Sikkerhetshull, Hva kan jeg gjøre

[LoS]

Greit, det er nå den fjerde gangen noen har hacket seg inn på min redhat linux server!

Nå er jeg mektig lei av å stoppe alskens psyBNC'er og eggdropper og gud veit hva!

 

Hvordan kommer dem seg inn?

Den "mailen" du får en gang om dagen sier meg ikke stort lissom.

 

Uansett, hva burde jeg gjøre?

Jeg trenger tips, skal hoste diverse ting på den og da trenger jeg såkalt "sikkerhet"!

Har patcha kjernen til 2.4.22-grsec med middels sikkerhet, er ikke helt sikker på hva som blir sperret når jeg setter på høy, noen som veit?

 

Håper noen kan hjelpe meg med sikkerheten, for dette tar av snart!

 

Hvis noen skulle lure på noe spesielt så fyr løs! Ellers så håper jeg på inspill som kan øke sikkerheten på serveren min. på forhånd takk.

 

Håper feilene blir fjerna før dem tar en aldri så liten root exploit elns.

[stoffix]

kan du ikke bare sette sikkerheeten på det meste og sjekke selv hvor mye som blir stoppet?

[neXon]

slett linux og legg in windows...hehe, neida

men jeg ville ha kjørt "up2date" om jeg var deg (det lasterned sikkerhetsoppdateringer om du ikke viste det )

 

Etter dette ville jeg og stengt av alle porter som ikke blir brukt på maskinen, om du ikke vet hvordan du skal gjøre det, så kan lese deg frem til det, eller leige en person for litt penger

 

Du kan gjerne poste inn hva som står i mailen din du snakket om

[alive]

Hvordan kommer dem seg inn?

Uansett, hva burde jeg gjøre?

Min erfaring er at 99% av alle innbrudd er pga deamons/services som ikke er sikret nok. Få en oversikt over hvilke servicer du kjører (en enkel ps ax gir deg en pekepinn). Fjern ALLE du ikke trenger og alt som ikke er kryptert. telnet feks, er fyfy, samme med rlogin osv. hvis du ikke må kjøre apache/sendmail/exim/mysql/etc ikke gjør det, og dess fler prosesser du kan kjøre uten root dess bedre.

Du kan ta en titt i /etc/inetd.conf fila di. Alt som ikke er kommentert ut der er porter/servicer maskinen din lytter på og tar imot beskjeder...

En "netstat -a" viser alle porter du har åpne. De du skal bry deg om er de portene som er åpne for alle. Igjen, steng så mange som mulig...

Det eneste jeg kjører av servicer på desktopen min er sshd, alt annet kjøres bare når jeg trenger det.

Hvis du allerede har blitt angrepet så er det veldig vanskelig å si hva man kan gjøre. Det kommer alt an på hva de har gjort. De kan bare ha funnet passordet til en av brukerene på masinen og satt opp eggdrop/andre servicer eller de kan ha fått tak på root passordet og skrevet over diverse filer slik at de alltid kan komme seg inn på et vis. Hvis du ikke vet hvor hardt angrepet du er så vil jeg anbefale å ta backup av alt nødvendig og ta en clean reinstall. - og bytt alle tidligere passord..

- du vet det sikkert selv, men eggdrop ol. er å be om å bli angrepet.

[drall]

Jeg vet ikke om dette hjelper men her er en link til gentoos prosjekt for sikkerhet. Kanskje noen av metodene som blir brukt der kan brukes på redhat?

 

Edit: Legger også ved link til gentoos dokumentasjon for sikkerhet.

[kattemat]

Kan du noe om iptables? Hvordan har du satt den opp? Hvilke servere kjører du?

 

Finnes det noen spor i loggene? Om de ikke har fått root access så bør det gå ann å spore dem der.

[GNUfan]

Ikke velg 'middels sikkerhet' i Grsec-konfigurasjonen. Gå gjennom alle options sjøl, og se hva du sperrer.

Kjør også minst mulig daemoner som root, og les loggfiler.

 

Har du lest sikkerhets-FAQ-en?

[LoS]

Skal vi se om jeg får med meg alt nå.

 

Jeg har kjørt up2date, det har ikke blitt meldt ifra noe på e-mail så jeg tror ikke det har kommet noen spesielle oppdateringer.

 

Er relativt ny når det gjelder linux, har drevet aktivt med serveren i 2 måneder, ca 4-5 timer per dag.

 

Den e-mailen jeg snakker om er det som kommer opp når du logger inn på ssh.

F.eks:

You have new mail in /en/mappe/jeg/ikke/husker/navnet/på

 

Jeg har flere ip adresser liggende der, kan jeg få bruk for disse på noen måte?

 

Jeg har en del prosesser oppe å kjører, driver og konverterer flere av dem fra root til meg selv.

 

Hvordan de kommer seg inn veit jeg ikke, i mailen står det at en ny bruker har blitt opprettet, det er kun jeg som har root passordet, det er dog skrevet uten tall, men med en del StoRe Og sMå bokstaver, passordet har heller ikke noen sammenheng med noe spesielt som jeg kunne klart å ha funnet på ut av ingenting.

 

ip tables har jeg ikke kommet til enda, har disse noen praktiske hacke betydninger?

 

i ps aux står det

navn - bruker

----------------

mysqld - root

apache - apache

hlds - root

hlstats - root

oidentd - nobody

psybnc - los

psybnc - woody

psybnc - spyder

webmin - root

usermin - root

dhcklient - root

 

noen av disse som har noen spesielle sikkerhetshull?

 

Takker for all hjelp hittil, skal se igjennom noen linker.

Eneste er at jeg ikke er helt sikker på hvilken betydning noen av de forskjellige valgene til grsec gjør ang sikkerhet, derfor står den på middels nå.

[Egil.B]

Har du begrensning for hvilke iper webmin godtar tilkoblinger fra ?

[LoS]

Det er jeg ikke helt sikker på, det var ikke jeg som instalerte og konfigurerte webmin, det er en kar som jeg kjenner. Men jeg la til det nå ihvertfall, det forsvant når jeg skrev det inn så det sto ikke noe fra før, men det står ikke noe der etterpå heller, sikkert av sikkerthets grunner.

 

Det er ihvertfall lagt til nå

[kattemat]

Ett godt tips er å kun starte webmin når du har bruk for det. Ikke la det kjøre hele tiden.

[LoS]

Ett godt tips er å kun starte webmin når du har bruk for det. Ikke la det kjøre hele tiden.

Den var ikke så dum

da var det gjort, noe mer jeg burde se på?

 

Edit: iptables er ikke på btw, har dette noe å si?

[Egil.B]

IPtables er jo Linux' firewall, så det har endel å si om den er på eller ei ja. Det er en fordel å droppe alle innkommende pakker på porter som ikke er i bruk.

[kattemat]

Ett godt tips er å kun starte webmin når du har bruk for det. Ikke la det kjøre hele tiden.

Den var ikke så dum

da var det gjort, noe mer jeg burde se på?

 

Edit: iptables er ikke på btw, har dette noe å si?

Om du kjører redhat så kan du kjøre 'redhat-config-services' for å editere oppstartsscriptene. Dvs. bestemme hvilke tjenester som skal starte. Sjekk ut hva alle tjenestene du starter er - trenger du dem ikke så slå dem av!

 

Ellers så kjører sikkert iptables(i kjernen) gjøre en 'iptables -L' så kan du se. RedHat har noen predefinerte "security levels" som setter iptables regler. De kan du endre ved å bruke redhat-config-securitylevel (tror jeg den heter).

[kyrsjo]

Du må vel ha root access for å få laget nye users? Hvis de har gjort det, har de vel root da...

[LoS]

Nå har jeg oppgradert et par ting takket være AMDfan på IRC, fant et par bugs der.

 

Har skrudd av unyttige ting via webmin

 

kyrsjo: ja de må vel det, men hvordan skal jeg finne ut hvordan de fikk det?

bytta forresten root pass

[kyrsjo]

Logger er vel neppe til å stole på etter et innbrudd hvor de greide å skaffe seg root. Mitt forslag er å sette maksina på HUB, gjøre en pakkedump vha. annen maskin på samme hub, og derifra spore deres ip. Så er det bare en liten runde med dig/whois og [email protected]

 

bare...

[LoS]

Logger er vel neppe til å stole på etter et innbrudd hvor de greide å skaffe seg root. Mitt forslag er å sette maksina på HUB, gjøre en pakkedump vha. annen maskin på samme hub, og derifra spore deres ip. Så er det bare en liten runde med dig/whois og [email protected]

 

bare...

 

Beklager, men jeg skjønner ikke helt hva du snakker om.

Du skulle ikke ha en link, eller lyst til å fortelle i praksis hva dette betyr?

[Yamato47]

Svaret er:

OpenBSD

[LoS]

Svaret er:

OpenBSD

Og hvorfor det?