| View previous topic :: View next topic |
| Author |
Message |
wildancer
Guru
Joined: 02 Apr 2004
Posts: 472
|
 Posted: Sat Jun 11, 2005 2:40 pm Post subject: |
 |
|
Caspita quante congetture per un po di zozzeria nei log.... Allora: principalmente, con una buona pass e openssh aggiornato state tranquilli! provate a settare una pass tipo j98RaXXc7t0_bR23__GeNt00, poi prendete una gigabit eternet, la montate sul vostro server, prendete una dual sparc64 anch'essa con Gbeth e lanciate un brute force insane throttling: ditemi quanto ci mette a trovare la pass! Bene, non siete riuciti? ok, allora via a trovare bugs nel sorgente... o meglio ancora cercate in internet degli exploit! Non esistono  Contate poi che il 90% di questi lamer usano programmi scritti da altri per scopi didattici, ergo non sono poi così efficenti come se uno ne scrivesse di buoni e mirati (Come fanno i Penetration Tester che certo non li rendono poi pubblici) e poi questi nemmeno sono così informati, spesso sono ircWarrior a cui potrei dare il mio shadow dumpato col passwd ed essere siuro che non entrerebbero mai! (a voi non lo darei mai invece... Siete sempre informati e credo sappiate cos'è Rainbowcrack tuttavia una rainbowtable buona con maiuscole minuscole e simboli credo occupi circa 550 giga e impieghi sulla sopracitata dual sparc64 circa un anno per essere creata... certo poi cracca nell'ordine dei secondi!)
Comunque se una linux box è aggiornata e ben configurata secondo me è inattaccabile... Anche senza firewall (che poi devo ancora capire a che serve... se usi ssh devi aprire la porta, se non lo usi la porta non la apri, se lo usi in rete interna accetti solo connessioni da rete interna... e questo a quanto so è possibile per ogni server...) poi se fai come dice comio e proteggi i tuoi dati con crittatura forte sono finiti i giochi
Tutto ciò IMHO, sarei felice se qualcuno di voi riuscisse ad incutermi paura ed a ripotrare in me un giusto livello di paranoia... |
|
| Back to top |
|
 |
alexerre
Apprentice
Joined: 17 Sep 2003
Posts: 267
Location: Italy
|
| Posted: Sat Jun 11, 2005 6:44 pm Post subject: |
|
|
| k.gothmog wrote: | | per chi fosse interessato, o volesse partecipare, sto buttando giù uno scriptino che fa un meraviglioso route kill |
eccolo, molto interesato alla cosa 
_________________
Se segui gli altri non arriverai mai primo |
|
| Back to top |
|
|
Hrk
Tux's lil' helper
Joined: 24 May 2003
Posts: 90
Location: Rome, Italy
|
| Posted: Sat Jun 11, 2005 8:04 pm Post subject: |
|
|
| wildancer wrote: | Comunque se una linux box è aggiornata e ben configurata secondo me è inattaccabile... Anche senza firewall (che poi devo ancora capire a che serve... se usi ssh devi aprire la porta, se non lo usi la porta non la apri, se lo usi in rete interna accetti solo connessioni da rete interna... e questo a quanto so è possibile per ogni server...) poi se fai come dice comio e proteggi i tuoi dati con crittatura forte sono finiti i giochi
Tutto ciò IMHO, sarei felice se qualcuno di voi riuscisse ad incutermi paura ed a ripotrare in me un giusto livello di paranoia... |
Ok, per la richiesta del giusto livello di paranoia...
Sulla tua workstation, per quello che hai scritto sopra ed il modo in cui l'hai fatto, un firewall è effettivamente inutile. Sai quali processi stiano girando, quali port aprano e via dicendo.
Se tuttavia hai un server cui più utenti possono fare login e lanciare processi, il firewall ti può servire ad evitare che si installino in userspace un bel server IRC su port > 1024... visto che nel tuo firewall hai specificato che le uniche connessioni buone sono quelle dei servizi che hai deciso di offrire al mondo.
Per il resto, concordo con quanto da te scritto (visto che non era "sposta il port" ma "tieni il server aggiornato e usa una password seria"). |
|
| Back to top |
|
|
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
| Posted: Sat Jun 11, 2005 9:53 pm Post subject: |
|
|
| Hrk wrote: | Sulla tua workstation, per quello che hai scritto sopra ed il modo in cui l'hai fatto, un firewall è effettivamente inutile. Sai quali processi stiano girando, quali port aprano e via dicendo.
Se tuttavia hai un server cui più utenti possono fare login e lanciare processi, il firewall ti può servire ad evitare che si installino in userspace un bel server IRC su port > 1024... visto che nel tuo firewall hai specificato che le uniche connessioni buone sono quelle dei servizi che hai deciso di offrire al mondo.
Per il resto, concordo con quanto da te scritto (visto che non era "sposta il port" ma "tieni il server aggiornato e usa una password seria"). |
quindi secondo te un firewall ti protegge dagli attacchi provenienti dall'interno (tua macchina) e sarebbe
inutile al fine della protezione dai potenziali attacchi provenienti dall'esterno...
ok 
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Tue Jun 14, 2005 7:52 pm Post subject: Re: [OT] attacchi ripetuti via ssh |
|
|
allora... come ho accennato alcuni giorni fa ho finalmente recuperato lo scriptino...
devo ammettere che è fatto per un sistema RedHat, perché è quello che ho trovato installato su quella macchina 
sono graditi commenti & critiche & suggerimenti & chi più ne ha più ne metta...
| Code: | #!/usr/bin/perl -w
use strict;
my $email = "";
my $logfile = "/var/log/messages";
my $ip;
my $value;
my $pos;
my %hash_ip = ();
system("mv /var/log/messages /var/log/messages_`date +%Y-%m-%d-%H:%M`");
system("touch /var/log/messages; chown root:adm /var/log/messages; chmod 640 /var/log/messages; service syslog restart");
sub add_ip( ) {
if ( exists( $hash_ip{$ip} ) ) {
$value = $hash_ip{$ip};
$value++;
$hash_ip{$ip} = $value;
}
else {$hash_ip{$ip} = 1;}
if ( 10 == $hash_ip{$ip} ){
system("echo \"sshd: $ip\" >> /etc/hosts.deny");
system("echo \"$ip\" | mail -s \"Blocked ip\" $email");
}
}
open(LOG, $logfile);
for(;;) {
while (<LOG>) {
if( m/Failed/ ) {
system("echo \"$_\" | mail -s \"Failed Login\" $email");
$pos = index( $_, "::" ) + 7;
$ip = substr( $_, $pos, index( $_, "port" ) - 1 - $pos );
add_ip( );
}
}
sleep 15;
seek(LOG, 0, 1);
}
|
|
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Forum italiano (Italian) 
