|
|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
| Въпрос |
| От: Haknat |
Дата: 07/29/2003 |
Има редове в които показват, че някой е успял да се върже
към компютъра. От Италия е. Какво мога да направя когато
някой започне атака?
По какво мога да разбера на кой процесе е, за да го килна?
Уж постоянно си дърпам updateа...
|
| Отговор #1 |
| От: Anonymous |
Дата: 07/30/2003 |
Drypvai si kabela na LAN-a ;)
A za procesa .. zavisi kakvo pravqt.
|
| Отговор #2 |
| От: ka |
Дата: 07/30/2003 |
q dai tiq redowe da gi widim kade se e warzal toq mrasen
italqnec
|
| Отговор #3 |
| От: HammerFall_ (hammerfall __@__ bitex __точка__ bg) |
Дата: 07/30/2003 |
Config-ni si firewall-a. Inache ako razchitash na
nastrojkite po podrazbirane nqma da oceleesh dylgo v
mrejata. Vij na koj port ti se zakacha ili po tochno kakyv
protokol izpolzva. Ako ne zabrani si vsichki portove i daj
razreshenie samo na tezi koito polzvash ot vyn. Sega nqmam
vreme da ti obqsnqvam za config-a na firewall-a a i mislq
che e govoreno dosta po tazi temq. Proveri
man iptables
|
| Отговор #4 |
| От: Никола Антонов (nikola __@__ debian-nikola< dot >homelinux< dot >net) |
Дата: 07/30/2003 |
Мда, няма да е зле да видим лога, защото може да става дума
просто за опит за закачане: не казваш за коя услуга става
дума, за какъв протокол... Ние не сме пророци, все пак;)
|
| Отговор #5 |
| От: raptor |
Дата: 07/30/2003 |
netstat -an
wivdash na koi portowe slusha mashinata ti :
cat /etc/services | grep port-number
Spirash wsichko deto ne ti e nuvno... a za ostanalite
polzwash :
iptables
/etc/hosts.allow , host.deny
itn.... w zawisimost ot service..
koi kernel si, koq distribucia, kakwo tochno pishe w
log-a...etc...bez informaciq nqma help :")
|
| Отговор #6 |
| От: Стефан (zmeio __@__ mail__dot__orbitel__dot__bg) |
Дата: 07/30/2003 |
Само искам да добавя нещо. Ако някой е успял да се логне в
системата ти и е предубил root права тогава задължително
системата трябва да се преинсталира. По принцип ако е било
така, това, че си видял в лог файл е истинско чудо. По
принцип някой root-не ли ти системата изтрива всички отчетни
файлове окито дават знак за достъпа. После следва
троянизиране на някой основни системни програми - netstat,
top, ps, в някой случаи и ifconfig, route и др. По тови
начин когато напишеш ps, например няма да виждаш процесите
които е генерирал хакера, като напишеш netstat, няма да
вижда неговите кинекции. Може да се троянизирани sshd и др.
такива иснтрументи, kernel модули и т.н. За това ако си бил
хакнат - преинсталирай!!!
|
| Отговор #7 |
| От: Haknat |
Дата: 07/30/2003 |
Jul 27 00:57:30 debian smbd[3670]: connect from
80.116.56.31
Jul 27 00:57:34 debian smbd[3671]: connect from
80.116.56.31
Jul 27 00:57:59 debian smbd[3672]: connect from
80.116.56.31
Jul 27 00:58:15 debian smbd[3674]: connect from
80.116.56.31
Jul 27 00:58:22 debian smbd[3675]: connect from
80.116.56.31
Jul 27 00:58:36 debian smbd[3676]: connect from
80.116.56.31
Jul 27 00:59:24 debian smbd[3677]: connect from
80.116.56.31
............................................
SAmba
2.2.3a-12.3 for Debian
|
| Отговор #8 |
| От: Plamen |
Дата: 07/30/2003 |
1."Уж постоянно си дърпам updateа..."
2."Samba 2.2.3a-12.3 for Debian"
3. ?!?!?!
|
| Отговор #9 |
| От: Haknat |
Дата: 07/30/2003 |
Ne razbrah kakwo iskash da mi kajesh!
|
| Отговор #10 |
| От: Haknat |
Дата: 07/30/2003 |
Niakoi shte obiasni li kakwo oznachawat tochno tia redowe?
|
| Отговор #11 |
| От: Никола Антонов (nikola< at >debian-nikola[ точка ]homelinux[ точка ]net) |
Дата: 07/31/2003 |
Нищо особено. Пусни си smbstatus и ще видиш за какво става
дума. Как си настроил самбата, използвал ли си hosts allow.
Изобщо не става дума за хакване, още по-малко за използване
на експлоит. Тази версия е чиста. Най-много, да не си задал
както трябва hosts allow и някакъв червей да седи закачен за
шернатия ресурс.
Използвай netstat -ntp, iptraf и прочее, за да видиш
по-подробно за какво става дума.
|
| Отговор #12 |
| От: Haknat |
Дата: 07/31/2003 |
Ахххххх, червей ли било?
Как си настроил самбата, използвал ли си hosts allow.
Ами преписах от някъде някакви настройки от този сайт za
smb.conf и това е, което съм правил. В други файлове не съм
пипал нищо. Сега чета за iptables. Амми новак съм още, че и
съм параноик дори :-)
|
| Отговор #13 |
| От: Никола Антонов (nikola__at__debian-nikola< dot >homelinux< dot >net) |
Дата: 07/31/2003 |
Използвай в [global] секцията задължително hosts allow
примерно така...
Приемаме, че твоята локална мрежа има адрес
192.168.0.0/255.255.255.0. Пишеш:
hosts allow = 127.0.0.0/255.255.255.255
192.168.0.0/255.255.255.0
Дори и да имаш реален IP-адрес, когато ограничиш достъпа по
мрежа и подмрежова маска, нещата ще си дойдат на мястото,
така че ако някой се опитва да ти прави мизерии, ще е само
човек от твоята локална мрежа;)
Освен това, когато видиш в лога да пише connect, това все
още не означава, че някой или нещо се е свързал и вече е
получил достъп до машината ти. С командата smbstatus можеш
да видиш точно за кой ресурс и от кой IP-адрес има реални
връзки.
|
| Отговор #14 |
| От: Haknat |
Дата: 07/31/2003 |
Blagodaria
|
| Отговор #15 |
| От: ka |
Дата: 08/01/2003 |
kwa e taq samba 2.2.3a
poslednata 2.2. e '8a' drugite sa opasni
|
| Отговор #16 |
| От: Никола Антонов (nikola __@__ debian-nikola< dot >homelinux< dot >net) |
Дата: 08/01/2003 |
Всъщност, последната е 3.0.0beta, но тя е все още в sid, докато
2.2.3а е в stable и не е опасна, защото е поправена.
nikola@debian-nikola:~$ apt-cache policy samba
samba:
Installed: 3.0.0beta2-1
Candidate: 3.0.0beta2-1
Version Table:
*** 3.0.0beta2-1 0
500 http://ftp.bg.debian.org unstable/main Packages
100 /var/lib/dpkg/status
2.2.3a-14 0
990 http://ftp.bg.debian.org testing/main Packages
2.2.3a-12.3 0
500 http://security.debian.org stable/updates/main Packages
2.2.3a-12 0
500 http://ftp.bg.debian.org stable/main Packages
|
<< kinfiguratsiya (2
) | zbdesk i zeiberbude help (0
) >>
|
|
|
|
|
|
