Re: lug-bg: sshd dava nqkakvi osobenni nesta
На опит за exploit ми прилича това... Виж от къде идват атаките, и вземи съответните мерки... аз напримет като видя нещо подобно и филтрирам цели класове мрежи, откъдето идват атаките. После нека някой да пита защо On Thursday 22 September 2005 19:16, Rosen Balchev wrote: > Sep 22 05:03:37 ns sshd[25637]: error: Could not get shadow information for > NOUSER > Sep 22 05:03:38 ns sshd[25639]: error: Could not get shadow information for > NOUSER > Sep 22 05:03:39 ns sshd[25641]: error: Could not get shadow information for > NOUSER > Sep 22 05:03:39 ns sshd[25643]: error: Could not get shadow information for > NOUSER > Sep 22 05:03:40 ns sshd[25645]: error: Could not get shadow information for > NOUSER > Sep 22 05:03:40 ns sshd[25647]: error: Could not get shadow information for > NOUSER > Sep 22 05:03:41 ns sshd[25649]: error: Could not get shadow information for > NOUSER > Sep 22 05:03:42 ns sshd[25651]: error: Could not get shadow information for > NOUSER > Sep 22 05:03:43 ns sshd[25653]: error: Could not get shadow information for > NOUSER > > > > i to na mnogo mesta
Re: lug-bg: sshd dava nqkakvi osobenni nesta
Dimitar Terziev каза:
> На опит за exploit ми прилича това...
> Виж от къде идват атаките, и вземи съответните мерки... аз напримет като
> видя
> нещо подобно и филтрирам цели класове мрежи, откъдето идват атаките.
> После нека някой да пита защо
Абсолютно си прав. Може и малко да се автоматизира филтрирането. Този
скрипт го взех от клубовете на дир-а и ми върши работа:
gawk '/Failed password/ {if ($0 ~ /invalid/) print $13 ; else print $11}' \
/var/log/messages*.* \
| sort | uniq --count | sort -rn \
| gawk '{if ($1 > 9) print "iptables -A INPUT -s " $2 "/32 -j DROP"}'
Може би не отговарям, защото: http://6lyokavitza.org/mail
Re: lug-bg: sshd dava nqkakvi osobenni nesta
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Dimitar Terziev wrote: > На опит за exploit ми прилича това... > Виж от къде идват атаките, и вземи съответните мерки... аз напримет като видя > нещо подобно и филтрирам цели класове мрежи, откъдето идват атаките. > После нека някой да пита защо > > On Thursday 22 September 2005 19:16, Rosen Balchev wrote: > >>Sep 22 05:03:37 ns sshd[25637]: error: Could not get shadow information for >>NOUSER Леле, леле, леле... атаки, филтри на цели класове мрежи. Мали мали разбирачи. Съобщението преведено значи това: някой се опитва да се логне (най-вероятно скрипт) на машината със несъществуваш на нея юзер. Ако правилно си спомням това се командва от login.defs -> LOG_UNKFAIL_ENAB no/yes, т.е. дали да логва имената които са ползвани, или просто NOUSER. Има тонове скриптчета които се опитват да брутфорснат лесни и типични комбинации от име/парола. Приятно филтриране, ако си си подредил добре градинката изобщо не би трябвало да ти пука за тези. Защо изобщо ползваш пароли? Забрани на sshd да пуска какъвто и да е друг логин освен публични ключове. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (MingW32) iD8DBQFDM8jHNACY/F2/q5ERAom5AJ0cZ3Im+F30KkmAP+GFSb36avu7EgCeOJ4R edvoUSqt93X/fW2bi6PcS0Y= =b+DU -END PGP SIGNATURE-
Re: lug-bg: sshd dava nqkakvi osobenni nesta
В пт, 2005-09-23 в 12:20 +0300, Kiril Todorov написа: > Защо изобщо ползваш пароли? Забрани на sshd да пуска какъвто и да е друг > логин освен публични ключове. ... И после се надявай искрено, че 1) някой гаф няма да замаже authorized_keys, 2) че ще имаш достъп до машината с ключовете си, и 3) че изобщо няма да ти се случи нещо лошо на ключовете. Паролата е може би най-добрия резервен начин да си влезеш на машината при проблем, да се спре е леко самоубийствено ... signature.asc Description: This is a digitally signed message part
Re: lug-bg: sshd dava nqkakvi osobenni nesta
Thursday, September 22, 2005, 7:16:53 PM, you wrote: > Sep 22 05:03:37 ns sshd[25637]: error: Could not get shadow information for NOUSER Sep 22 05:03:38 ns sshd[25639]: error: Could not get shadow information for NOUSER Sep 22 05:03:39 ns sshd[25641]: error: Could not get shadow information for NOUSER Sep 22 05:03:39 ns sshd[25643]: error: Could not get shadow information for NOUSER Sep 22 05:03:40 ns sshd[25645]: error: Could not get shadow information for NOUSER Sep 22 05:03:40 ns sshd[25647]: error: Could not get shadow information for NOUSER Sep 22 05:03:41 ns sshd[25649]: error: Could not get shadow information for NOUSER Sep 22 05:03:42 ns sshd[25651]: error: Could not get shadow information for NOUSER Sep 22 05:03:43 ns sshd[25653]: error: Could not get shadow information for NOUSER i to na mnogo mesta И аз имам подобен, така да го наречем проблем. Ей тук са изписали малко по въпроса: http://forum.sun.com/thread.jspa?threadID=22399&start=0&tstart=45 До колкото ми стана ясно, според линка, а и според моите наблюдения, че някой се опитва да ни "хакне" :). Въпросните съобщения вероятно ти ги изплюва във /var/log/syslog, ако свериш датата часа със /var/log/messages, може да установиш следното: 1)от messages: Sep 23 01:53:53 BrowseMan sshd[28337]: Invalid user jung from 202.215.39.242 Sep 23 01:53:53 BrowseMan sshd[28337]: Failed password for invalid user jung from 202.215.39.242 port 48832 ssh2 2)от syslog: Sep 23 01:53:53 BrowseMan sshd[28337]: error: Could not get shadow information for NOUSER Що се отнася до решението на проблема, аз процедирах по най-лесния начин (винаги има и по-лесен, ама това е друга тема :)), а именно, че си смених password-a, с малко по-дълг и от така наречения вид Strong Password (нещо от сорта на "nSx2dDsa24Sjw"). Също така и увеличих времето за изчакване за въвеждане на нова парола, след опитр да се логне с грешна такава. Ами това е с тея промени няма да спрат съобщенията, ама поне се надявам да стопя ентусиазма на тез оптимисти. :] -- Best regards, BrowseMan mailto:[EMAIL PROTECTED]
Re: lug-bg: sshd dava nqkakvi osobenni nesta
On Friday 23 September 2005 12:20, Kiril Todorov wrote: > Леле, леле, леле... атаки, филтри на цели класове мрежи. > > Мали мали разбирачи. Никога не съм твърдял, че съм "разбирач".
Re: lug-bg: sshd dava nqkakvi osobenni nesta
Tova sus kluchovete sum si go mislil ... no se nalaga da si ima user i pass .. zastoto na tazi mashina sftp i neznam kakvo si oste, i neznam si kolko oste useri , deto ste revnat do nebeto ako neznam kakvo si zabranq .. Reshih da vzema slednoto reshenie ... slojih limit na ssh na port 22 burst 5/ 1/s i vdignah grace-time-a na sshd-to ... Istinskiq problem ne mi beshe che nqkoi sh mi se logne na mashinata ... zastoto 16simvolna parola s vsqkvi simvoli , pri da kajem 1mbit , znachi nqkolko vek-a. Istinskiqt problem e che mashinata pravi ishodiast trafic do nqkvi si polski IP-ta sus 4MBit , koeto me navejda na edna misul , che nqkoi spoofi polskoto IP , ima loc. mreja do men .. i si mi tvari vanshniq kanal... nqkoi znae li saotnoshenieto na traffic-a na ssh-a .. t.e. ako az izkarvam 4Mbit traffic navun , to kolko trqbva da vliza navutre (misleh si 1/3 - pravih edni opiti) .. a az nqmam tolkova mejdunaroden kanal , s kolkoto mi e vkarano ... nqkoi imal li e podobni podozreniq , i spored vas osnovatelni li sa ??? blagodarq vi predvaritelno .. n 9/23/05, Vasil Kolev <[EMAIL PROTECTED]> wrote: В пт, 2005-09-23 в 12:20 +0300, Kiril Todorov написа:> Защо изобщо ползваш пароли? Забрани на sshd да пуска какъвто и да е друг> логин освен публични ключове И после се надявай искрено, че 1) някой гаф няма да замаже authorized_keys, 2) че ще имаш достъп до машината с ключовете си, и 3)че изобщо няма да ти се случи нещо лошо на ключовете. Паролата е може бинай-добрия резервен начин да си влезеш на машината при проблем, да се спре е леко самоубийствено ...-BEGIN PGP SIGNATURE-Version: GnuPG v1.4.1 (GNU/Linux)iD8DBQBDM9YHXGxMwFp5iTARAgs0AJwILOp9clZ1XR+tE74cHSXH6pp6xgCggmf11HUtHv+YJeAeibN7sQ1C53k==nYbO -END PGP SIGNATURE-
Re: lug-bg: sshd dava nqkakvi osobenni nesta
Rosen Balchev wrote: > Reshih da vzema slednoto reshenie ... slojih limit na ssh na port 22 > burst 5/ 1/s И в момента на "атака" никой от легалните потребители не може да се логне - чист Denial of Service. дам -- Дамян Иванов 0x9725F63B Кредитреформ България [EMAIL PROTECTED] http://www.creditreform.bg/ тел. +359(2)928-2611, 929-3993 факс +359(2)920-0994 моб. +359(88)856-6067 ICQ 3028500 [EMAIL PROTECTED]/Gaim
lug-bg: FW: проблем с lug-bg ?
end >> >>Едно време се бях регистрирал в lug-bg но доставчика ми изтри пощите и после като си направих същата пак се регистрирах, но сега пращам маил на lug-bg@linux-bulgaria.org и не го получавам в пощенската си кутия както преди. >>Да не би вече да не се получават собствените е-маил-и обратно. >>Ако е така моля ви кажете ми защото проблема които имам го пращам за 3-ти път вече и затова реших да ви напиша това писмо, за да не ми кажете после и от един път разбираме защо го пращаш по 100. :| . Иначе това което пишете вие го получавам и аз. >> >>Благодаря предварително!
RE: lug-bg: sshd dava nqkakvi osobenni nesta
Всеки администрира системите си както намери за добре и има право на собствено виждане. Според мен, ползване на пароли за отдалечено логване в несигурна среда е пълна глупост, а случването на нещо с ключовете или друго от ~/.ssh трябва да е предвидено и да не представлява директна заплаха. Понякога ми се налага да се логвам в отдалечени системи от машини, които имат статус на публичен терминал (и други лица работят на тях). Решението което ползвам е криптиран дял или файл (с горната информация), който се монтира от някое лайв дист. Това не елеминира всички рискове, но ги редуцира значително. В. -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Vasil Kolev Sent: Friday, September 23, 2005 1:17 PM To: lug-bg@linux-bulgaria.org Subject: Re: lug-bg: sshd dava nqkakvi osobenni nesta В пт, 2005-09-23 в 12:20 +0300, Kiril Todorov написа: > Защо изобщо ползваш пароли? Забрани на sshd да пуска какъвто и да е друг > логин освен публични ключове. ... И после се надявай искрено, че 1) някой гаф няма да замаже authorized_keys, 2) че ще имаш достъп до машината с ключовете си, и 3) че изобщо няма да ти се случи нещо лошо на ключовете. Паролата е може би най-добрия резервен начин да си влезеш на машината при проблем, да се спре е леко самоубийствено ...
RE: lug-bg: Promise RAID error
> -Original Message- > From: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] On Behalf Of Дамян Иванов > Sent: Monday, September 19, 2005 3:17 PM > To: lug-bg@linux-bulgaria.org > Subject: Re: lug-bg: Promise RAID error > > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Martin Kolev wrote: > > На въпросния компютър има стартирана samba. > > Поразрових се в логовете и открих в един от профилите на > > потребителите, че има файлове, които се дублират по имена и > при опит > > да се изтрият излиза съобщение за входно/изходна грешка. > Бях принуден > > да действам по радикално и направо изтрих директорийте, > които съдържат > > проблемните файлове. При което в системния лог започнаха да > излизат подобни редове: > > > > Sep 19 13:11:00 ... kernel: EXT2-fs error (device md(9,0)): > > ext2_free_blocks: bit already cleared for block 2199269 Sep 19 > > 13:11:00 ... kernel: EXT2-fs error (device md(9,0)): > > ext2_free_blocks: bit already cleared for block 2198890 Sep 19 > > 13:11:00 ... kernel: EXT2-fs error (device md(9,0)): > > ext2_free_blocks: bit already cleared for block 2198891 Sep 19 > > 13:11:00 ... kernel: EXT2-fs error (device md(9,0)): > > ext2_free_blocks: bit already cleared for block 2196940 Sep 19 > > 13:11:00 ... kernel: EXT2-fs error (device md(9,0)): > > ext2_free_blocks: bit already cleared for block 2199096 Sep 19 > > 13:11:00 ... kernel: EXT2-fs error (device md(9,0)): > > ext2_free_blocks: bit already cleared for block 2196936 > > > > > > Мислите ли, че това би ми спестило пускането на fsck.ext2? > > В никакъв случай. По-скоро прави използването на fsck още по-належащо. > Да не говорим за нуждата от архив... > > > дам > - -- > Дамян Иванов 0x9725F63B Кредитреформ България > [EMAIL PROTECTED] http://www.creditreform.bg/ > тел. +359(2)928-2611, 929-3993 факс +359(2)920-0994 > моб. +359(88)856-6067 ICQ 3028500 > [EMAIL PROTECTED]/Gaim -BEGIN PGP SIGNATURE- > Version: GnuPG v1.4.1 (GNU/Linux) > Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org > > iD8DBQFDLqwfHqjlqpcl9jsRAm0bAJ9zwmdOVjDWWX1m77O9z9l5IqOp0ACgq6i3 > ucOuHxF2ZQvty25TJc5IKjU= > =rC0c > -END PGP SIGNATURE- > Тази вечер реших да uнmont-на raid-a и да му пусна e2fsck -n ... Ето и резултата: [EMAIL PROTECTED]:/# e2fsck -n /dev/md0 e2fsck 1.27 (8-Mar-2002) The filesystem size (according to the superblock) is 6142846 blocks The physical size of the device is 6142816 blocks Either the superblock or the partition table is likely to be corrupt! Abort? Дострашаме да не оплескам нещата въпреки, че имам архиви на информацията. Кое в случая е правилното решение? Ако продължа с no какво рискувам? Поздрави! Мартин Колев
Re: lug-bg: Рутиране на реални ip-та
Georgi Genov wrote:
Kiril Todorov wrote:
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Alexander N wrote:
Като начало, ако решиш да го препращаш през гейтуея, трябва от
доставчика да направят съответният рутинг също.
За да знае техният рутер да го търси през хоп, а не директно.
И като е на лице това остава само нещо от сорта на:
#purwo da prepolojim che po nqkakyv nachin si razreshil FORWARD na
vsichki, ne e zadylvitelno da e po tozi nachin
${iptables} -A FORWARD -s ${private_network} --in-interface
${dev_clients} -j ACCEPT
${iptables} -A FORWARD -d ${private_network} --out-interface
${dev_clients} -j ACCEPT
#za tozi koito shte se simulira che e s realen adres
${iptables} -t nat -A POSTROUTING -s ${private_network} -d !
${private_network} -j SNAT --to-source ${vip_client_adr}
Поправка на този ред. Не е добре да пиша когато спя :(
${iptables} -t nat -A POSTROUTING -s ${vip_client_private_adr} -d !
${private_network} -j SNAT --to-source ${real_adr_2}
${iptables} -A PREROUTING -t nat -d ${real_adr_2} -j DNAT
--to-destination ${vip_client_private_adr}
#za vsichki ostanali da se maskirat zad $real_adr_1
${iptables} -t nat -A POSTROUTING -s ${private_network} -d !
${private_network} -j SNAT --to-source ${real_adr_1}
Естественно в този случай двете реални IP-та се предполага, че са в
една мрежа и че първото е default geteway.
Редовете по-горе могат да бъдат написани и по по-различен начин избора
си е твой.
Това което по-лесно можеш да направиш е пълен или частичен нат на това
айпи към вътрешната машина където ти трябва.
Да това май се опитах и аз да напиша по-горе.
Re: lug-bg: connlimit za vsiako ip ot /24 s edin red
Възможно е , но няма да се получи желания резултат. Ще сложи лимит на цялата маска, а не на всяко ip по отделно. Ivailo Ivanov wrote: Zdraveite, Vazmogno li e s iptables da se napravi za vsiako ip ot mrega x.x.x.x/24 --connlimit-above 16 -j DROP . Ideiata e da se polzva edin red za mnogo ip-ta podobno na hashlimit __ Do You Yahoo!? Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com
lug-bg: Изпращане на syslog по e-mail с един ред
Искам всяка сутрин да си самоизпращам syslog файла по електронната поща и за
целта добавих един ред в crontab, който върши работа, но според мен не е
достатъчно оптимизиран и може още да се смачка, не съм запознат изцяло с
възможностите на awk.
Какъв по-кратък вариянт предлагате на следния ред:
echo "Subject for " > /tmp/subject ; date +%e | awk '/.*/ {$1-- ; print $1}'
>> /tmp/subject ; date "+ %b %Y" >> /tmp/subject ; cat /tmp/subject
/var/log/syslog | grep " `date +%e | awk '/.*/ {$1-- ; print $1}'` " |
/var/qmail/bin/qmail-inject [EMAIL PROTECTED] > /dev/null ; rm /tmp/subject
--
MafiaInc (c) 1983 - 2005
