Kirjoittaja Aihe: Mitä tapahtui?  (Luettu 4278 kertaa)

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Mitä tapahtui?
« : 05.05.09 - klo:00.38 »
Katsoin illalla koneeltani elokuvaa, pistin elokuvan pauselle ja kävin toisessa huoneessa, palattuani leffa ei ollut enään kokoruutu tilassa niinkuin sen olin jättänyt vaan pienenä ja konsoli oli auki vaikka en sitä itse ollut avannut, hiiren kursori liikkui pitkin työ pöytää ja tekstiä juoksi konsolissa, vedin modeemin seinästä irti ja homma rauhoittui, kun katsoin mitä konsoliin oli kirjoitettu niin löytyi tälläistä
Koodia: [Valitse]
w
uname -a
irssi
apt-get
more .bash_history
id
last -430
arp -a
cd /root
ls
exit
Koneessa on asennettuna ssh serveri ja etätyöpöytä on käytössä.
Tänään tuli myös uusi kaapeli nettiyhteys+modeemi jonka asetuksia en rukannut milläänlailla vaan kytkin laitteen kiinni ja aloin käyttämään.

Oliko kyseessä jonkin asteinen hyökkäys koneelleni?
Mitä nuo konsoliin kirjoitetut jutut tekevät?
Onko kaapeli yhteydessä jotakin joka pitää erityisesti ottaa huomioon verrattuna normaali adsl yhteyteen?
Ja noin niinkuin yleisesti MITÄ HITTOA?

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: Mitä tapahtui?
« Vastaus #1 : 05.05.09 - klo:00.48 »
eip' noista komennoista mikään sinänsä vaarallinen ole, vain hieman tutkiskelua
käyttäjistä, käyttäjäryhmistä, viimeisistä komennoista, komentohistoriasta ja sen sellaista.

Jokaisesta komennosta löytyy manuaalisivu, sitä kautta voit selvittää komentojen tarkoituksen.

Vaihda ssh:n ja etätyöpöydän oletusportti!
/var/log/auth.log voi löytyä tietoa kuka tullut ja mistä.

Tuo on tullut läpi etätyöpöydän kautta.
ssh:n kautta ei voi kaapata hiirtä (ainakaan kovin helposti, ja silloin ei taatusti jäänyt jälkeä tuosta kaappauksesta)

Ei kaapeli sen erilaisempi ole kuin adsl,
Onko käytössä siltaava vai reitittävä yhteys?
Erillinen sisäverkko?
« Viimeksi muokattu: 05.05.09 - klo:01.06 kirjoittanut gdm »
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #2 : 05.05.09 - klo:01.49 »
Sen kummemmin tietämättä millainen autentikointi tuossa etätyöpöydässä on, kehoittaisin vaihtamaan salasanasi pikapuoliin ja kunnolliseksi. Lisäksi suosittelisin jotain koodinpätkää väliin, joka bannailee ip:itä, joista tulee liian monta sisäänpääsy-yritystä. SSH:lle noita ainakin on olemassa denyhosts ja fail2ban. Etätyöpöydästä en tiedä onko vastaavia olemassa.

Jotenkin vaikea uskoa, että etätyöpöydästäkään tultaisiin sisään ihan noin vain jos salasanat on kunnossa. Jos salasana on pitkä ja vahva niin sen brute forcettamiseen menee nykyisillä konetehoilla yhdellä tietokoneella ainakin kymmeniä vuosia. Farmit ja bottiverkot on sitten asia erikseen. Taasen lyhyeen salasanaan voi mennä pahimmillaan vain muutamia minuutteja.

Pelkästään denyhostsin käyttökään ei riitä jos salasana on huono. Jos onnistuu kaappaamaan salasanan hashin, niin sitä voi laskeskella kaikessa rauhassa auki ja valmiiksi saatuaan tulla ykkösyrityksellä sisään.

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #3 : 05.05.09 - klo:10.03 »
Kiitos tiedoista.
Tutkin tuossa noita komentoja eikä niillä tosiaan mitään kummempia ole saatu aikaiseksi.

Modeemista piti hakea tietoa operaattorin nettisivuilta.
Lainaus
  Toiminta
Laite siltaavassa tilassa kun yhdistetty kaapeliverkkoon, NAT-tilassa jos kaapelimodeemiyhteyttä ei ole muodostettu.
Yhteys muuttuu siltaavaksi automaattisesti, kun kaapeliyhteys on muodostunut).
Kun laite on NAT-tilassa laitteen DHCP-palvelin jakaa osoitteita verkosta 192.168.100.0/24.
Laitteen tehdasasetuksen palautusten (reset) jälkeen laite hakee asetuksensa uudelleen kaapeliverkon välityksellä.
Ei todellakaan kovinkaan selkeää tekstiä tavis käyttäjälle.

ifconfigilla katsotteassa koneiden ip on 81.197.xx..xxx
Etätyöpöytä taasen ei vaadi mitään kirjautumista jotta pääsee käyttämään.

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: Mitä tapahtui?
« Vastaus #4 : 05.05.09 - klo:10.11 »
ifconfigin tulosteesta, sinulla on suora yhteys maailmalle, joten jos mahdollista niin yritä tunkkaista se NAT päälle.

Ei varmaan tarvitse sanoa että, etätyöpöydän asetukset kait kannattaa muuttaa ;)
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #5 : 05.05.09 - klo:10.31 »
ifconfigin tulosteesta, sinulla on suora yhteys maailmalle, joten jos mahdollista niin yritä tunkkaista se NAT päälle.

Ei varmaan tarvitse sanoa että, etätyöpöydän asetukset kait kannattaa muuttaa ;)


No joo löysin lisää tietoa laitteesta
Lainaus
Laite toimii siltaavana. NAT-tilaa ei saa erikseen päälle. Laite menee NAT-tilaan automaattisesti jos kaapeliyhteyttä ei saada muodostettua.

Kaapeliyhteyden muodostuttua yhteys muuttuu automaattisesti takaisin siltaavaksi. Näitä asetuksia ei saa muutettua hallintaliittymn kautta. Tietokoneen verkkosovitin hakee itselleen tämän jälkeen automaattisesti julkisen IP-osoitteen, tarvittaessa uudista IP-osoite käsin.

En haluaisi salasanan kyselyä etätyöpöydälle koska kyseinen kone on olohuoneen viihdekeskus johon on näytöksi liitetty vain tv jolloin sen käyttäminen on nihkeää huonon kuvan takia, koneessa on niin ikään myös kaikki mahdollinen viihde ja sillä soitetaan musiikit, muilla koneilla hoidetaan varsinainen netin käyttö.

Mitähän minä voisin asialle tehdä niin että kaikki toimisi niinkuin ennenkin?

Muoks:Tulipa mieleen, minulla on tuossa yksi ylimääräinen verkkokortti, jos laittaisin sen tuohon viihdekoneeseen ja siitä yhteys kaapelimodeemiin, toisen verkkokortin kytkisin reitittimeen jne.. olisiko tämä järkevä keino? Mistä löytyisi parhaimmat ohjeet tuon homman tekemiseen?
« Viimeksi muokattu: 05.05.09 - klo:10.46 kirjoittanut harrim »

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #6 : 05.05.09 - klo:13.41 »
Ruuvaapa se NAT ihan aluks päälle, se blokkaa suoran pääsyn, joten isoimmat möröt pysyy loitolla. Mieti vasta sitte tarkempia säätöjä.

Voisihan sitäkin ajatella, että toinen verkkokortti on yhteydessä ulkomaailmaan tiukasti palomuurattuna ja toinen jakelee kaikkea roinaa lähiverkkoon. Mutta tuohan onnistuu ilmankin kahta fyysistä korttia. NAT melkeinpä hoitaa sen oletusasetuksilla.

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #7 : 05.05.09 - klo:14.13 »
Ruuvaapa se NAT ihan aluks päälle, se blokkaa suoran pääsyn, joten isoimmat möröt pysyy loitolla. Mieti vasta sitte tarkempia säätöjä.

Voisihan sitäkin ajatella, että toinen verkkokortti on yhteydessä ulkomaailmaan tiukasti palomuurattuna ja toinen jakelee kaikkea roinaa lähiverkkoon. Mutta tuohan onnistuu ilmankin kahta fyysistä korttia. NAT melkeinpä hoitaa sen oletusasetuksilla.
saada

Jos katsot minun edellistä viestiä niin huomaat että modeemiin ei saa nattia päälle.

Laitoin toisen verkkokortin kiinni ja yritän nyt saada konetta jakamaan nettiyhteyden mutta se ei meinaa onnistua, en tajua mitä pitäisi tehdä ja miten asetusten pitäisi olla.

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: Mitä tapahtui?
« Vastaus #8 : 05.05.09 - klo:14.15 »
Voit tehdä softa NATin linuxin omalla palomuurilla iptablesilla
http://www.howtoforge.com/nat_iptables

Ohje on hiukan vanha ja vajavainen, mutta antaa hyvin osviittaa.
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #9 : 05.05.09 - klo:14.27 »
Jos katsot minun edellistä viestiä niin huomaat että modeemiin ei saa nattia päälle.

Sori sisälukutaitoni vajavuus.

Lainaus
Laitoin toisen verkkokortin kiinni ja yritän nyt saada konetta jakamaan nettiyhteyden mutta se ei meinaa onnistua, en tajua mitä pitäisi tehdä ja miten asetusten pitäisi olla.

Ytimeen ip-forwarding päälle, Iptablesilla NATtaus ja ip-masquerading sekä dnsmasq forwardoimaan dns:ää. Näistä löytyy googlella paljon ohjeita koodin tasolla. Muutama hassu käsky.

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #10 : 05.05.09 - klo:14.56 »
Kovin vaikeaa on, en saa langanpäästä kiinni en sitten millään.

Jussi52

  • Käyttäjä
  • Viestejä: 416
  • Lubuntu 18.04 ja android vehkeet
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #11 : 05.05.09 - klo:18.05 »
tämä vois auttaa asiassa.
alkaa se kokemus karttua tästäkin

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #12 : 05.05.09 - klo:19.04 »
Kiitoksia neuvoista. Hermot kuitenkin menivät ja vakaa päätös NATin sisältävästä reitittimen hankinnasta kypsyi, niin että huomenna kipitän kauppaan sellaisen hakemaan.

Yksi kysymys kuitenkin vielä: nyt kun olen säätänyt iptablesin aivan keturalleen, eikä mikään bitti etene enään mihinkään, niin miten saan oletusasetukset takaisin?

asdfghjk

  • Käyttäjä
  • Viestejä: 1
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #13 : 05.05.09 - klo:19.13 »
Kiitoksia neuvoista. Hermot kuitenkin menivät ja vakaa päätös NATin sisältävästä reitittimen hankinnasta kypsyi, niin että huomenna kipitän kauppaan sellaisen hakemaan.

Yksi kysymys kuitenkin vielä: nyt kun olen säätänyt iptablesin aivan keturalleen, eikä mikään bitti etene enään mihinkään, niin miten saan oletusasetukset takaisin?

http://sial.org/howto/openssh/publickey-auth/  pistä tommottii, ja kiellä pelkkä salasana-autentikointi.

Jos haluat harrastaa paranoiaa, niin siirrä vielä ssh eri porttiin ja asenna porttiskannaustunnistin joka bannailee automaattisesti osotteita (http://freshmeat.net/projects/psad/ vaikkapa), ja pistä palomuuriin kiellä-kaikki-paitsi-salli-nämä säännöt ( vaikkapa http://myy.haaga-helia.fi/~karte/iptables_firewall.html ). En kyl näe miten nat olis yksinkertasempi kuin palomuurin laittaminen. Tossa scriptissä palveluiden nimet (ssh yms.) repästään /etc/services tiedostosta, ja tilalla voi käyttää numeroita. Jos haluat että konetin on "näkymätön", niin pistä # rivin eteen jossa on icmp-echo-request (tiputtaa ping paketit), ja pidä # merkit reikien kohdalla Cheesy.

iptables oletusasetukset saat, kun kirjoitat:
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

-P = policy, jota käytetään jos ei mikään sääntö jossain näistä oletusketjuista osu paketin kohdalle.

HMi

  • Käyttäjä
  • Viestejä: 1424
    • Profiili
Vs: Mitä tapahtui?
« Vastaus #14 : 06.05.09 - klo:10.51 »
Lainaus
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Jeh noilla alkoi bitti jälleen laukkaamaan.

Kovasti minua ihmetyttää miten tuollaisia modeemeja ihmisille jaellaan ja vieläpä ilman manuaalia jossa edes vihjattaisiin asiasta.