Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: Frank Zappa - 18.05.10 - klo:15.36
-
Firestarter muodosti seuraavan listan, heti välittömästi kun random-IPllä menin verkkoon. Hacker oli näköjään oksalla kytiksellä niinkuin korppikotka ! Liekkö kiinalainen tai usalainen, kun noita porttitiedusteluja tulee
jokapäivä useita !
Time:May18 14:48:05 Unknown In:ppp0 Out: Port:41840 Source:90.200.148.100 Length:99 TOS:0x00 rot:UDP Service:Unknown
Time:May18 14:48:05 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203 Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:05 Unknown In:ppp0 Out: Port:41840 Source:84.203.64.50 Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:06 Unknown In:ppp0 Out: Port:41840 Source:70.121.19.132 Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:201.42.151.202 Length:70 TOS:0x00 rot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:74.56.219.172 Length:93 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:83.24.23.47 Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203 Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:89.231.69.228 Length:99 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:84.251.223.235 Length:93 OS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:78.131.56.112 Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:66.31.142.19 Length:70 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:24.199.69.125 Length:93 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:10 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203 Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:10 Unknown In:ppp0 Out: Port:41840 Source:95.21.61.94 Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:11 Unknown In:ppp0 Out: Port:41840Source:217.126.219.124Length:93TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:12 Unknown In:ppp0 Out: Port:41840 Source:71.48.36.74 Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:12 Unknown In:ppp0 Out: Port:41840 Source:196.205.193.6 Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:13 Unknown In:ppp0 Out: Port:41840 Source:70.104.100.73 Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:13 Unknown In:ppp0 Out: Port:41840 Source:85.211.67.229 Length:93 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:14 Unknown In:ppp0 Out: Port:41840 Source:87.60.177.83 Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:14 Unknown In:ppp0 Out: Port:41840 Source:82.113.106.146 Length:99TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:15 Unknown In:ppp0 Out: Port:41840 Source:174.3.242.31 Length:93 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:16 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203 Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:50:16 Unknown In:ppp0 Out: Port:1434 Source:60.161.78.155 Length:404 TOS:0x00 Prot:UDP Service:Ms-sql-m
Ei oo näköjään vaaratonta liikkua netissä, edes Firefoxilla pelkästään: heti portti 80 auki.
T: Frank Zappa 8)
-
Tuleehan niitä melkein joka koneeseen... nykypäivää.
-
mitä muita systeemejä kuin firestarter on olemassa noiden tarkkailuun
-
Ei oo näköjään vaaratonta liikkua netissä, edes Firefoxilla pelkästään: heti portti 80 auki.
T: Frank Zappa 8)
Jäi tämä hieman vaivaamaan. Ei kai Firefox mitään portteja auo, ainakaan sisäänpäin? Yleensä 80-porttia miehittävät www-palvelinohjelmistot, kuten Apache. Ja Ubuntussahan on oletuksena portit auki joka suuntaan, siellä ei vain ole mitään kuuntelemassa niitä portteja.
-
Tuo logitus kyllä näyttää äkkiseltään P2P-ohjelman aikaansaannokselta, ei hakkerin tekosilta. Oisko sitä IP:tä käyttänyt edellinen käyttäjä hetkeä aikaisemmin...
-
Jaa.. Mitä tossa oon hommia seuraillut niin seuraavanlainen lista porteista joita käydään koputtelemassa tauotta kiinasta, intiasta, japanista, latviasta, turkista tai jostain iran, irak tjsp suunnilta:
TCP Port 22 SSH
TCP Port 23 Telnet protocol
TCP Port 80 HTTP
TCP Port 83 DNS Service
TCP Port 135 Microsoft Remote Procedure Call (RPC) service.
TCP Port 443 HTTPS
TCP Port 445 Microsoft-DS Active Directory, Windows shares
TCP Port 1080 Socks proxy server
TCP Port 1433 Microsoft SQL Server
TCP Port 1863 MSNP (Microsoft Notification Protocol), .NET Messenger Service
TCP Port 2113 hsl-storm
TCP Port 2967 Symantec Antivirus
TCP Port 3389 Terminal Server
TCP Port 4899 Windows Radmin tool
TCP Port 5656 IBM Sametime p2p file transfer
TCP Port 6891 BitTorrent, Windows Live Messenger, MSN Messenger
TCP Port 8443 PCSync
TCP Port 16000 ???
TCP Port 18180 DART Reporting server
TCP Port 56964 ???
Ehdoton suosikki tuntuu olevan tuo portti 18180 jota taotaan aikavälillä 00:00-7:30 n. puolen minuutin välein mitä ihmeellisemmistä osotteista. Sen jälkeen tulee yhdistetyn kakkossijan jakavat portit 1433 ja 2967.
-
Sniveri, millä komennoilla saat tulostettua noin komean listauksen koputtelijoista? Kiinnostaisi itseäni listata kuka täällä päin yrittää tulla kuokkimaan :D terveisin Timo
-
Sniveri, millä komennoilla saat tulostettua noin komean listauksen koputtelijoista? Kiinnostaisi itseäni listata kuka täällä päin yrittää tulla kuokkimaan :D terveisin Timo
Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.
-
Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.
Siisti juttu! Ilo silmälle, terveisin Timo
-
Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.
Siisti juttu! Ilo silmälle, terveisin Timo
Täytyis muutenki viritellä vähän siistimpiä juttuja kun meinas jo pyrkiä kiinalainen SSH:n kautta kylään kun testailin noita avaimia. Ohessa liite auth.logista :D
[ylläpito on poistanut liitteen]
-
Ja taas: Mitähän tämä tarkoittaa ? (niinku suomeks)
21:55:26 Port:28342 Source:220.239.235.179 Dest:84.231.0.121 Length:64 TOS:0x00 Protcl:TCP Service:Unknwn
21:55:39 Port: Source:94.245.115.178 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:41 Port: Source:94.245.115.176 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:43 Port: Source:94.245.115.175 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:45 Port:28342 Source:220.239.235.179 Dest:84.231.0.121 Length:48 TOS:0x00 Protcl:TCP Service:Unknwn
21:55:49 Port: Source:94.245.115.176 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:51 Port: Source:94.245.115.175 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:53 Port: Source:94.245.115.174 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:54 Port:28342 Source:69.208.6.31 Dest:84.231.0.121 Length:60 TOS:0x00 Protcl:TCP Service:Unknwn
21:56:01 Port:28342
Poju ei osaa porttia määrittää? Vai? Entä pystyykö hakkeroimaan ?
T: Frank Zappa 8)
-
http://www.virustorjunta.net/modules.php?name=News&file=article&sid=699
Höh... Miksi tuolla on lista päivityksistä?
Muokkaus: Korjaan: Miksi tuolla on UNIX/Linux-kohdassa lista päivityksistä (pääasiassa) ja muissa haavoittuvuuksista? :D
-
http://www.virustorjunta.net/modules.php?name=News&file=article&sid=699
Julkaistu: Tiistai, tammikuu 15 2008 @ 09:00:00 EEST
-
Höh... Miksi tuolla on lista päivityksistä?
Muokkaus: Korjaan: Miksi tuolla on UNIX/Linux-kohdassa lista päivityksistä (pääasiassa) ja muissa haavoittuvuuksista? :D
Eiköhän tuo ole selvää mikä tuollaisen windows-orientoituneen sivuston näkökulma haavoittuvuuksiin ja niiden korjaamisen aikatauluun on. 8)
-
Täytyis muutenki viritellä vähän siistimpiä juttuja kun meinas jo pyrkiä kiinalainen SSH:n kautta kylään kun testailin noita avaimia. Ohessa liite auth.logista :D
Minulla keskimääräinen päivä TeleWellin lokista tuottaa 5-10 koputusta. Liitteessä 3 päivän saldo.
Joskus on todella hiljaisia päiviä, voi olla että lista on tyhjä; ...vai onko niin, että krakkeri on pyyhkinyt listan tyhjäksi sitten kun on tullut NAT:in sisälle.
OT:
Tuo listan hakeminen modeemin lokista ja varsinkin sen automatisointi on ollut projektien listalla jonkin aikaa. Salasanan kanssa tulee varmaan ongelmia?? Pitää varmaa anoa apuja tuolla edistyneessä käytössä...
Edit: OT jatkuu... tuli vaan tietoturvasta mieleen, että jokin yhtenäinen turvaratkaisu ei ole välttämättä hyvä, koska se on tavallaan julkinen. Itse tehdyn ratkaisun hakkerointi on yksittäistapaus ja siksi hankalampi. (Edellyttää tietysti, että asia hallitaan ja sehän on kokonaan toinen juttu...).
[ylläpito on poistanut liitteen]
-
OT:
Tuo listan hakeminen modeemin lokista ja varsinkin sen automatisointi on ollut projektien listalla jonkin aikaa. Salasanan kanssa tulee varmaan ongelmia?? Pitää varmaa anoa apuja tuolla edistyneessä käytössä...
modeemeissa saattaa olla syslog/rsyslog-ominaisuus jossa määritetaan vain ip-johon syslogia pukataan.
-
Yksi tapa (jota käytän joskus) on tutkia pakettien kulkua koneellani nast:lla.
Joskus niitä yrityksiä on tullut ja ne ovat menneet hosts filuun ;)
-
Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.
Siisti juttu! Ilo silmälle, terveisin Timo
Täytyis muutenki viritellä vähän siistimpiä juttuja kun meinas jo pyrkiä kiinalainen SSH:n kautta kylään kun testailin noita avaimia. Ohessa liite auth.logista :D
Eiköhän fail2ban ole ihan riittävä ainakin tuohon SSH suojaukseen, asettaa rajaksi vaikka 4 niin kummasti loppuu turhat yritykset. Aikana ennen fail2ban softaa, debian servuni sai 2007 koputteluja 1500kpl päivässä! Nyt 2009 oli jossain vaiheessa kone ilman fail2ban:ia, ja koputtelut nousivat parhaillaan 3000kpl / päivä.
Vuze torrent liikenteineen aiheuttaaa kanssa kauhean määrän roskaa 80 porttiin, jotka näkyvät logwatch lokitiedostoissa, logwatch lähettää rootin sähköpostiin joka aamu raportin päivän tapahtumista.
-
Johtuukohan tästä ketjusta? ;D
Tämän päivän saldo:
Jun 9 13:51:05 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 14:21:50 Hack Attack: DROP ICMP packet from [nas0] 95.168.183.126 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 14:21:53 Hack Attack: DROP ICMP packet from [nas0] 95.168.183.126 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 15:18:13 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 16:29:23 Block Wan: DROP ICMP packet from [nas0] 200.102.69.189 to xx.xx.xx.xx
Jun 9 16:29:25 Block Wan: DROP ICMP packet from [nas0] 200.102.69.189 to xx.xx.xx.xx
Jun 9 17:00:48 Block Wan: DROP ICMP packet from [nas0] 218.150.116.141 to xx.xx.xx.xx
Jun 9 17:00:50 Block Wan: DROP ICMP packet from [nas0] 218.150.116.141 to xx.xx.xx.xx
Jun 9 17:06:58 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 18:36:05 Hack Attack: DROP ICMP packet from [nas0] 208.43.224.60 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 18:57:59 Block Wan: DROP ICMP packet from [nas0] 66.215.22.230 to xx.xx.xx.xx
Jun 9 18:58:01 Block Wan: DROP ICMP packet from [nas0] 66.215.22.230 to xx.xx.xx.xx
Jun 9 19:36:58 Hack Attack: DROP ICMP packet from [nas0] 208.43.174.26 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 19:42:53 Hack Attack: DROP ICMP packet from [nas0] 208.43.174.26 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 19:50:15 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 19:55:40 Hack Attack: DROP ICMP packet from [nas0] 208.43.174.26 to xx.xx.xx.xx <SPI:Illegal connection state attack>
-
http://www.f-secure.com/fi_FI/security/worldmap/
Näyttää pohjoismaat olevan ristitulessa...
-
Mitää? Miten helppoa on murtautua toisen koneelle reitittimen kautta?
Olen avannut yhden portin P2P-verkkoa varten. Miten helppo sitä kautta on livahtaa sisään?
-
Mitää? Miten helppoa on murtautua toisen koneelle reitittimen kautta?
Olen avannut yhden portin P2P-verkkoa varten. Miten helppo sitä kautta on livahtaa sisään?
Osaavalle se on varmasti helppo homma, jos ensin löytää koneen ja motiivi on kohdallaan. :o???
Edit: Yrittäjiä taitaa olla liikkeellä, kun vilkaisin tuota maailmankarttaa. Top-10 Listalla erilaisia viuruksia.
-
Tuo P2P-ohjelmille tarkoitettu reikä koskee vain oman koneeni alisoitetta, eli 192.168.1.X, eli eihän urkkija tuosta sinänsä mitään hyödy, oletan?
Nyt ollaan jännän ytimessä.
-
Tuo P2P-ohjelmille tarkoitettu reikä koskee vain oman koneeni alisoitetta, eli 192.168.1.X, eli eihän urkkija tuosta sinänsä mitään hyödy, oletan?
Nyt ollaan jännän ytimessä.
[mutu] Periaatteessa urkkija voi lähetellä sinulle tuohon porttiin "sopivasti muotoiltuja" paketteja, mutta eiköhän ne paketit tipu siinä, koska p2p-ohjelmasi ei ymmärrä niitä. [/mutu]
-
Tuo P2P-ohjelmille tarkoitettu reikä koskee vain oman koneeni alisoitetta, eli 192.168.1.X, eli eihän urkkija tuosta sinänsä mitään hyödy, oletan?
Nyt ollaan jännän ytimessä.
[mutu] Periaatteessa urkkija voi lähetellä sinulle tuohon porttiin "sopivasti muotoiltuja" paketteja, mutta eiköhän ne paketit tipu siinä, koska p2p-ohjelmasi ei ymmärrä niitä. [/mutu]
Vähän samanlainen tuntuma minullakin asiaan on. Kyllä tässä voisi alkaa paranoiaksi, mutta uskon olevani turvassa pahemmilta urkinnoilta. No reitittimen turva lokin laitoin päälle, että voin vähän tutkailla mitä siellä tapahtuu.
Sen tiedän, ettei Linux-ohjelmilla ole mitään intressejä vastata koputtajille, mutta Windowsista saattaa joitain 'mätää' koodia löytyä. Kaikkien kolmennen osapuolten ohjelmien laadusta ei voi olla sata varma.
-
Osaavalle se on varmasti helppo homma, jos ensin löytää koneen ja motiivi on kohdallaan. :o???
Miten niin? Tai siis perusteluja sais laittaa tuollaisen väitteen perään - ainakin kun vastaa kysymykseen Ubuntu-foorumilla koskien konetta, joka on reitittimen takana ja jossa on auki ilmeisimmin vain yksi portti p2p-ohjelmaa varten.
Ubuntu voi olla oletusasennuksella suorassa yhteydessä nettiin ilman riskejä, koska mikään ohjelma ei kuuntele (=ota vastaan) paketteja vaikka kuka koneen osoitteeseen mitä yrittäisi. Kone kyllä iloisesti vastaa pinggiin, mikä voidaan laskea tietynlaiseksi tietoturvariskiksi, se kertoo koputtajille, että osoitteessa on kone ja ettei siinä ole palomuuri kovinkaan aktiivinen.
Lyhyesti: Ubuntu-käyttäjä on oletuksena turvassa netistä tulevilta hyökkäyksiltä. Ainoa tapa edes mahdollistaa murto on avata portteja eli asentaa ohjelmia, jotka kuuntelevat netistä tulevaa liikennettä. (Haittaohjelman voi saada vaikka hölmöilemällä selaimella, mutta se ei kuulune tähän ketjuun...)
Jos kone, kuten Immo "reitittimellä" kai tarkoittaa, on nattaavan (http://fi.wikipedia.org/wiki/Osoitteenmuunnos) internetpurkin takana, on hyökkääjän mahdollisuus päästä satunnaisilla koputuksilla edes koneelle asti lähes olematon. Ensin hyökkääjän pitäisi murtaa purkin rautasofta ja sitten vielä kone.
P2P-ohjelma toimii käynnissä ollessaan aktiivisena palvelimena ts. ottaa vastaan netistä tiettyn porttiin tulevia paketteja osana tiedostonvaihtoa. Ubuntun sisäiseen, mutta vailla sääntöjä olevaan palomuuriin ei tarvitse avata mitään tätä varten, tähän porttiin tulevat paketit menevät sellaisinaan kyseessä olevalle ohjelmalle. Virheelliset paketit tämä ohjelma jättää bittiavaruuteen tulkiten ne matkalla pilaantuneiksi. Murtautuminen tämän ohjelman kautta edellyttää sopivaa ohjelmointivirhettä tässä ohjelmassa.
Virheen pitää olla sellainen, että se mahdollistaa koodin suorittamisen ja/tai tiedostojen muuttamisen koneessa. Koodin pitää olla alustalle suunniteltua (Win/Linux) ja sen pitää omata/saada riittävät oikeudet kirjoittaa itsensä sinne, minne sen ohjelmoija on suunnitellut.
Tällaisia viruksia ei ole linuxille.
Aktiivinen kräkkääminen toisen käyttäjän Ubuntu-koneelle reitittimen läpi jonkin p2p-ohjelman oletettua aukkoa pitkin on myös äärimmäisen kaukaa haettu esimerkki - vaikka mahdollinen ;)
Toivottavasti joku korjaa, jos olen väärässä - perustelujen kera. Eikä tarkoitukseni ole vähätellä tietoturvan merkitystä linux-käytössäkään. Ubuntun tai muiden linux-jakeluiden tarjoamien pakettien kanssa tietoturva kun vaan sattuu (enimmäkseen) olemaan huipputasoa avoimuuden, yhteisöjen ja aukkojen nopean korjaamisen takia.
-
Osaavalle se on varmasti helppo homma, jos ensin löytää koneen ja motiivi on kohdallaan. :o???
Miten niin?
Mikään ei ole mahdotonta. Tiedon tasoa on niin monenlaista. Ja motiiveista löytyy maailmalla jopa ylitarjontaa, (kaikenlaiset kahelit etc.)
Ubuntu voi olla oletusasennuksella suorassa yhteydessä nettiin ilman riskejä, koska mikään ohjelma ei kuuntele (=ota vastaan) paketteja vaikka kuka koneen osoitteeseen mitä yrittäisi. Kone kyllä iloisesti vastaa pinggiin, mikä voidaan laskea tietynlaiseksi tietoturvariskiksi, se kertoo koputtajille, että osoitteessa on kone ja ettei siinä ole palomuuri kovinkaan aktiivinen.
Palomuuri ei varmasti ole aktiivinen, jos sitä ei ole aktivoitu.
sudo ufw status
Tässä ohjeet palomuurin säätöön (http://forum.ubuntu-fi.org/index.php?topic=4107.msg29318#msg29318)
Ubuntun tai muiden linux-jakeluiden tarjoamien pakettien kanssa tietoturva kun vaan sattuu (enimmäkseen) olemaan huipputasoa avoimuuden, yhteisöjen ja aukkojen nopean korjaamisen takia.
Onneksi näin. Ja näin minäkin uskon, että ollaan tietoturvan huipulla.
Ubuntun palomuuri on tehokas, se blokkaa välillä oman TeleWellin:
Jun 28 23:27:22 lokki1-ltop
#kernel: [26242.619789] [UFW BLOCK] IN=eth0 OUT= MAC=00:xx:xx:xx:xx:xx:xx SRC=telewellin-IP
#DST=koneen_verkkokortin-IP LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53
#DPT=48082 LEN=47
-
Täällähän on ollut moneen otteeseen puhetta Ubuntun palomuurin käytöstä ja sen tarpeellisuudesta. Olen käsittänyt, ettei peruskäyttäjän tarvitse asennuksen jälkeen siihen millään tavalla puuttua/reagoida, olenko väärässä?
Jos kone, kuten Immo "reitittimellä" kai tarkoittaa, on nattaavan (http://fi.wikipedia.org/wiki/Osoitteenmuunnos) internetpurkin takana, on hyökkääjän mahdollisuus päästä satunnaisilla koputuksilla edes koneelle asti lähes olematon. Ensin hyökkääjän pitäisi murtaa purkin rautasofta ja sitten vielä kone.
Kyseessä on siis D-Linkin langaton modeemireititin, eli sellainen 2-in-1 -ratkaisu. Ja ominaisuuksien mukaan tietoturvasta ainakin ohjelmallisesti huolehditaan:
# Sisäänrakennettu NAT-palomuuri
# Stateful Packet Inspection (SPI)
# Denial of Service (DoS) -hyökkäyksenesto
Virheen pitää olla sellainen, että se mahdollistaa koodin suorittamisen ja/tai tiedostojen muuttamisen koneessa. Koodin pitää olla alustalle suunniteltua (Win/Linux) ja sen pitää omata/saada riittävät oikeudet kirjoittaa itsensä sinne, minne sen ohjelmoija on suunnitellut.
En kyllä ole Trasmissionia ajanut sudolla viimeaikoina :D Ja luotan kyllä softaan sataprosenttisen sokeasti.
Mietin, vaan kun porttia ei ole täsmennetty millekään tietylle softalle, eli sitä porttia voi kaikki ohjelmat käyttää, mutta manuaalisesti olen asettanut vain Transmissionin Linuxissa ja Windowsissa µTorrentin käyttämään porttia.
Esim. Windowsissa voisi joku kolmannenosapuolen softa ihan käyttäjältä piilossa käyttää porttia ja sallia vaikka mitä koneelle sitä kautta. Onko mahdollista? Linux on siitä hyvä, että on suunnilleen koko ajan ajan tasalla mitä kone tekee.
Reitittimen lokista löytyy jonkin verran hälytys-tasoa olevia viestejä, joista en kyllä tajua mitään. Yksi esimerkki:
kernel: Intrusion -> IN=atm0 OUT=
MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
SRC=88.191.77.26 DST=88.192.107.149 LEN=48 TOS=0x00
PREC=0x00 TTL=114 ID=48785 PROTO=TCP SPT=11199
DPT=22 WINDOW=65535 RES=0x00 SYN URG
-
Reitittimen lokista löytyy jonkin verran hälytys-tasoa olevia viestejä, joista en kyllä tajua mitään. Yksi esimerkki:
kernel: Intrusion -> IN=atm0 OUT=
MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
SRC=88.191.xx.xx DST=88.192.xxx.xxx LEN=48 TOS=0x00
PREC=0x00 TTL=114 ID=48785 PROTO=TCP SPT=11199
DPT=22 WINDOW=65535 RES=0x00 SYN URG
Korjatkaa sitten ihmeessä jos seuraavat veikkaukset menee väärin:
Minäkään noista paljoa, MAC=sinun verkkokorttisi MAC-osoite, SRC=lähdeosoite, DST=kohdeosoite.
En tiedä voiko joku nyt käyttää hyväkseen noita julkaisemiasi tietoja, mutta ehkä niin. DST on kai sinun IP ja SRC hyökkääjän.
-
Turvallisuudesta varmaan paljon puhutaan tänä päivänä ja siitä on paljon kirjoituksia jne.. ON hyvä, että ihmiset ovat hereillä! Se että onko se kenellekin sitten tarpeen on toinen juttu. Täytyy myös muistaa se seikka, joka saattaa olla kokeneettomalle tietokoneenkäyttäjälle hieman vierasta. Yhteisö joka ubuntumaailmassa toimii, UUDET KÄYTTÄJÄT! Testailkaa eri distroja ja kertokaa kokemuksista silloin tällöin, jos et viitsi moiseen ryhtyä, niin pysy Ubuntu Suomi parissa, niin pääset helpommalla ja säästät aikaa, ehkä vaivaa tai jotain...meitä on joka junaan. Jos aikaa on niin ei muuta kuin Gentoon kimppuun :)
Lämmin sydän kaikille yhteisössä toimiville ihmisille! Jokainen varmaan yrittää auttaa parhaansa mukaan. Joidenkin on myös syytä palata takaisin sinne ruohonjuuritasolle, jolloin itse ei osannut yhtään mitään. Siis joskus silloin tällöin! Olkoon kyse lajista kuin lajista.
http://www.radiorock.fi/player/ (http://www.radiorock.fi/player/)
Jos painoit yllä olevaa linkkiä ja siellä olevaa tummaa ruutua ja kuulet jotain, niin codekit koneellasi ovat ilmeisesti kunnossa, jos ei niin kysy Ubuntu Suomesta, ei vastausta tarvitse kauaa odottaa ;)
Se mitä jokin hakkeri yrittää on toinen juttu. Ei normaalia arkielämää viettävällä ihmisellä tässä tietokonemaailmassa pitäisi olla suurta hätää huoleen : )
Kesäisin terveisin: OneOfThem
-
Täällähän on ollut moneen otteeseen puhetta Ubuntun palomuurin käytöstä ja sen tarpeellisuudesta. Olen käsittänyt, ettei peruskäyttäjän tarvitse asennuksen jälkeen siihen millään tavalla puuttua/reagoida, olenko väärässä?
Riippuu paljolti siitä, mitä peruskäyttäjä asentaa koneelleen. Harva peruskäyttäjä varmaankaan asentaa jotain porttia kuuntelevia ohjelmia. Ehkä juuri P2P-ohjelman ja muistaakseni Skype taitaa myös toimia noin.
Mietin, vaan kun porttia ei ole täsmennetty millekään tietylle softalle, eli sitä porttia voi kaikki ohjelmat käyttää, mutta manuaalisesti olen asettanut vain Transmissionin Linuxissa ja Windowsissa µTorrentin käyttämään porttia.
Esim. Windowsissa voisi joku kolmannenosapuolen softa ihan käyttäjältä piilossa käyttää porttia ja sallia vaikka mitä koneelle sitä kautta. Onko mahdollista? Linux on siitä hyvä, että on suunnilleen koko ajan ajan tasalla mitä kone tekee.
Yleensä se jälkimmäinen softa ei suostu käynnistymään, jos sille annetaan portti, joka on jo toisen ohjelman käytössä. Eri asia tietysti, jos määrität vaikkapa Transmissionille portit 60000-64000. Tällöin joku muu ohjelma voi napata portin tuolta alueelta käyttöönsä, kunhan se ei ole sama, jota Transmission sillä hetkellä kuuntelee.
-
Eikös Ubuntussa ole ihan perus iptables eli kernelin oma palomuuri käytössä noin vakiona, eikä muuta? Ja sitäkin päivitetään suhteellisen ripeään tahtiin! Senhän pitäisi tietojeni mukaan riittää ihan normikäyttäjälle vai kuinka?
-
Kävihän mielessä, että tuleekohan ojennettua kaikki avaimet krakkereille :( Tyhmä, mikä tyhmä.
Tosin yksikään laatikkoon yhdistetty kone ei omista tuota MAC-osoitetta, joka lokissa oli ja ovat muutenkin paljon lyhyempiä. Mitä tämä tarkoittaa?
Tätähän täytyy opiskella.
On se jännä.
PS: Typo, typo
PPS: Viesti n:o 666.
-
Hyvä, että ihmiset ajattelevat! Se nimittäin tutkimusten mukaan ennaltaehkäisee varhaisdementiaa. En toki ole tästä täysin vakuuttunut. Eiks pieni huumori ole joskus hyvästä? Olen sitä mieltä, niin kuin Sokrates joka kuoli kysymiseen, ei tänä päivänä välttämättä sitä samaa tee, koska teknologia toimii toisin.
Puhumalla asiat ratkeaa, ehkä?
t: OOT
-
Wittgenstein, Sokrates, Russel, Nietzsche, Platon, Aristotes, Descartes, Kant ja Hegel sekä Kant. Taisivat olla oman elämänsä eläjiä. Tehkää jotain samankaltaista nykyhetkestä/päivästä. En väitä sitä, sitä, että joku heistä olisi asiassaan oikessa! Tehkää tietoturva joka on aukoton!
Terv. Musta-aukko ja magneettikehä
-
Lisätäkseni edelliseen. Oliko Einstein väärässä ennustuksissaan?
Arkipäivän tasolla Einsteinin vaikutus on ollut mullistava. Jo vuonna 1917 Einstein esitteli stimuloidun emission, jonka myöhemmin toteutettiin laserina. Valokennojen toiminta perustuu valosähköiseen ilmiöön, jonka Einstein selitti ja loi siten pohjan sen kehittämiselle aurinkokennojen ja ovisilmien kaltaisiin käytännön sovelluksiin. Lisäksi Einsteinin keskeinen oivallus oli se, että valo kvanttiutuu luonnostaan. Tämä loi pohjaa kvanttimekaniikalle, jota käytetään sellaisenaan esimerkiksi kemiassa proteiinien laskostumisen simulointiin lääkekehitystä varten sekä elektroniikkatutkimuksessa. Suhteellisuusteorian merkittävä käyttökohde on GPS-paikannus.
Lähde: http://fi.wikipedia.org/wiki/Albert_Einstein#Einsteinin_vaikutus_tekniikkaan (http://fi.wikipedia.org/wiki/Albert_Einstein#Einsteinin_vaikutus_tekniikkaan)
Tehkää jotain mullistavaa TE ammattilaiset tietotekniikka-alalla.
Mitä käyttökohteita Ubuntukehittäjät voivat tällä saralla kehittää?
-
Kävihän mielessä, että tuleekohan ojennettua kaikki avaimet krakkereille :( Tyhmä, mikä tyhmä.
Ei tuossa ole tyhmyydestä kyse. Skeptisyys ei vain ole vielä kehittynyt täyteen mittaansa, jotta aina ensin ajattelisi miten joku voisi käyttää julkaistavaa tietoa väärin. Minä tein ja teen vieläkin valtavia emämokauksia joka asiassa, (en yksilöi).
Tosin yksikään laatikkoon yhdistetty kone ei omista tuota MAC-osoitetta, joka lokissa oli ja ovat muutenkin paljon lyhyempiä. Mitä tämä tarkoittaa?
Olisiko se modeemin/reitittimen MAC?
Täällähän on ollut moneen otteeseen puhetta Ubuntun palomuurin käytöstä ja sen tarpeellisuudesta. Olen käsittänyt, ettei peruskäyttäjän tarvitse asennuksen jälkeen siihen millään tavalla puuttua/reagoida, olenko väärässä?
Sen tarve riippuu tuurin lisäksi omasta käyttäytymisestä verkossa. Itsellä on niin huono tuuri, (vaikka käyttäytyä koetankin), että tuon Raimon ohjeen mukaan olen laittanut aina kun olen muistanut.
Jos kone, kuten Immo "reitittimellä" kai tarkoittaa, on nattaavan (http://fi.wikipedia.org/wiki/Osoitteenmuunnos) internetpurkin takana, on hyökkääjän mahdollisuus päästä satunnaisilla koputuksilla edes koneelle asti lähes olematon. Ensin hyökkääjän pitäisi murtaa purkin rautasofta ja sitten vielä kone.
Tänään, sikäli kun käsitän, näyttää NAT ja TeleWellin rautasofta murretun. UFW lokissa oli noin 8 eri IP-osoitetta, vaikka se pysyy normaalisti täysin tyhjänä huolimatta TeleWellin lokiin kirjautuneitten koputteluiden määrästä ja laadusta.
-
Olisiko se modeemin/reitittimen MAC?
Tätä olen pitkään miettinyt. Se on hyvin lähellä sitä ja viisi ensimmäistä numerosarjaa on samat. Kolme ensimmäistähän on tehtaalla määritetty ja kolme jälkimmäistä vaihtuvia numeroita.
Osoite koostuu kuudesta kaksinumeroisesta heksadesimaalisesta luvusta, joista kolme ensimmäistä on valmistajan itselleen varaama etuliite ja kolme jälkimmäistä on juokseva sarjanumero.
-Wikipedia
Ei nuo numerot kyllä juoksevilta vaikuta vaan jokaisen laitteen MAC-osoite on pysynyt samana ainakin sen vuorokauden intervallin.
Komennolla arp -a, voi tarkistaa modeemin/reitittimen MAC-osoitteen, sekä Windowsilla, että Linuxilla.
Kuinka monta MAC-osoitetta modeemireitittimellä voi olla? Ylläpitosivulta löytyy kaksi, joista toinen on LANin ja toinen WLANin MAC-osoite, joista kummatkin ovat siis lähellä lokissa näkyneestä ja tänne lipsahtaneesta.
BTW, MAC spoofingin avulla voi muuttaa koneitten verkkokortin MAC-osoitetta, jos haluaa tai on tarvetta.
E: Samantyyppisiä varoituksia on tullut lokiin alle viikossa reippaasti yli sata. MAC-arvo on aina sama, muut muuttuvat.
-
BTW, MAC spoofingin avulla voi muuttaa koneitten verkkokortin MAC-osoitetta, jos haluaa tai on tarvetta.
Jos tuolla muuttaa MACcia, niin jokohan vaihtuu ulosnäkyvä IP:kin?
Täällä kun tuo IP ei vaihdu joka vuosikaan... Olisi kiva nähdä jatkuuko hyökkäykset jos saa IPn muutettua.
-
Eikös Ubuntussa ole ihan perus iptables eli kernelin oma palomuuri käytössä noin vakiona, eikä muuta? Ja sitäkin päivitetään suhteellisen ripeään tahtiin! Senhän pitäisi tietojeni mukaan riittää ihan normikäyttäjälle vai kuinka?
Jos oikein saivarrellaan, niin siellä on netfilter ja iptables on sen edusohjelma. Joka tapauksessa oletuksena Ubuntun palomuuri ei tee mitään, vaan siellä on kaikki levällään. Tämä kuitenkin riittää peruskäyttäjälle, koska mitään portteja ei kuunnella.
-
Jos tuolla muuttaa MACcia, niin jokohan vaihtuu ulosnäkyvä IP:kin?
Kyllä se IP varmaankin muuttuu. En vaan tiedä miten muutan reititinmodeemin MAC-osoitteen. Tai voiko sitä edes muuttaa.
-
Tutkin tuota vähän enemmän
Tänään, sikäli kun käsitän, näyttää NAT ja TeleWellin rautasofta murretun. UFW lokissa oli noin 8 eri IP-osoitetta, vaikka se pysyy normaalisti täysin tyhjänä huolimatta TeleWellin lokiin kirjautuneitten koputteluiden määrästä ja laadusta.
Muistin kirjautuneeni Eniron numeropalveluun... ja tarina menee näin...
Menin Eniron (http://henkilot.eniro.fi/login?next=%2F) sivulle, jossa ohjeena on "Lähetä tekstiviesti ENIRO 7352 numeroon 16233 (0.25 euroa)".
Laitoin viestin menemään. (Ja tässä vaiheessa en ollut tehnyt vielä mitään Eniron sivulla.) Sain paluuviestin joka näkyy kännykässä kelloajalla 08:20:51. Tämän jälkeen selain kirjautui automaagisesti palveluun.
Palomuurin lokissa toiminta alkoi seuraaavan mukaan:
heinä 02 08:20:36 [UFW BLOCK] tcp 80.69.234.12 searchfi.prod.eniro.net
80.69.224.0/20 Eniro network in Scandinavia (DK, FI, NO, SE) AS20888 Scandinavia Online AB 80
www 192.168.0
Ja tällaisia torppauksia tuli 22 kpl kolmessa eri purskeessa 8 minuutin aikana, jonka jälkeen torjuttava vaihtui:
heinä 02 08:38:49 [UFW BLOCK] tcp 217.30.180.49 virtual23.nebula.fi
217.30.176.0/20 FI-NBLNETWORKS AS29422 Nebula Oy Autonomous System 80 www 192.16
heinä 02 08:39:56 [UFW BLOCK] tcp 83.145.229.6 adv2.nebula.fi 83.145.192.0/18
FI-NBLNETWORKS-20040202 AS29422 Nebula Oy Autonomous System 80 www 192.16
Nuo rivit mukaan lukien 13 torjuntaa.
Myöhemmin tuli uusi yrittäjä kehiin: (eikä mitään hajua missä surffailin tuohon aikaan)
heinä 02 09:15:18 [UFW BLOCK] tcp 74.125.79.136 ey-in-f136.1e100.net
74.125.79.0/24 Google AS15169 Google, Inc 80 www 192.16
90 sekunnin aikana 16 torjuntaa. Nuo tiedot sai nätisti html-tiedostoon käskyllä: fwlogwatch -tsNndypWwo FWLloki
Kaikki torjutut tulivat portista 80 palvelulla www ja tähtäsivät koneeni portteihin n. 39 000 - 60 000.
Mitä minä tästä opin? En kai mitään. Ehkä sen, että normikäyttäjän koneelle Eniro olisi päässyt helpommalla, kun ei palomuuria olisi aktivoitu eikä sinne sääntöjä laitettu. (Oletussäännöistä on ollut niin montaa juttua, että en ota niihin kantaa; varsinkaan kun en ole niitä tutkinut itse).
Olivatko kaikki torjutut mainostajan asialla. Ehkä?
-
No huh huh. Tulekoo nuo koputukset automagiikalla vai miten on yksityisellä(?) ihmisellä niin paljon aikaa ja intoa alkaa koputtelemaan randomina muitten ihmisten modeemeja.
Jos mailmasta löytyy ihmisiä, jotka pääsevät Pentagoniin murtautumaan (tosin jäi kiinni), niin eiköhän joku 50 eskon modeemin läpi joillain keinoin pääse. Tosin minun koneeni sisältö ei välttämättä ole niin mielenkiintoinen kuin Pentagonin palvelimien.
-
No huh huh. Tulekoo nuo koputukset automagiikalla vai miten...
:o Minultako tuollaista kysyt? (haistanko vedätyksen) :) Minä tuollaisia tiedä; ja ne jotka tietää, eivät jostain syystä kerro sitä tähän ketjuun. Onko tällaisia ketjuja liikaa? Onko tämä sopimaton aihe tälle forumille?
..vai miten on yksityisellä(?) ihmisellä niin paljon aikaa ja intoa alkaa koputtelemaan randomina muitten ihmisten modeemeja.
Ajattelepas esim. ilman omaa syytään kenkää saanutta IT-gurua, jolla ei ole kavereita työn ulkopuolelta, ei akkaa tms. Sitä kun alkaa ajan kuluessa ottamaan kupoliin ja lisäksi vielä naksahtaa sopivasti, niin motiiveja alkaa löytyä randomisti. Naapurin kissasta auringon liikkeisiin... Em. tapauksessa taito on valmiiksi kohdallaan, mutta voihan koputtaja olla vaikka työssä oleva "keksi tähän sopiva ammatti" joka harrastaa tietokoneita.
Jos mailmasta löytyy ihmisiä, jotka pääsevät Pentagoniin murtautumaan (tosin jäi kiinni), niin eiköhän joku 50 eskon modeemin läpi joillain keinoin pääse.
Juuri näin.
Tosin minun koneeni sisältö ei välttämättä ole niin mielenkiintoinen kuin Pentagonin palvelimien.
Sisältö ei ehkä, mutta onhan siinä hyvä harjoitella. Kun jossain vaiheessa keksii miten läpi pääsee, niin siirrytään vaikeampaan kohteeseen, tai huomataan ettei sen 50 eskon modeemin takana ollutkaan Windows 7 xp 98 nt 8 9 tms., jota olisi voinut käyttää rutiininomaisesti bottikoneena seuraavaan koputteluun.
Siinä putoaa jokin(?) osa nakuttajista, kun havaitsevat olevansa tekemisissä Linuksin kanssa. Ei tulekaan tuttua kansiorakennetta vastaan minne voisi haittaohjelman laittaa. (Eikä tietenkään ole sitä toimivaa haittaohjelmaakaan minkä laittaisi...)
Tämä viikonlopppu on aika aktiivista; nyt aamulla klo 8:50 jälkeen tullut 140 koputusta, eilen 220 ja tämän kuukauden puolella yhteensä 610 kpl.
[ylläpito on poistanut liitteen]
-
Minultako tuollaista kysyt? (haistanko vedätyksen) Minä tuollaisia tiedä; ja ne jotka tietää, eivät jostain syystä kerro sitä tähän ketjuun. Onko tällaisia ketjuja liikaa? Onko tämä sopimaton aihe tälle forumille?
No lähinnä äänen mietin. Luulisi jonkun krakkerin pistäneen jonkun koneen automaattisesti koputtulemeen IP kerrallaan modeemeja, jos jostain löytyisi joku vanha rotisko, jonka läpi pääsee helposti istuttamaan jotain roskaposti ohjelmia jne. Niin minä arvelen.
Ei tämä minusta mitenkään sopimaton aihe ole. Välillä on hyvä ajatellakin mitä internetissä tapahtuu, kun kaikki ovat tottuneet automaattisesti klikkailemaan kaikki Terms of Agreement -laatikot ja huoletta antamaan pankkikorttitunnuksensa, että saa juuri voitetun iPad:n huomiseksi kotiin.
Ajattelepas esim. ilman omaa syytään kenkää saanutta IT-gurua, jolla ei ole kavereita työn ulkopuolelta, ei akkaa tms. Sitä kun alkaa ajan kuluessa ottamaan kupoliin ja lisäksi vielä naksahtaa sopivasti, niin motiiveja alkaa löytyä randomisti. Naapurin kissasta auringon liikkeisiin... Em. tapauksessa taito on valmiiksi kohdallaan, mutta voihan koputtaja olla vaikka työssä oleva "keksi tähän sopiva ammatti" joka harrastaa tietokoneita.
No eiköhän kuuden miljradin ihmisen joukosta muutama(tuhatta) sellaista löydy.
Tämä viikonlopppu on aika aktiivista; nyt aamulla klo 8:50 jälkeen tullut 140 koputusta, eilen 220 ja tämän kuukauden puolella yhteensä 610 kpl.
Hmmm. Koputtelijat eivät varmaan pyri sisään asiakkaina (client), joten tunkeutujan tunnistaminen on varmaan aika mahdotonta.
-
Kyllä kai noita koputtajia onaina ollut kun on kone verkossa..
Minä ainakaan en edes jaksa tutkia/päätä vaivata tuollaisen vuoksi.
-
pari komentoa, joilla näkee kuuntelevat portit ja muodostetut yhteydet:
sudo netstat -plntu
sudo lsof -i
jos lsof -l komennolla näkyy jotain mitä ei pitäisi, niin PID kertoo mitä killata tarvittaessa..
-
jos lsof -l komennolla näkyy jotain mitä ei pitäisi, niin PID kertoo mitä killata tarvittaessa..
Tuohan on aika mahtavaa loitsua. Pitäisiköhän näpertää vastaava skriptinpoikanen mitä noille koputtajillekin tein. (http://forum.ubuntu-fi.org/index.php?topic=34231.msg267390#msg267390)
lsof -l komennolla näkyy
firefox-b..... ...... ey-in-f118.1e100.net:www (ESTABLISHED)
firefox-b..... ...... privet.canonical.com:www (ESTABLISHED)
firefox-b..... ...... blogit.kauppalehti.fi:www (ESTABLISHED)
firefox-b..... ...... 217-212-252-195.customer.teliacarrier.com:www (ESTABLISHED)
firefox-b..... ...... s3.amazonaws.com:www (ESTABLISHED)
Mutta tämä on kai normaalia? Joskus kokeillut EtherApe:a ja sekin näyttää uskomattomia määriä yhteyksiä johonkin ihan minne sattuu, vaikka on avannut vain selaimen. Siitä ne sitten kuolevat vuorollaan pois. Live-kirjanmerkit päivittyvät, jotkin RSS-syötteet, Google hakupalkki aktivoituu ja mitä lienee muuta.?
Kyllä kai noita koputtajia on aina ollut kun on kone verkossa..
Varmaan, mutta mistä johtuu älyttömät vaihtelut niiden määrässä? Eilen tuli 380 modeemin mielestä vakavampaa kopautusta, tänään ei vielä yhtään; vain 3 kevyttä naksausta.
Luulisi jonkun krakkerin pistäneen jonkun koneen automaattisesti koputtelemaan IP kerrallaan modeemeja, jos jostain löytyisi joku vanha rotisko, jonka läpi pääsee helposti istuttamaan jotain roskaposti ohjelmia jne. Niin minä arvelen.
Näin se varmaan käy. Murretut/saastutetut koneet toimivat taas koputtajina... jne.
OT: Ilmaus "vanha rotisko". :) Tiedän mitä tarkoitit, mutta kielikuva ja totuus voivat mennä täysin ristiin: Vanhassa koneessa on jokin Linux, uudessa koneessa jokin Windows. Vanhan koneen käyttäjä on valveutunut harrastaja, uuden koneen käyttäjä napsuttelee iloisesti "OK" joka paikkaan, sallii sitä sun tätä, sille sun tälle...
Hmmm. Koputtelijat eivät varmaan pyri sisään asiakkaina (client), joten tunkeutujan tunnistaminen on varmaan aika mahdotonta.
Pitäisi opiskella jonkin IDS-ohjelman käyttö, kunhan ensin olisi jaksanut opiskella "verkon salat" :-[ ??? 8) :o
-
Kyllä kai noita koputtajia on aina ollut kun on kone verkossa..
Varmaan, mutta mistä johtuu älyttömät vaihtelut niiden määrässä? Eilen tuli 380 modeemin mielestä vakavampaa kopautusta, tänään ei vielä yhtään; vain 3 kevyttä naksausta.
[/quote]
Täältä näkee authentikointiyritykset
tail -1000 /var/log/auth.log
Epäonnistuneet yritykset:
grep Failed /var/log/auth.log*
Onnistuneet:
grep Accepted /var/log/auth.log*
-
Kyllä kai noita koputtajia on aina ollut kun on kone verkossa..
Varmaan, mutta mistä johtuu älyttömät vaihtelut niiden määrässä? Eilen tuli 380 modeemin mielestä vakavampaa kopautusta, tänään ei vielä yhtään; vain 3 kevyttä naksausta.
[/quote]
Eiköhän se riipu siitä, miten ip-osoitteesi osuu minäkin päivänä krakkereiden skannaamiin osoiteavaruuksiin.
-
Kyllä kai noita koputtajia onaina ollut kun on kone verkossa..
Minä ainakaan en edes jaksa tutkia/päätä vaivata tuollaisen vuoksi.
En minäkään ole yöuniani menettämässä, mutta asia luonnollisesti kiinnostaa, kun huomasin, että koputtelijoita tämänkin kotitalouksen koneet niin kiinnostavat ;D
OT: Ilmaus "vanha rotisko". Smiley Tiedän mitä tarkoitit, mutta kielikuva ja totuus voivat mennä täysin ristiin: Vanhassa koneessa on jokin Linux, uudessa koneessa jokin Windows. Vanhan koneen käyttäjä on valveutunut harrastaja, uuden koneen käyttäjä napsuttelee iloisesti "OK" joka paikkaan, sallii sitä sun tätä, sille sun tälle...
Sanos muuta. Pelaajana minulta löytyy "pakollinen" Windows kovalevyltä ja ihana UAC-aiheuttaa zombimaisia oireita klikata kaikkia näkyvissä olevia OK-, Kyllä- ja Salli-nappeja.
pari komentoa, joilla näkee kuuntelevat portit ja muodostetut yhteydet:
Kiitos muuten noista.
-
Pistin muuten D-Linkille kyselyä, miten tulkita modeemireitittimen viestilokia. Pistin myös samaisen entryn, mikä ylempää löytyy. Vastaus oli tyhjentävä:
Ilmoitus tarkoitta että olet saanut Internet yhteiden. No problemos.
-
Pistin muuten D-Linkille kyselyä, miten tulkita modeemireitittimen viestilokia. Pistin myös samaisen entryn, mikä ylempää löytyy. Vastaus oli tyhjentävä:
Ilmoitus tarkoitta että olet saanut Internet yhteiden. No problemos.
Repesin :D
kernel: Intrusion -> IN=atm0 OUT=
MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
SRC=88.191.77.26 DST=88.192.107.149 LEN=48 TOS=0x00
PREC=0x00 TTL=114 ID=48785 PROTO=TCP SPT=11199
DPT=22 WINDOW=65535 RES=0x00 SYN URG
Siis eikö tuo nyt ole ihan niin että:
SRC = Source / mistä ollaan tulossa kyläilemään
DST = Destination / mihin osoitteeseen pyritään kylään
PROTO = Protokolla
SPT = Source port
DPT = Destination port / mihin porttiin koitetaan tulla
Joku fiksumpi voi korjata jos meni ihan pieleen.
EDIT: Taisi olla vastattukkin jo tähän..
-
^ En todellakaan tiedä, mutta internet-yhteyttä vakavammasta asiasta ei ole kyse ;D
-
Kyllä kai noita koputtajia onaina ollut kun on kone verkossa..
Minä ainakaan en edes jaksa tutkia/päätä vaivata tuollaisen vuoksi.
En minäkään ole yöuniani menettämässä, mutta asia luonnollisesti kiinnostaa, kun huomasin, että koputtelijoita tämänkin kotitalouksen koneet niin kiinnostavat ;D
Näinpä. Nyt on ollut hiljaista; 5., 6. ja 7.7 yhteensä vain 24 pientä napautusta.
Kyllä kai noita koputtajia on aina ollut kun on kone verkossa..
Varmaan, mutta mistä johtuu älyttömät vaihtelut niiden määrässä? Eilen tuli 380 modeemin mielestä vakavampaa kopautusta, tänään ei vielä yhtään; vain 3 kevyttä naksausta.
Eiköhän se riipu siitä, miten ip-osoitteesi osuu minäkin päivänä krakkereiden skannaamiin osoiteavaruuksiin.
Näin se voi hyvinkin olla, ei kai kukaan voi koko verkkoa pieksää.
Täältä näkee authentikointiyritykset
tail -1000 /var/log/auth.log
Epäonnistuneet yritykset:
grep Failed /var/log/auth.log*
Onnistuneet:
grep Accepted /var/log/auth.log*
Eipä tainnut täällä olla kumpiakaan, muuta kuin omia kirjautumisia.
Tietoturva on kohdallaan. "Uhkaajat" löytyvät palomuurien lokeista; eli mikään ei ole päässyt läpi.
Joko tämä uutinen oli täällä jossain mainittuna?: http://www.hs.fi/kotimaa/artikkeli/Verkon+kostohy%C3%B6kk%C3%A4ykset+uhkaavat+uteliasta/1135258379799?ref=rss (http://www.hs.fi/kotimaa/artikkeli/Verkon+kostohy%C3%B6kk%C3%A4ykset+uhkaavat+uteliasta/1135258379799?ref=rss)
Edit: :) edellisen linkin keskustelusta kaapattu kommentti. Tuokin näyttäisi Windows-maailmalta...
Vakoiluohjelma koneen käyttäjänä.
Weberman | 6.7.2010 4:16
No. Tuota jos minä moderoin jotakin palstaa, tai vastaavaa, niin enköhän minä pysty bannaamaan epämieluisan käyttäjän halutessani.
Sitten voin järjestää hänelle syötiksi tiedoston, vaikkapa jonkin hänen koneeltaan löytyvän ohjelman nimissä, jonka hän varmasti avaa, tai mikä parempi hänen koneensa tekee sen henkilön huomaamatta koko asiaa, koska on asettanut koneensa automaattisen päivityksen tekemään sen. ;)
Tietysti verkossa voi olla asennettuna skannaus loputtoman määrän sisältöjä varten, mutta veikkaan ettei tätä löydy näiltä nörteiltäkään.
Itsellä oli juuri tänä keväänä vieras, joka aktivoitui vain internetyhteyden auettua ja lähetti tiedostoja erään ulkomaisen forumin ylläpitäjälle. Tuotti hieman töitä saada kutsumaton vieras häivytettyä bittiavaruuteen. Kuitenkin itseäni hieman huvittaa se, kun ja jos saa ne auki, niin on sielläpäinkin hieman puuhaa. ;)
-
Mitäs muute mun modeemin turvallisuuslogissa olevat jutut tarkoittaa? ::)
Jul 8 07:04:28 Block Wan: DROP ICMP packet from [brwan] xx.x.xx.xxx to xx.xxx.xxx.xxxOnks noi vakaviaki ku toi turvallisuuslogi on täynnä tota samaa. Onko joku USAsta yrittänyt tulla koneelle tai jotain kun tuo lyhyempi IP-osoite on USAsta.. Ja joku MONTENEGRO maasta peräisin on yrittänyt tänään
-
Mitäs muute mun modeemin turvallisuuslogissa olevat jutut tarkoittaa? ::)
Jul 8 07:04:28 Block Wan: DROP ICMP packet from [brwan] xx.x.xx.xxx to xx.xxx.xxx.xxxOnks noi vakaviaki ku toi turvallisuuslogi on täynnä tota samaa.
Joku on yrittänyt lähettää ICMP-pakettia (luultavasti yrittänyt selvittää, onko osoitteessa konetta vastaamassa) ja modeemisi on pudottanut paketin. Eli eipä mitään vakavaa, jos ei nyt joku ala tunkemaan noita niin massoittain, että modeemi kaatuu.
-
Logi on kyllä aika täynnä tota samaa. Eilenkin joku on yrittänyt monta kertaa samasta IP-osoitteesta tuota lähetellä. Eli onko oikeen syytä huolestua vai ei jos logi on täynnä tuota?
-
Jul 8 07:04:28 Block Wan: DROP ICMP packet from [brwan] xx.x.xx.xxx to xx.xxx.xxx.xxx
Uskon, ihan niin kuin Tha-Fox, että tuo tulee pingauksesta ja ..
Jul 4 22:55:51 Hack Attack: DROP ICMP packet from [nas0] xx.x.xx.xxx to xx.xxx.xxx.xxx <SPI:Illegal connection state attack>
...tuo on vähän kovempi, todennäköisesti porttiskannaus.
Ja kun tuollainen löytyy modeemista, niin se ei ole päässyt pitemmälle. Tässä ketjussa on noita muita tarkastuspaikkoja tullut hyvin esille.
-
Logi on kyllä aika täynnä tota samaa. Eilenkin joku on yrittänyt monta kertaa samasta IP-osoitteesta tuota lähetellä. Eli onko oikeen syytä huolestua vai ei jos logi on täynnä tuota?
Minä olisin huolissani, jos aktiivisen surffauksen seurauksena lokissa ei olisi yhtään tuollaista viestiä. Sehän tarkottaisi, että kaikki moska on tullut suoraan rytinällä sisään. Jos nettiä käyttää 1.67 miljardia ihmistä, ei koputtelujen luulisi olevan harvinaisia.
-
Jos nettiä käyttää 1.67 miljardia ihmistä, ei...
... todellakaan ole ihme, että sinne joukkoon mahtuu vaikka millaista kulkijaa.
Suurin uhka normaali kotikäyttäjälle taitaa olla mainostajien loputon into tonkia kaikkea mahdollista. Vähän niin kuin tuo Eniron tapaus, josta aiemmin tässä ketjussa mainitsin.
Tuossa alla jonkinlaista yhteenvetoa ketjussa tulleista vinkeistä:
pari komentoa, joilla näkee kuuntelevat portit ja muodostetut yhteydet:
sudo netstat -plntu
sudo lsof -i
jos lsof -l komennolla näkyy jotain mitä ei pitäisi, niin PID kertoo mitä killata tarvittaessa..
Täältä näkee authentikointiyritykset
tail -1000 /var/log/auth.log
Epäonnistuneet yritykset:
grep Failed /var/log/auth.log*
Onnistuneet:
grep Accepted /var/log/auth.log*
Palomuuriohjeita (http://forum.ubuntu-fi.org/index.php?topic=4107.msg29318#msg29318)
Komennolla arp -a, voi tarkistaa modeemin/reitittimen MAC-osoitteen, sekä Windowsilla, että Linuxilla.
http://www.f-secure.com/fi_FI/security/worldmap/
-
Tuossa alla jonkinlaista yhteenvetoa ketjussa tulleista vinkeistä:
Käteviä loitsuja tosiaan. Linuxin alla on kyllä aika vaikeaa tehdä mitään huomaamatonta. Komento sudo netstat -plntu-antoi vain kourallisen yhteyksiä, joista kaikista on perillä, mutta Windowsin puolella asia saattaa olla eri.
-
Tuleehan niitä melkein joka koneeseen... nykypäivää.
En huomannut kirjoituksista missä oli otsikossa mainittu ovela yritys (toivottavasti mitään vakavaa ei ollut).:) Asian selvittäminen eri käskyillä ja tutkiminen vaikutti kuitenkin ihan mielenkiintoiselta. Tosin jos koneelle on tunkeuduttu, niin käskyjen tulosteet eivät välttämättä ole luotettavia.
-
Oman serverin tilasto:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log.txt (http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log.txt)
Kovasti yrittävät kirjautua sisään.
Ip-osoitteet Saksan ja Ranskan maista.
-
Oman serverin tilasto: - - - Kovasti yrittävät kirjautua sisään.
Varmaankin tyhmä kysymys mutta miksi kaikki portit ovat välillä 30000-60000?
-
Oman serverin tilasto: - - - Kovasti yrittävät kirjautua sisään.
Varmaankin tyhmä kysymys mutta miksi kaikki portit ovat välillä 30000-60000?
Ei todellakaan mitään tietoa. Itselläni on vain ohjattu kaksi porttia kyseiselle koneelle.
-
Taitava krakkeri kyllä pääsee sisälle, kun motivaatio on kohdillaan. Tosin se varmaankin vaatii hyökkäyksen kohteeltakin vastaan tulemista.
[ylläpito on poistanut liitteen]
-
Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.
-
Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.
Niinpä. Ruokolahden leijonat sun muut jutut.
-
Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.
Kyllä varmaan Ylen sivujenkin sotkeminen on harrastelijalle kova meriittii, uskoisin.
-
No niin. Oli taas välillä hiljaisempaakin. UFW-loki pysyi pitkään puhtaana. Tänään selailin yhtä toista foorumia joka takkuili ja myös YouTube takkuili.
Menin vilkaisemaan UFW-lokia, jossa näytti tältä, (Pastebin). (http://paste.ubuntu.com/477026/)
Nuo viimeiset rivit tuosta 74.125.... osoitteesta tulivat, kun tarkkailin lokia. (Googlen IP)
Modeemilla on ollut muutaman päivän kova vipinä. Jonkin karvaranteen kone hakkasi pari päivää aikaisemmin, tämän päivän saldo on tässä. (http://paste.ubuntu.com/477030/)
Modeemin uudelleenkäynnistys helpotti tilannetta ko. foorumin ja YouTuben suhteen; lakkasivat tahmaamasta.
Jos, ja kun, mahdollinen krakkeri sattuu läpäisemään palomuurit, niin mitä hän ensimmäisenä koneelta näkee? Ts. tipahtaako krakkeri kotikansioon vai minne? Verkkokortin reunalle heiluttelemaan jalkojaan?
Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.
Kyllä varmaan Ylen sivujenkin sotkeminen on harrastelijalle kova meriittii, uskoisin.
Kyllä se joissain todella pienissä piireissä varmaan sitä on. Saataisiin vain tuollaiset kaverit vaihtamaan puolta.
-
Lisää hyökkäyksiä:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt (http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt)
Kannattaisiko pistää mailia tuonne abuse osoitteeseen?
Whois näyttää näitä sähköpostiosoitteita:
anti_spam@mail.hz.zj.cn
abuse@chinaunicom.cn
+ Muut
-
Lisää hyökkäyksiä:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt (http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt)
Tämä on ihan hyvä esimerkki siitä mikä odottaa oman serverin perustajaa, (kai, jos nyt satuin oikein ymmärtämään).
Ediitti 2: Poistettu väsymyksestä johtuneen väärinkäsityksen aiheuttama väärin vastaus.
Editti: Mites saisi nuo rivit lajiteltua oikeasti päivämäärän mukaan? (noissa kaikenlaisissa lokeissa)
-
Lisää hyökkäyksiä:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt (http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt)
Kannattaisiko pistää mailia tuonne abuse osoitteeseen?
Whois näyttää näitä sähköpostiosoitteita:
anti_spam@mail.hz.zj.cn
abuse@chinaunicom.cn
+ Muut
Asenn fail2ban niin saat loppumaan vaikka 4:ään yritykseen per ip.
Ohjeita olen kirjoitellut blogiini:
http://someubuntutips.blogspot.com/2009/12/installing-ssh-server.html
(toki lontoon kielellä)
-
(toki lontoon kielellä)
Härmäks
http://linux.fi/wiki/Fail2ban
-
Asenn fail2ban niin saat loppumaan vaikka 4:ään yritykseen per ip.
Ohjeita olen kirjoitellut blogiini:
http://someubuntutips.blogspot.com/2009/12/installing-ssh-server.html
(toki lontoon kielellä)
Härmäks
http://linux.fi/wiki/Fail2ban
Kiitos, katotaan helpottaako brute force -hyökkäykset. Laitoin maxretry kolmeen. ;)
-
Kiitos, katotaan helpottaako brute force -hyökkäykset. Laitoin maxretry kolmeen. ;)
Mites kävi?
-
Mites kävi?
Vaikea vielä sanoa. 15.08.2010 on ollut hyökkäyksiä. Ainakin yrityksien määrä on pienempi. Muutin maxretry yhteen yritykseen. Pitää vielä seurailla logeja.
-
Mä otin kanssa tällaisen login firestarter ohjelmasta. Osaatteko kertoa mitä siinä on? Mulla ei polla säteile niin paljoa
[ylläpito on poistanut liitteen]
-
Mites kävi?
Vaikea vielä sanoa. 15.08.2010 on ollut hyökkäyksiä. Ainakin yrityksien määrä on pienempi. Muutin maxretry yhteen yritykseen. Pitää vielä seurailla logeja.
Muista sitten, jos itse tarvitset ssh yhteyttä ja näpytät väärin, niin olet itse bannissa.
Jouduin itse ottamaan kännyllä yhteyden ja resetoimaan bannin, piti tehdä parista eri tiedostosta, otan selvää mitkä ne oli, jos on tarvista, en muista, mutta löytyi googlettamalla 'remove fail2ban banned ip'
Omasta mielestä, jos noita yrityksiä on vaikka alle sata päivässä, niin se on alle 5 yritystä tunnissa, niin eipä nuo juuri kaistaa syö. Omasta mielestä 4-5 yritystä on ihan ok. root kirjautuminen ei käytössä, niin todella epätodennäköistä, että viidellä arvauksella arvaa tunnuksen ja salasanan.
-
Mä otin kanssa tällaisen login firestarter ohjelmasta. Osaatteko kertoa mitä siinä on? Mulla ei polla säteile niin paljoa
Ei tuohon osaa mitään sanoa, itsekin on enimmäkseen kyselypuolella. Yksi IP on erittäin lähellä omaasi:
Source:192.168.11.1 Destination:192.168.11.66mutta ei varmaan silti tarkoita että olisi seinän takana...
Googlaillessa tuli vastaan tällainen keskustelu... (sattuu vaan olemaan tuollainen missio-sivusto, minä en missaile ;D )
http://www.netmission.fi/fi/index.php?show=messages&tid=10956
Kerran laitoin tulostumaan jonkun tulostimelle että sulje SMB palvelusi
Tuo kommentti löytyy sivun puolivälin paikkeilta...
-
Mä otin kanssa tällaisen login firestarter ohjelmasta. Osaatteko kertoa mitä siinä on? Mulla ei polla säteile niin paljoa
Ei tuohon osaa mitään sanoa, itsekin on enimmäkseen kyselypuolella. Yksi IP on erittäin lähellä omaasi:
Source:192.168.11.1 Destination:192.168.11.66mutta ei varmaan silti tarkoita että olisi seinän takana...
192.168.11.1 on oletuksena yhdyskäytävä (gateway), joten se on luultavasti tullut ulkoa päin, jollei sitten toisesta aliverkosta.
-
192.168.11.1 on oletuksena yhdyskäytävä (gateway),
;D Näyttikin jotenkin tutulta tuo 192.... jo silloin kirjoitettaessa, ei vaan saanut päähän miksi. :-[ :-[ :-[ :-[ :-[
Yhtenä iltana sattui käymään virrat poissa modeemista sillä seurauksella, että koko päivän jatkunut koputtelu loppui siltä päivältä. Pitänee testata uudestaan :o
-
Mikä v... tämmönen http://www.serverloft.de 188.138.72.45 tcp http on, kun koputtelee jo useampana
päivänä 80-porttia ?
Miten ton saa plokattua niin, ettei tarvis moista ip:tä enää häiriintyä ?
T:Frank Zappa 8)
-
Mikä v... tämmönen http://www.serverloft.de 188.138.72.45 tcp http on, kun koputtelee jo useampana
päivänä 80-porttia ?
Miten ton saa plokattua niin, ettei tarvis moista ip:tä enää häiriintyä ?
T:Frank Zappa 8)
Pari viestiä aiempaa löytyy neuvoa.
(toki lontoon kielellä)
Härmäks
http://linux.fi/wiki/Fail2ban
-
Kyllähän noita Pelle Pelottomia Suomestakin löytyy. Tälläinen löytyi kuvat.com:n totally crap -osiosta, mutta ei ollut sentään /dev/null:n löytänyt tietänsä.
[ylläpito on poistanut liitteen]
-
Kyllähän noita Pelle Pelottomia Suomestakin löytyy. Tälläinen löytyi kuvat.com:n totally crap -osiosta, mutta ei ollut sentään /dev/null:n löytänyt tietänsä.
Haha, tämä on taas tätä, kun löytyy ymmärrystä, mutta ei järkeviä kohteita sen käyttöön ja silti pitää päästä kokeilemaan. No, ehkä kaverista joskus tulee tietoturva-asiantuntija tai muu alan ammattilainen ja pääsee oikeisiin hommiin.
-
Itse otin kanssa palomuurin kokeeksi käyttöön ja kas kummaa, jo perus asetuksilla paukkuu tällaisia.
[ylläpito on poistanut liitteen]
-
Sanoin jo toisessa aiheessa, mutta sanotaan vielä täälläkin, että tuo on Chromen ilmoitus. Joka tapauksessa jotain hämärää nyt on jossain, kun tuossa yhdessä aiheessa iskee minullakin chromium -pohjaisella selaimella tuota.
-
Hyvin toimii fail2ban. Lisäsin bantime = 86400 = 24h pitäisi vähän hillitä. ;D
-
Hyvin toimii fail2ban. Lisäsin bantime = 86400 = 24h pitäisi vähän hillitä. ;D
Mikä toi on?
-
Hyvin toimii fail2ban. Lisäsin bantime = 86400 = 24h pitäisi vähän hillitä. ;D
Mikä toi on?
Tuo Fail2ban:ko? (http://linux.fi/wiki/Fail2ban) ;)
-
Juu juuri tuo :-)
Miten noita asetuksia muutetaan? Koitin mut en osannut :-(
-
Minä ole tuota koskaan käyttänyt, kun ei ole serveriäkään.
Juu juuri tuo :-)
Miten noita asetuksia muutetaan? Koitin mut en osannut :-(
Man sivuja löytyy aika helposti ja jos sen on asentanut, niin niitä voi lukea varmaan päätteestäkin. (http://www.google.com/search?client=ubuntu&channel=fs&q=man+fail2ban&ie=utf-8&oe=utf-8)
-
Hyvin toimii fail2ban. Lisäsin bantime = 86400 = 24h pitäisi vähän hillitä. ;D
Fail2Ban on itselläni yksi niistä softista jotka olen vuosia ladannut lähes ensimmäisenä linux servereihin.
Joskus muutama vuosi sitten pääsin samanlaisen tunnuksien/salasanojen arvuuttelun kohteeksi kuten karvameduusakin mutta fail2ban auttoi siinä.
Jos tuossa itse joutuu bannatuksi niin ei tuo niin suuri haitta ole kunhan ei bantimea pistä liian pitkäksi =)
-
Hakkeri seuraa mun liikennettä mm. pankeille. http://www.serverloft.de 188.138.72.45
aina serious-yrityksiä, porteille 20,22,80, jopa https:llä.
Onks toi häiriköinty teitä muita ?
Näitten keskustelujen johdosta aloin käyttää aina gufw:tä, ja siinä asetusta: estä kaikki saapuvat.
Sen lisäksi firestarterilla kerään tietoja hakkereista.
Pitäs tosta häiriköstä päästä eroon, pitäskö siitä ilmottaa jonnekkin ? ? ?
T:Frank Zappa 8)
-
188.138.72.45
Apache 2 Test Page
powered by CentOS
Tuollainen sivu avautui tuolla IP:llä.
Ja minäkin olen nyt ihan pihalla. :o
-
188.138.72.45
Apache 2 Test Page
powered by CentOS
Tuollainen sivu avautui tuolla IP:llä.
Ja minäkin olen nyt ihan pihalla. :o
Ei kai tuossa mitään ihmeellistä ole? Joku on laittanut kyseisen ip:n takana olevaan koneeseen CentOSin ja siinä pyörii Apache, joka tarjoaa tuota sivua oletuksena. Eikä hyökkäykset välttämättä tuosta osoitteesta ole alunperin, mikäli edes hyökkäyksiä ovat.
-
Kotona voddleria käyttäessäni tuli pommitusta noin sekunnin välein routterin palomuurittomasta portista.
Kun vaihdoin palomuurilliseen porttiin niin jo lakkas.(ehkä kerran viidessä minuutissa yks)
Ja siihen, että ketkä noita pommituksia tekee niin vastaus on: ME tai osa meistä.
Mahtava nörtti poju koodaa kivan pommittelu ohjelman tavanomaisille defaultti routtereille ja pistää sen liikkeelle. Pöpö tarttuu ja kohta jokainen Pekka peruskäyttäjä pomitttaa joka suuntaan. Ip osotteita on jokunen, mutta jos edes yksi kymmenestä tuhanesta tietokoneesta on pöpön alainen niin on eittämättä selvää, että tiuhaan narskuvat kotiroutterit. Nötti pojun mielestä tuo kaikki on kuin bobermania ja hänellä on erittäin hauskaa. Suon ilon hänelle, koska nörttejä pitää arvostaa ja jopa enemmän kuin muita ihmisiä.
-
Mahtava nörtti poju koodaa kivan pommittelu ohjelman tavanomaisille defaultti routtereille ja pistää sen liikkeelle. Pöpö tarttuu ja kohta jokainen Pekka peruskäyttäjä pomitttaa joka suuntaan. Ip osotteita on jokunen, mutta jos edes yksi kymmenestä tuhanesta tietokoneesta on pöpön alainen niin on eittämättä selvää, että tiuhaan narskuvat kotiroutterit. Nötti pojun mielestä tuo kaikki on kuin bobermania ja hänellä on erittäin hauskaa. Suon ilon hänelle, koska nörttejä pitää arvostaa ja jopa enemmän kuin muita ihmisiä.
Ei voi muuta sanoa kuin että asiallinen ja hyvin kirjoitettu viesti. Kiitos tästä, nythän ongelmat selvisi, syyllinen jatkuviin julkisessa internetissä olevan koneen porttikolkutteluihin ja SSH login yrityksiin on mahtava nötti poju. Ja sitä pitää tottakai arvostaa.
Ai niin, täältä puuttuu ne [start irony] ja [/stop irony] tägit ;).
-
Ai niin, täältä puuttuu ne [start irony] ja [/stop irony] tägit Wink.
Eipäs pässejä jäpäs puutu..Olen tosissani kuin jackie chani RumbleinTheBronx leffassa.
Jos alatte noita lokeja tarkkailemaan niin pää siinä vain sekoaa. Ei tavallinen juntti voi niille mitään ja melkein aina sieltä näkyy vain joku välityspalvelin jos katsotte vaikka myipcomista ipeen sijaintia.
Ette te sitä nörttipojua paikanna kun ei se tiedä itsekkään missä luuraa. Älliä ja moraalia on enemmän kuin muilla telluslaisilla päkäpäillä. Syyttäkää mielummin oraclea, microsoftia ja vielä kerran oracle byrokratiasta ja vehkeilystä ihmiskuntaa vastaan.
-
Älliä ja moraalia on enemmän kuin muilla telluslaisilla päkäpäillä. Syyttäkää mielummin oraclea, microsoftia ja vielä kerran oracle byrokratiasta ja vehkeilystä ihmiskuntaa vastaan.
Ehkä tuntisit itsesi enemmän kotoisaksi vaikkapa Suomi 24 Huuhaa palstalla (http://keskustelu.suomi24.fi/debate/3239).
- Jarre
-
Lainaus käyttäjältä: Antifilatelisti - tänään kello 00:30
Älliä ja moraalia on enemmän kuin muilla telluslaisilla päkäpäillä. Syyttäkää mielummin oraclea, microsoftia ja vielä kerran oracle byrokratiasta ja vehkeilystä ihmiskuntaa vastaan.
Ehkä tuntisit itsesi enemmän kotoisaksi vaikkapa Suomi 24 Huuhaa palstalla.
- Jarre
Älliä ja moraalia on enemmän sillä nörtti-pojulla... jos minusta meinasit sellaisen tehdä niin suomi24 olisi siinätapauksessa oikea paikka.
Selvää kuitenkin on, että suurinosa näillä foorumeilla on kunnon ihmisiä, jotka etsivät ratkaisua omaan tai muiden ongelmiin. Jos ketjun nimi on "Hakkeri yritti ovelasti, vai mitä sanotte tästä ?" niin tuolloin on syytä jättää se lukematta, mikäli et halua huuhaa juttuja kuunnella. Jos todella haluaa oppia noita juttuja niin lataa koneensa täyteen krakkausohjelmia ja yrittää ymmärtää mitä ne tekevät. Lokeista pähkäilemällä vain todelliset ammattilaiset osaavat sanoa jotain kenties hyödyllistä ja useimmiten sekään ei tapahdu tsuit sait sukkelaan.
Anteeksi että olen huumorintajuton s24 fani poju, joka pilaa muiden elämän realismillä.
-
188.138.72.45
Ja minäkin olen nyt ihan pihalla. :o
Ja osittain olin pihalla, koska en ymmärtänyt kuuluiko http://www.serverloft.de ja tuo lainauksessa oleva IP Frankin mielestä jotenkin yhteen vai ei.
Apache 2 Test Page
powered by CentOS
Tuollainen sivu avautui tuolla IP:llä.
Ja minäkin olen nyt ihan pihalla. :o
Ei kai tuossa mitään ihmeellistä ole? Joku on laittanut kyseisen ip:n takana olevaan koneeseen CentOSin ja siinä pyörii Apache, joka tarjoaa tuota sivua oletuksena. Eikä hyökkäykset välttämättä tuosta osoitteesta ole alunperin, mikäli edes hyökkäyksiä ovat.
Minä, juntti, taas ajattelin tuon olevan jokin globaali testisivu tms. ja Frankin koneen Apassin tehneen sinne jotain testejä. ::)
...voddleria...
...bobermania...
Tuossa pari termiä, joita en tunne :-[
Jos alatte noita lokeja tarkkailemaan niin pää siinä vain sekoaa. Ei tavallinen juntti voi niille mitään ja melkein aina sieltä näkyy vain joku välityspalvelin jos katsotte vaikka myipcomista ipeen sijaintia.
Komppaan. Itsekin niitä seurasin huvin vuoksi viime joulusta lähtien, eikä ole montaa IP:tä josta olisi yritetty useana päivänä. Yleensä ne ovat yhden päivän koputtajia.
Silloin kun niitä on paljon, niitä myös on paljon. (Minulla ei varmaan ole paljoa ollutkaan, kun vertaa siihen mitä olen kuullut joillakin olevan). Joskus voi olla vain muutama päivässä.
Älliä ja moraalia on enemmän kuin muilla telluslaisilla päkäpäillä.
Ällin kohdalta komppaan. Moraali on, mikäli mahdollista, vielä hankalampi määrittää tai edes päästä jonkinlaiseen sopimukseen sen tasoista.
Tuo älli, älykkyys, sotketaan monesti viisauteen. Omalla kohdallani olen varma siitä, etten ole ainakaan huippuälykäs; joskus, (useasti ;D), oman älykkyyden taso tuntuu lähinnä lohduttomalta :'(
Viisaus, mielestäni, on kyky käyttää oikein käytettävissä olevaa älykkyyttään; olkoon sitä kuinka vähän tahansa. (Hei, tuo lausehan näyttää aika älykkäältä, öh, vai viisaalta..., vai onko kauneus vain katsojan silmässä? ;) )
Ehkä tuntisit itsesi enemmän kotoisaksi vaikkapa *** palstalla[/url].
Oman tietoturvan tarpeeseen vaikuttaa hyvin moni asia. Vaikka olemmekin täällä virtuaalitodellisuudessa ja on luvattoman helppoa "kuittailla" tuntemattomille "turvallisesti" tietoverkon takaa, kannattaa ottaa joitain asioita huomioon.
Esim. joillekin koko tämä virtuaalimaailma, elikkä koko www tai internet; mitä nimeä haluaa kukin käyttää, on luonnollisempi ympäristö liikkua ja toimia kuin "reaalimaailma". Kun joku käyttätyy huonosti, esimerkiksi yrittää ohjata kuvattua henkilöä jollekin epämääräiselle palstalle, (tämä esimerkki ei silti tarkoita Antifilatelistia rinnastettavan kuvattuun henkilöön), voi aiheuttaa vastaanottavassa päässä närää ja jopa vastatoimia. Tässä vaiheessa "kuittailijan" tietoturvan tarve kasvaa huomattavasti...
Yksinkertaisesti hyvät käytöstavat auttavat selviytymään paremmin myös virtuaalimaailmassa.
P.S.: "-- P.S. poistettu, vedoten ylläolevaan tekstiin--" Oman tietoturvan kannalta tämäkin viesti olisi kannattanut jättää lähettämättä...
-
Palatakseni alkuperäiseen aiheeseen: kuinka on mahollista että kyseinen hakkeri pystyy löytämään mut verkosta 5-15 min sisällä vaikka mulla on tyypillisesti vaihtuva IP mukulassa ?
T:Frank Zappa 8)
-
Palatakseni alkuperäiseen aiheeseen: kuinka on mahollista että kyseinen hakkeri pystyy löytämään mut verkosta 5-15 min sisällä vaikka mulla on tyypillisesti vaihtuva IP mukulassa ?
T:Frank Zappa 8)
Varoitus: Täydellistä mutua -->
Sama IP kopsuttaa jatkuvasti, vai?
Jos et ole asentanut koko järjestelmää uudelleen ja sinne asennettu "majakka" on toiminnassa.
Jos se sinun IP:n vaihtuminen on liian pienellä alueella ja se onnistuu skannata nopeasti läpi.