mój serwer, bo taki ruch na porcie UDP 111 chyba nie jest normalny? Portsentry jest nieskonfigurowany/skonfigurowany na zbyt czuły. [EMAIL PROTECTED] ;-) -- Pozdrawiam, Michał Byrecki /* Play me online? Well, you know that I'll beat you If I ever meet you I'll control-alt-delete you */
Re: problem z poprawnym startem systemu
On Mon, May 05, 2003 at 07:33:30PM +0200, Michał Byrecki wrote: Portsentry jest nieskonfigurowany/skonfigurowany na zbyt czuły. [EMAIL PROTECTED] ;-) -- Pozdrawiam, Michał Byrecki Używam domyślnej konfiguracji paranoicznej. Jeżeli jest ona zbyt paranoiczna to może ktoś mi napisze co ludzie z całego świata (m. in. Austarila, Brazylia, Urugwaj, Usa, Kanada, Włochy) chcą od mojego portu UDP 111?
Re: problem z poprawnym startem systemu
W liście z pon, 05-05-2003, godz. 21:01, Grzegorz Andrelczyk pisze: Używam domyślnej konfiguracji paranoicznej. Jeżeli jest ona zbyt paranoiczna to może ktoś mi napisze co ludzie z całego świata (m. in. Austarila, Brazylia, Urugwaj, Usa, Kanada, Włochy) chcą od mojego portu UDP 111? Eeeh, nie chce się samemu szukać? [EMAIL PROTECTED]:~$ cat /etc/services | grep 111 sunrpc 111/tcp portmapper # RPC 4.0 portmapper TCP sunrpc 111/udp portmapper # RPC 4.0 portmapper UDP czyli chcą się dobrać do portmappera. cayco signature.asc Description: PGP signature
Re: problem z poprawnym startem systemu
On Mon, May 05, 2003 at 09:28:29PM +0200, Krzysztof Kajkowski wrote: Eeeh, nie chce się samemu szukać? [EMAIL PROTECTED]:~$ cat /etc/services | grep 111 sunrpc 111/tcp portmapper # RPC 4.0 portmapper TCP sunrpc 111/udp portmapper # RPC 4.0 portmapper UDP czyli chcą się dobrać do portmappera. cayco To akurat znalazłem. Znalazłem też informację, że RPC wykorzystywany jest w NFS i NIS. Ale dalej mi to nie mówi dlaczego cały świat chce się połączyć z moim komputerem. W tej chwili na liście zakazanych hostów mam już około 70 pozycji. Mogę oczywiście zmienić konfigurację Portsentrego i wykreślić UDP 111 z listy strzeżonych. Ograniczy to oczywiście liczbę wpisów w hosts.deny, ale czy będzie to bezpieczne?
Re: problem z poprawnym startem systemu
Jak podają anonimowe źródła, przepowiedziano, że Grzegorz Andrelczyk napisze: Eeeh, nie chce się samemu szukać? [EMAIL PROTECTED]:~$ cat /etc/services | grep 111 sunrpc 111/tcp portmapper # RPC 4.0 portmapper TCP sunrpc 111/udp portmapper # RPC 4.0 portmapper UDP czyli chcą się dobrać do portmappera. To akurat znalazłem. Znalazłem też informację, że RPC wykorzystywany jest w NFS i NIS. Ale dalej mi to nie mówi dlaczego cały świat chce się połączyć z moim komputerem. Zwykle takie fale połączeń na typowe porty pewnych usług pojawiają się w okolicach ujawnienia nowej dziury w kórymś z serwerów owych usług. Jeśli chodzi o RPC, to nie przypominam sobie niczego nowego w ostatnim czasie... Rozwiązania tej zagadki mogą być różne. Masz tego portmappera uruchomionego? [...] Pozdrawiam -- Jacek Kawa **...to życie to tylko taka metafora... [Kaczmarski]**
Re: problem z poprawnym startem systemu
On Wed, Apr 23, 2003 at 08:19:01PM +0200, Mariusz Markowski wrote: Proponowalbym sprawdzic prawa po przeniesieniu /var na moj gust (i to pewne) przenosiles jako root wiec beda miec jako ownera roota a to nie jest na 100 % dobre /home to inna sprawa tam nic sie nie dzieje. Ale /var magazyn logów itp. Zaczalbym od tego. Sprawdziłem. Są poprawne. Mam działającą instalację z identycznymi właścicielami i uprawnieniami. To są komunikaty które dastaję przy próbie zalogowania: Warning: Remapping obsolete /dev/fb* minor 32 to 1 Warning: Remapping obsolete /dev/fb* minor 64 to 2 Warning: Remapping obsolete /dev/fb* minor 96 to 3 Warning: Remapping obsolete /dev/fb* minor 128 to 4 Warning: Remapping obsolete /dev/fb* minor 160 to 5 Warning: Remapping obsolete /dev/fb* minor 192 to 6 Warning: Remapping obsolete /dev/fb* minor 224 to 7 VFS: Disk change detected on device fd(2,0) end_request: I/O error, dev 02:00 (floppy), sector 0 VFS: Disk change detected on device fd(2,1) floppy driver state --- now=8449 last interrupt=8356 diff=93 last called handler=c01c95dc timeout_message=floppy start last output bytes: 1a 90 8144 0 90 8144 3 80 8144 c1 90 8144 10 90 8144 7 80 8144 0 90 8144 8 81 8144 f 80 8144 0 90 8144 1 90 8144 8 81 8144 3 80 8148 81 90 8148 10 90 8148 7 80 8148 1 90 8148 8 82 8356 7 80 8358 1 90 8358 last result at 8356 last redo_fd_request at 8148 71 0 status=82 fdc_busy=1 DEVICE_INTR=c01c95dc cont=c0334c5c CURRENT=c11f7550 command_status=-1 floppy1: floppy timeout called end_request: I/O error, dev 02:01 (floppy), sector 0 md: md driver 0.90.0 MAX_MD_DEVS=256, MD_SB_DISKS=27 floppy1: unexpected interrupt floppy1: sensei repl[0]=71 repl[1]=0 Po zalogowaniu top pokazuje mi, że wciąż dzaiałają: 0dns-down, 0dns-up, 000usepeerdn, rcS, S20xfs, S20makedev, S20gpm, S20modutils, S30setserial, S39dns-clean, S39ifupdown S40networking. Chyba te procesy już dawno powinny nie żyć?
Re: problem z poprawnym startem systemu
On Wed, 23 Apr 2003, Mariusz Markowski wrote: Proponowalbym sprawdzic prawa po przeniesieniu /var na moj gust (i to pewne) przenosiles jako root wiec beda miec jako ownera roota a to nie jest na 100 % dobre /home to inna sprawa tam nic sie nie dzieje. Ale /var magazyn logów itp. Zaczalbym od tego. Ale przeciez przenoszac cokolwiek wszystkie prawa zostaja zachwane, no chyba, ze prawa do samego /var zostaly zle nadane. Wiele razy przenosilem rozne rzeczy i jeszcze nigdy nie mialem zadnych problemow, a wszystko zawsze robilem na dzialajacym systemie pozdrawiam -- mirek
problem z poprawnym startem systemu
Witam. Temat mówi sam za siebie. Nie mogę zmusić Debiana do poprawnego startu. Debian 3.0 z jądrem 2.4.18. To pewnie ktoś chce wiedzieć, ale raczej to to nie ma znaczenia, bo komp działał poprawnie aż do momentu gdy stał się serverem, tzn. gdy został podpięty do niego switch BenQ. (Dzień wcześniej przeniosłem katalogi /home i /var na odzielne partycje.) Pierwszym sygnałem, że dzieje się coś złego jest: Segmentation fault przy wykonywaniu mv /etc/motd /etc/motd.tmp. Od tej chwili każde wywyłanie mv i ps powoduje Naruszenie ochrony pamięci. Udało mi się też w końcu stwierdzić, że wiele (ale nie wszystkie) procesów startowanych przez rcS.d i rc2.d zostaje w systemie jako zombie. W tym rmnologin co powoduje oczywiście, że nikt poza rootem zalogować się nie może. Po załądowania sterowników do karty sieciowej po każdym wykonanym pomyślnie poleceniu dostaję komunikat: eth0: Promiscuous mode enabled. Pierwsza próba zalogowania powoduje wyświetlenie komunikatu: Warning: Remapping obsolete /dev/fb* minor 32 to 1 Warning: Remapping obsolete /dev/fb* minor 64 to 2 itd. Następnie system czegoś chce od stacji dyskietek. Czegoś bo system niczego nie loguje więc nie mogę przesłać logów. Tego czegoś system chce przy każdej próbie zalogowania. Ale zalogować się w końcu udaje. Po ręcznym ustawieniu typu terminala można nawet vi używać. Scieć działa. Routowanie działa. ssh nie działa. Server apache nie działa. X nie działają. Co zepsułem!? Co się zeposuło? Da się to naprwić, czy przeinstalować wszystko?
Re: problem z poprawnym startem systemu
Ale zalogować się w końcu udaje. Po ręcznym ustawieniu typu terminala można nawet vi używać. Scieć działa. Routowanie działa. ssh nie działa. Server apache nie działa. X nie działają. Co zepsułem!? Co się zeposuło? Da się to naprwić, czy przeinstalować wszystko? Proponowalbym sprawdzic prawa po przeniesieniu /var na moj gust (i to pewne) przenosiles jako root wiec beda miec jako ownera roota a to nie jest na 100 % dobre /home to inna sprawa tam nic sie nie dzieje. Ale /var magazyn logów itp. Zaczalbym od tego.