Hakkeri yritti ovelasti, vai mitä sanotte tästä ?

[valtsu68]

Jos nettiä käyttää 1.67 miljardia ihmistä, ei...

... todellakaan ole ihme, että sinne joukkoon mahtuu vaikka millaista kulkijaa.

Suurin uhka normaali kotikäyttäjälle taitaa olla mainostajien loputon into tonkia kaikkea mahdollista. Vähän niin kuin tuo Eniron tapaus, josta aiemmin tässä ketjussa mainitsin.


Tuossa alla jonkinlaista yhteenvetoa ketjussa tulleista vinkeistä:

pari komentoa, joilla näkee kuuntelevat portit ja muodostetut yhteydet:

Koodia: [Valitse]

sudo netstat -plntu

Koodia: [Valitse]

sudo lsof -i
jos lsof -l komennolla näkyy jotain mitä ei pitäisi, niin PID kertoo mitä killata tarvittaessa..

Täältä näkee authentikointiyritykset

Koodia: [Valitse]

tail -1000 /var/log/auth.log
Epäonnistuneet yritykset:

Koodia: [Valitse]

grep Failed /var/log/auth.log*
Onnistuneet:

Koodia: [Valitse]

grep Accepted /var/log/auth.log*

Palomuuriohjeita

Komennolla arp -a, voi tarkistaa modeemin/reitittimen MAC-osoitteen, sekä Windowsilla, että Linuxilla.

http://www.f-secure.com/fi_FI/security/worldmap/

[Immo]

Tuossa alla jonkinlaista yhteenvetoa ketjussa tulleista vinkeistä:

Käteviä loitsuja tosiaan. Linuxin alla on kyllä aika vaikeaa tehdä mitään huomaamatonta. Komento sudo netstat -plntu-antoi vain kourallisen yhteyksiä, joista kaikista on perillä, mutta Windowsin puolella asia saattaa olla eri.

[audi]

Tuleehan niitä melkein joka koneeseen...   nykypäivää.

En huomannut kirjoituksista missä oli otsikossa mainittu ovela yritys (toivottavasti mitään vakavaa ei ollut). Asian selvittäminen eri käskyillä ja tutkiminen vaikutti kuitenkin ihan mielenkiintoiselta. Tosin jos koneelle on tunkeuduttu, niin käskyjen tulosteet eivät välttämättä ole luotettavia.

[Karvameduusa]

Oman serverin tilasto:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log.txt

Kovasti yrittävät kirjautua sisään.

Ip-osoitteet Saksan ja Ranskan maista.

[audi]

Oman serverin tilasto: - - - Kovasti yrittävät kirjautua sisään.

Varmaankin tyhmä kysymys mutta miksi kaikki portit ovat välillä 30000-60000?

[Karvameduusa]

Oman serverin tilasto: - - - Kovasti yrittävät kirjautua sisään.

Varmaankin tyhmä kysymys mutta miksi kaikki portit ovat välillä 30000-60000?

Ei todellakaan mitään tietoa. Itselläni on vain ohjattu kaksi porttia kyseiselle koneelle.

[Immo]

Taitava krakkeri kyllä pääsee sisälle, kun motivaatio on kohdillaan. Tosin se varmaankin vaatii hyökkäyksen kohteeltakin vastaan tulemista.


[ylläpito on poistanut liitteen]

[sniveri]

Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.

[valtsu68]

Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.

Niinpä. Ruokolahden leijonat sun muut jutut.

[Immo]

Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.

Kyllä varmaan Ylen sivujenkin sotkeminen on harrastelijalle kova meriittii, uskoisin.

[valtsu68]

No niin. Oli taas välillä hiljaisempaakin. UFW-loki pysyi pitkään puhtaana. Tänään selailin yhtä toista foorumia joka takkuili ja myös YouTube takkuili.

Menin vilkaisemaan UFW-lokia, jossa näytti tältä, (Pastebin).

Nuo viimeiset rivit tuosta 74.125.... osoitteesta tulivat, kun tarkkailin lokia. (Googlen IP)


Modeemilla on ollut muutaman päivän kova vipinä. Jonkin karvaranteen kone hakkasi pari päivää aikaisemmin, tämän päivän saldo on tässä.

Modeemin uudelleenkäynnistys helpotti tilannetta ko. foorumin ja YouTuben suhteen; lakkasivat tahmaamasta.

Jos, ja kun, mahdollinen krakkeri sattuu läpäisemään palomuurit, niin mitä hän ensimmäisenä koneelta näkee? Ts. tipahtaako krakkeri kotikansioon vai minne? Verkkokortin reunalle heiluttelemaan jalkojaan?

Tommosesta hyökkäyksestä tulee mieleen että peitelläänkö sillä jotain muuta toimintaa, saa helpolla viranomaiset ja muut tutkimaan "mitätöntä" asiaa sillä aikaa kun jotain muuta tapahtuu toisaalla.

Kyllä varmaan Ylen sivujenkin sotkeminen on harrastelijalle kova meriittii, uskoisin.

Kyllä se joissain todella pienissä piireissä varmaan sitä on. Saataisiin vain tuollaiset kaverit vaihtamaan puolta.

[Karvameduusa]

Lisää hyökkäyksiä:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt

Kannattaisiko pistää mailia tuonne abuse osoitteeseen?

Whois näyttää näitä sähköpostiosoitteita:

anti_spam@mail.hz.zj.cn
abuse@chinaunicom.cn
+ Muut

[valtsu68]

Lisää hyökkäyksiä:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt

Tämä on ihan hyvä esimerkki siitä mikä odottaa oman serverin perustajaa, (kai, jos nyt satuin oikein ymmärtämään).

Ediitti 2: Poistettu väsymyksestä johtuneen väärinkäsityksen aiheuttama väärin vastaus.
Editti: Mites saisi nuo rivit lajiteltua oikeasti päivämäärän mukaan? (noissa kaikenlaisissa lokeissa)

[cabaro]

Lisää hyökkäyksiä:
http://karvameduusa.dy.fi/~karvameduusa/log/hyokkays_log2.txt

Kannattaisiko pistää mailia tuonne abuse osoitteeseen?

Whois näyttää näitä sähköpostiosoitteita:

anti_spam@mail.hz.zj.cn
abuse@chinaunicom.cn
+ Muut

Asenn fail2ban niin saat loppumaan vaikka 4:ään yritykseen per ip.

Ohjeita olen kirjoitellut blogiini:
http://someubuntutips.blogspot.com/2009/12/installing-ssh-server.html

(toki lontoon kielellä)

[Kullervo]

(toki lontoon kielellä)

Härmäks
http://linux.fi/wiki/Fail2ban

[Karvameduusa]

Asenn fail2ban niin saat loppumaan vaikka 4:ään yritykseen per ip.

Ohjeita olen kirjoitellut blogiini:
http://someubuntutips.blogspot.com/2009/12/installing-ssh-server.html

(toki lontoon kielellä)

Härmäks
http://linux.fi/wiki/Fail2ban

Kiitos, katotaan helpottaako brute force -hyökkäykset. Laitoin maxretry kolmeen. 

[valtsu68]

Kiitos, katotaan helpottaako brute force -hyökkäykset. Laitoin maxretry kolmeen. 

Mites kävi?

[Karvameduusa]

Mites kävi?

Vaikea vielä sanoa. 15.08.2010 on ollut hyökkäyksiä. Ainakin yrityksien määrä on pienempi. Muutin maxretry yhteen yritykseen. Pitää vielä seurailla logeja.

[Tempo]

Mä otin kanssa tällaisen login firestarter ohjelmasta.  Osaatteko kertoa mitä siinä on?   Mulla ei polla säteile niin paljoa

[ylläpito on poistanut liitteen]

[cabaro]

Mites kävi?

Vaikea vielä sanoa. 15.08.2010 on ollut hyökkäyksiä. Ainakin yrityksien määrä on pienempi. Muutin maxretry yhteen yritykseen. Pitää vielä seurailla logeja.

Muista sitten, jos itse tarvitset ssh yhteyttä ja näpytät väärin, niin olet itse bannissa.
Jouduin itse ottamaan kännyllä yhteyden ja resetoimaan bannin, piti tehdä parista eri tiedostosta, otan selvää mitkä ne oli, jos on tarvista, en muista, mutta löytyi googlettamalla 'remove fail2ban banned ip'

Omasta mielestä, jos noita yrityksiä on vaikka alle sata päivässä, niin se on alle 5 yritystä tunnissa, niin eipä nuo juuri kaistaa syö. Omasta mielestä 4-5 yritystä on ihan ok. root kirjautuminen ei käytössä, niin todella epätodennäköistä, että viidellä arvauksella arvaa tunnuksen ja salasanan.