Re: ssh: Kücük bir gece yarisi saldirisi. .. (görüsler, öneriler, vs.)

2005-09-11 Başlik Can Kavaklıoğlu 
Merhabalar,
Kullandığım sunucuyu (apache için) uzun süre açık tutmaya çalıştığım
zamanlarda bununla ben de karşılaşmıştım. Recai hocamızın dediğine
katılıyorum. Şifre deneyen otomatik programlar olsa gerek bunlar.

Bu durumda eğlence olarak,
http://www.geobytes.com/IpLocator.htm?GetLocation
http://www.searchbug.com/peoplefinder/location-by-ip-address.aspx?ipaddress=143.248.138.18submit1=Submit
http://www.antionline.com/tools-and-toys/ip-locate/

adreslerinin herhangi birisinden saldırgan ip nin nerede olduğunu
öğrenebilirsin. Benim durumumda Buenos Aires, Japonya, Avrupa'nın
çeşitli yerleri gibi enteresan yerler çıkmıştı. Sonra bu ip lere
mozilla/firefox gibi bir taracıyı ile siteleri var mı diye bakabilirsin,
oradan adres bulursan eposta atabilirsin, hatta karşılık olarak ssh ile
onların bilgisayarlarını bir yoklayabilirsin : )

Çözüm olarak da bir kaç şey önerebilirim, ip adresini değiştirmek (kısa
süreli bir koruma), sshd yi kaldırmak (gerekli değilse bunu
yapabilirsin, ssh i kullanmak için sshd ye gerek yok), bildiğim en şık
çözüm ise sshd_config dosyasındaki

Port 22

satırını, unutmayacağın başka bir port numarasına değiştirmek. google
dan ports diye yazıp kontrol ederek, genel olarak kullanılmayan
birtanesini seçebilirsin, ileride bir karışıklık olmasın diye (seçtiğini
başka bir program kullanmaya kalkmasın diye). Buradaki olay, bu tip
genel saldırıların standart kurulumları hedef alması, bir listedeki
bütün ip lerin 22. kapısını (port) taramak, bir ip nin bütün kapılarını
taramaktan daha hızlı olacaktır. O yüzden olsa gerek, bu değişikliği
yaptıktan sonra /var/log/auth.log dosyası baya bi rahat etmişti.

Kolay gelsin.
Can Kavaklıoğlu


 Merhaba,
 
 gkrellm sayesinde bir anda eth0 arayüzü üzerinden beklenmedik
 bir trafik oldugunu gördüm, bayram degil seyran degil bir sey 
 yollamiyorum, bir sey almiyorum, nereden cikti bu trafik dedim.
 
 netstat ile biraz bakinca bol bol ssh ile karsilastim ve beklenmedik bir 
 durum oldugunu düsündüm, sshd'yi hemen durdurdum ve sonra da 
 /var/log/auth.log'a bakinca
 asagida göreceginiz satirlar ile karsilastim.
 
 Anlayabildigim kadari ile tek bir makina, otomatik
 bir program araciligi ile bazi kullanici isimlerini/parolalarini
 deneyerek benim sistemi bombardimana tuttu ve ssh üzerinden giris
 yapmaya calisti (hangi programla? nasil? bilemiyorum tabii).
 
 Sistemim Debian GNU/Linux (unstable). ADSL router/firewall modem arkasindayim.
 
 Asagidaki loga bakip daha detayli analiz yapabilecek
 ve önerilerde bulunabilecek olan varsa sevinirim. 
 
 Bu arada fail2ban diye bir programin farkina vardim:
 
  http://fail2ban.sourceforge.net
 
 Bu tür durumlari engellemek icin anlamli mi, kullanmis olan var mi?
 
 Simdiden tesekkürler, log dosyasi asagida, ayrica sshd_config dosyami
 da aktardim, herhangi bir sorun var mi diye (bu olay basima
 geldikten sonra apt-get install ssh ile sshd sunucuyu güncelledim):
 
 Sep 10 00:52:46 debian sshd[16576]: Did not receive identification string 
 from :::83.170.72.51
 Sep 10 00:53:01 debian CRON[16581]: (pam_unix) session opened for user mail 
 by (uid=0)
 Sep 10 00:53:01 debian CRON[16581]: (pam_unix) session closed for user mail
 Sep 10 01:00:01 debian CRON[16697]: (pam_unix) session opened for user root 
 by (uid=0)
 Sep 10 01:00:04 debian CRON[16697]: (pam_unix) session closed for user root
 Sep 10 01:00:18 debian sshd[16704]: Illegal user admin from 
 :::83.170.72.51
 Sep 10 01:00:19 debian sshd[16704]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:19 debian sshd[16704]: Failed password for illegal user admin 
 from :::83.170.72.51 port 37887 ssh2
 Sep 10 01:00:20 debian sshd[16706]: Illegal user administrator from 
 :::83.170.72.51
 Sep 10 01:00:20 debian sshd[16706]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:20 debian sshd[16706]: Failed password for illegal user 
 administrator from :::83.170.72.51 port 38063 ssh2
 Sep 10 01:00:21 debian sshd[16709]: Illegal user jack from :::83.170.72.51
 Sep 10 01:00:22 debian sshd[16709]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:22 debian sshd[16709]: Failed password for illegal user jack 
 from :::83.170.72.51 port 38231 ssh2
 Sep 10 01:00:23 debian sshd[16711]: Illegal user marvin from 
 :::83.170.72.51
 Sep 10 01:00:23 debian sshd[16711]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:23 debian sshd[16711]: Failed password for illegal user marvin 
 from :::83.170.72.51 port 38411 ssh2
 Sep 10 01:00:25 debian sshd[16713]: Illegal user andres from 
 :::83.170.72.51
 Sep 10 01:00:25 debian sshd[16713]: error: Could not get shadow information 
 for NOUSER
 Sep 10 01:00:25 debian sshd[16713]: Failed password for illegal user andres 
 from :::83.170.72.51 port 38595 ssh2
 Sep 10 01:00:26 debian sshd[16716]: Illegal user barbara from 
 :::83.170.72.51
 Sep 10 01:00:26 debian sshd[16716]: error: Could not get shadow information 
 for NOUSER
 Sep 10

PUBKEY problemi -unstable-

2005-09-11 Başlik Murat Sağlam 
Merhaba, 

Şöyle bir problemim var (Unstable/AMD64/2.6.12/apt-ver.:0.6.41):

Synaptic (0.57.3) şöyle bir mesaj veriyor :

W: GPG error: http://ftp.tr.debian.org unstable Release: The following
signatures couldn't be verified because the public key is not available:
NO_PUBKEY E415B2B4B5F5BBED

Hımm, yanlış pub-key imi kullanıyorum?

gpg --list-keys
--keyring=/usr/share/apt/debian-archive.gpg/usr/share/apt/debian-archive.gpg
-
pub   1024D/4F368D5D 2005-01-31 [expires: 2006-01-31]
uid  Debian Archive Automatic Signing Key (2005)
[EMAIL PROTECTED]


Zeki Çatav, geçenlerde bu poblemden söz etmiş. Kendisi ftp2.de...
sunucusuyla sorunu çözdüğünü yazmış. Bende denedim fakat denediğim bütün
master sunucular aynı hatayı verdiler. Bilginizi rica ediyorum...



Teşekkürler,



Iyi Çalışmalar.
Murat Sağlam
Hypnos Bilgisayar Teknolojileri


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: PUBKEY problemi -unstable-

2005-09-11 Başlik Murat Sağlam 
Paz, 2005-09-11 tarihinde 11:33 + saatinde, Murat Sağlam yazdı:
 Merhaba, 
 
 Şöyle bir problemim var (Unstable/AMD64/2.6.12/apt-ver.:0.6.41):
 
 Synaptic (0.57.3) şöyle bir mesaj veriyor :
 
 W: GPG error: http://ftp.tr.debian.org unstable Release: The following
 signatures couldn't be verified because the public key is not available:
 NO_PUBKEY E415B2B4B5F5BBED
 
 Hımm, yanlış pub-key imi kullanıyorum?
 
 gpg --list-keys
 --keyring=/usr/share/apt/debian-archive.gpg/usr/share/apt/debian-archive.gpg
 -
 pub   1024D/4F368D5D 2005-01-31 [expires: 2006-01-31]
 uid  Debian Archive Automatic Signing Key (2005)
 [EMAIL PROTECTED]
 
 
 Zeki Çatav, geçenlerde bu poblemden söz etmiş. Kendisi ftp2.de...
 sunucusuyla sorunu çözdüğünü yazmış. Bende denedim fakat denediğim bütün
 master sunucular aynı hatayı verdiler. Bilginizi rica ediyorum...
 
 
 
 Teşekkürler,
 
 
 
 Iyi Çalışmalar.
 Murat Sağlam
 Hypnos Bilgisayar Teknolojileri
 
 

gpg --no-default-keyring --keyring /etc/apt/trusted.gpg --recv-key
E415B2B4B5F5BBED


Yukarıdaki satır AMD64 arşivlerine pgp problemi olmadan açılmanızı
sağlıyor. Ben sorunumdan bu şekilde kurtuldum. Açıklamadan anladığım
kadarıyla
( http://www.64bit-world.com/forums/archive/index.php/t-4080.html )
AMD64 için özel bir imza söz konusu ve bunu almak gerekiyor.


Iyi günler,
Murat Sağlam
Hypnos Bilgisayar Teknolojileri


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Kylix 3 ve debian

2005-09-11 Başlik Talat UYARER 
kylixi sitesinden indirip sisteme uyumlugunun test ettikten sonra kurdum
fakat x iyeniden baslattıgımda kısa yolları goremedim bende startkylix
dedim ama aldıgım cevap :

[EMAIL PROTECTED]:~$ startkylix
Note: Please start the Delphi portion of Kylix with the startdelphi
command.
/usr/local/kylix3/bin/delphi: relocation
error: /usr/local/kylix3/bin/libwine.borland.so: symbol errno, version
GLIBC_2.0 not defined in file libc.so.6 with link time reference
[EMAIL PROTECTED]:~$ startdelphi
/usr/local/kylix3/bin/delphi: relocation
error: /usr/local/kylix3/bin/libwine.borland.so: symbol errno, version
GLIBC_2.0 not defined in file libc.so.6 with link time reference

şeklinde oldu. Ne yapmamı tavsiye edersiniz? kullandıgım sistem debian
sid kernel 2.6.8


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]