Kirjoittaja Aihe: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?  (Luettu 45253 kertaa)

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #60 : 09.07.10 - klo:12.48 »
Jos nettiä käyttää 1.67 miljardia ihmistä, ei...

... todellakaan ole ihme, että sinne joukkoon mahtuu vaikka millaista kulkijaa.

Suurin uhka normaali kotikäyttäjälle taitaa olla mainostajien loputon into tonkia kaikkea mahdollista. Vähän niin kuin tuo Eniron tapaus, josta aiemmin tässä ketjussa mainitsin.


Tuossa alla jonkinlaista yhteenvetoa ketjussa tulleista vinkeistä:

pari komentoa, joilla näkee kuuntelevat portit ja muodostetut yhteydet:

Koodia: [Valitse]
sudo netstat -plntu
Koodia: [Valitse]
sudo lsof -i
jos lsof -l komennolla näkyy jotain mitä ei pitäisi, niin PID kertoo mitä killata tarvittaessa..


Täältä näkee authentikointiyritykset

Koodia: [Valitse]
tail -1000 /var/log/auth.log
Epäonnistuneet yritykset:
Koodia: [Valitse]
grep Failed /var/log/auth.log*
Onnistuneet:
Koodia: [Valitse]
grep Accepted /var/log/auth.log*

Palomuuriohjeita

Lainaus

Komennolla arp -a, voi tarkistaa modeemin/reitittimen MAC-osoitteen, sekä Windowsilla, että Linuxilla.

http://www.f-secure.com/fi_FI/security/worldmap/

Immo

  • Käyttäjä
  • Viestejä: 776
  • Ammuin sheriffin.
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #61 : 09.07.10 - klo:16.08 »
Lainaus
Tuossa alla jonkinlaista yhteenvetoa ketjussa tulleista vinkeistä:

Käteviä loitsuja tosiaan. Linuxin alla on kyllä aika vaikeaa tehdä mitään huomaamatonta. Komento sudo netstat -plntu-antoi vain kourallisen yhteyksiä, joista kaikista on perillä, mutta Windowsin puolella asia saattaa olla eri.
"there's two types of people. Those who are very good. And those who are dead. I'm very good"

audi

  • Käyttäjä
  • Viestejä: 1124
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #62 : 10.07.10 - klo:20.05 »
Tuleehan niitä melkein joka koneeseen...   nykypäivää.

En huomannut kirjoituksista missä oli otsikossa mainittu ovela yritys (toivottavasti mitään vakavaa ei ollut).:) Asian selvittäminen eri käskyillä ja tutkiminen vaikutti kuitenkin ihan mielenkiintoiselta. Tosin jos koneelle on tunkeuduttu, niin käskyjen tulosteet eivät välttämättä ole luotettavia.
« Viimeksi muokattu: 11.07.10 - klo:00.50 kirjoittanut audi »
Mozillazine

A1398 ym romua,  macOS 10.13
Linux Mint 18, Mate

Karvameduusa

  • Käyttäjä
  • Viestejä: 1055
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #63 : 10.07.10 - klo:22.52 »
Oman serverin tilasto:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log.txt

Kovasti yrittävät kirjautua sisään.

Ip-osoitteet Saksan ja Ranskan maista.
« Viimeksi muokattu: 10.07.10 - klo:23.08 kirjoittanut Karvameduusa »

audi

  • Käyttäjä
  • Viestejä: 1124
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #64 : 11.07.10 - klo:00.59 »
Oman serverin tilasto: - - - Kovasti yrittävät kirjautua sisään.

Varmaankin tyhmä kysymys mutta miksi kaikki portit ovat välillä 30000-60000?
Mozillazine

A1398 ym romua,  macOS 10.13
Linux Mint 18, Mate

Karvameduusa

  • Käyttäjä
  • Viestejä: 1055
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #65 : 11.07.10 - klo:11.05 »
Oman serverin tilasto: - - - Kovasti yrittävät kirjautua sisään.

Varmaankin tyhmä kysymys mutta miksi kaikki portit ovat välillä 30000-60000?

Ei todellakaan mitään tietoa. Itselläni on vain ohjattu kaksi porttia kyseiselle koneelle.

Immo

  • Käyttäjä
  • Viestejä: 776
  • Ammuin sheriffin.
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #66 : 11.07.10 - klo:17.31 »
Taitava krakkeri kyllä pääsee sisälle, kun motivaatio on kohdillaan. Tosin se varmaankin vaatii hyökkäyksen kohteeltakin vastaan tulemista.


[ylläpito on poistanut liitteen]
"there's two types of people. Those who are very good. And those who are dead. I'm very good"

sniveri

  • Käyttäjä
  • Viestejä: 322
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #67 : 11.07.10 - klo:18.43 »
Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.
Ubuntu 10.04 64-bit Desktop
Ubuntu 10.04 32-bit Desktop x 2
Ubuntu 10.04 32-bit Server

sniveri@diasp.eu

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #68 : 11.07.10 - klo:22.48 »
Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.

Niinpä. Ruokolahden leijonat sun muut jutut.

Immo

  • Käyttäjä
  • Viestejä: 776
  • Ammuin sheriffin.
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #69 : 12.07.10 - klo:18.25 »
Lainaus
Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.

Kyllä varmaan Ylen sivujenkin sotkeminen on harrastelijalle kova meriittii, uskoisin.
"there's two types of people. Those who are very good. And those who are dead. I'm very good"

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #70 : 12.08.10 - klo:20.05 »
No niin. Oli taas välillä hiljaisempaakin. UFW-loki pysyi pitkään puhtaana. Tänään selailin yhtä toista foorumia joka takkuili ja myös YouTube takkuili.

Menin vilkaisemaan UFW-lokia, jossa näytti tältä, (Pastebin).

Nuo viimeiset rivit tuosta 74.125.... osoitteesta tulivat, kun tarkkailin lokia. (Googlen IP)


Modeemilla on ollut muutaman päivän kova vipinä. Jonkin karvaranteen kone hakkasi pari päivää aikaisemmin, tämän päivän saldo on tässä.

Modeemin uudelleenkäynnistys helpotti tilannetta ko. foorumin ja YouTuben suhteen; lakkasivat tahmaamasta.

Jos, ja kun, mahdollinen krakkeri sattuu läpäisemään palomuurit, niin mitä hän ensimmäisenä koneelta näkee? Ts. tipahtaako krakkeri kotikansioon vai minne? Verkkokortin reunalle heiluttelemaan jalkojaan?


Lainaus
Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.

Kyllä varmaan Ylen sivujenkin sotkeminen on harrastelijalle kova meriittii, uskoisin.

Kyllä se joissain todella pienissä piireissä varmaan sitä on. Saataisiin vain tuollaiset kaverit vaihtamaan puolta.
« Viimeksi muokattu: 12.08.10 - klo:20.06 kirjoittanut valtsu68 »

Karvameduusa

  • Käyttäjä
  • Viestejä: 1055
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #71 : 12.08.10 - klo:22.41 »
Lisää hyökkäyksiä:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt

Kannattaisiko pistää mailia tuonne abuse osoitteeseen?

Whois näyttää näitä sähköpostiosoitteita:

anti_spam@mail.hz.zj.cn
abuse@chinaunicom.cn
+ Muut

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #72 : 12.08.10 - klo:23.56 »
Lisää hyökkäyksiä:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt

Tämä on ihan hyvä esimerkki siitä mikä odottaa oman serverin perustajaa, (kai, jos nyt satuin oikein ymmärtämään).

Ediitti 2: Poistettu väsymyksestä johtuneen väärinkäsityksen aiheuttama väärin vastaus.
Editti: Mites saisi nuo rivit lajiteltua oikeasti päivämäärän mukaan? (noissa kaikenlaisissa lokeissa)
« Viimeksi muokattu: 14.08.10 - klo:23.26 kirjoittanut valtsu68 »

cabaro

  • Käyttäjä
  • Viestejä: 131
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #73 : 14.08.10 - klo:19.55 »
Lisää hyökkäyksiä:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt

Kannattaisiko pistää mailia tuonne abuse osoitteeseen?

Whois näyttää näitä sähköpostiosoitteita:

anti_spam@mail.hz.zj.cn
abuse@chinaunicom.cn
+ Muut


Asenn fail2ban niin saat loppumaan vaikka 4:ään yritykseen per ip.

Ohjeita olen kirjoitellut blogiini:
http://someubuntutips.blogspot.com/2009/12/installing-ssh-server.html

(toki lontoon kielellä)

Kullervo

  • Käyttäjä
  • Viestejä: 876
    • Profiili

Karvameduusa

  • Käyttäjä
  • Viestejä: 1055
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #75 : 14.08.10 - klo:20.24 »
Asenn fail2ban niin saat loppumaan vaikka 4:ään yritykseen per ip.

Ohjeita olen kirjoitellut blogiini:
http://someubuntutips.blogspot.com/2009/12/installing-ssh-server.html

(toki lontoon kielellä)

Härmäks
http://linux.fi/wiki/Fail2ban

Kiitos, katotaan helpottaako brute force -hyökkäykset. Laitoin maxretry kolmeen.  ;)

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #76 : 18.08.10 - klo:22.08 »
Kiitos, katotaan helpottaako brute force -hyökkäykset. Laitoin maxretry kolmeen.  ;)

Mites kävi?

Karvameduusa

  • Käyttäjä
  • Viestejä: 1055
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #77 : 18.08.10 - klo:23.06 »
Mites kävi?

Vaikea vielä sanoa. 15.08.2010 on ollut hyökkäyksiä. Ainakin yrityksien määrä on pienempi. Muutin maxretry yhteen yritykseen. Pitää vielä seurailla logeja.

Tempo

  • Käyttäjä
  • Viestejä: 753
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #78 : 18.08.10 - klo:23.17 »
Mä otin kanssa tällaisen login firestarter ohjelmasta.  Osaatteko kertoa mitä siinä on?   Mulla ei polla säteile niin paljoa

[ylläpito on poistanut liitteen]
Läppäri aikakausi alkaa olla lopuillaan. (lopen kyllästynyt läppäreihin)
Fujitsu siemens E5925 EPA, Intel core 2 duo, 8 G ram, SSD, yms yms......

Ja linkki pääte ohjeisiin-------->http://forum.ubuntu-fi.org/index.php?topic=32091.msg282369#msg2823

cabaro

  • Käyttäjä
  • Viestejä: 131
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #79 : 19.08.10 - klo:17.53 »
Mites kävi?

Vaikea vielä sanoa. 15.08.2010 on ollut hyökkäyksiä. Ainakin yrityksien määrä on pienempi. Muutin maxretry yhteen yritykseen. Pitää vielä seurailla logeja.

Muista sitten, jos itse tarvitset ssh yhteyttä ja näpytät väärin, niin olet itse bannissa.
Jouduin itse ottamaan kännyllä yhteyden ja resetoimaan bannin, piti tehdä parista eri tiedostosta, otan selvää mitkä ne oli, jos on tarvista, en muista, mutta löytyi googlettamalla 'remove fail2ban banned ip'

Omasta mielestä, jos noita yrityksiä on vaikka alle sata päivässä, niin se on alle 5 yritystä tunnissa, niin eipä nuo juuri kaistaa syö. Omasta mielestä 4-5 yritystä on ihan ok. root kirjautuminen ei käytössä, niin todella epätodennäköistä, että viidellä arvauksella arvaa tunnuksen ja salasanan.