Gjest Slettet+432 Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 Heisann! Har et lite mål, bare å få sikret serveren godt nok. Har funnet ut at port 31337 er mye brukt av trojanere. Derfor vil jeg blokkere porten, og helst ha en advarsel på mail hvis det blir detektert noe aktivitet i den porten. Går dette? Hvis ikke så vil jeg bare ha iptables kommandoen til å blokkere porten. Aleks Lenke til kommentar
Palme Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 iptables -A INPUT -i eth0 -p tcp -m tcp --dport 31337 -j DROP (eventuelt REJECT) iptables -A INPUT -i eth0 -p tcp -m udp --dport 31337 -j DROP (eventuelt REJECT) Kan være greit å default droppe alt inn/ut så heller åpne for de portene du bruker. Når det gjelder varsel på mail kunne det jo vert genialt visst du finner ut av det. Lenke til kommentar
Gjest Slettet+432 Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 Det gikk ikke så bra, sjekk her da: root@sysfile:/chkrootkit# iptables -A INPUT -i eth0 -p tcp -m tcp --dport 31337 -j DROProot@sysfile:/chkrootkit# iptables -A INPUT -i eth0 -p tcp -m udp --dport 31337 -j DROP iptables: Unknown error 4294967295 Hva nå? Lenke til kommentar
olear Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 En veldig fin generator: http://www.slackware.com/~alien/efg/ Lenke til kommentar
Palme Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 Det gikk ikke så bra, sjekk her da:root@sysfile:/chkrootkit# iptables -A INPUT -i eth0 -p tcp -m tcp --dport 31337 -j DROProot@sysfile:/chkrootkit# iptables -A INPUT -i eth0 -p tcp -m udp --dport 31337 -j DROP iptables: Unknown error 4294967295 Hva nå? 5820784[/snapback] Hmm.. Jeg regnet med det var eth0 du brukte. Er det kanskje ikke det? Såfall bytt ut eth0 med kortet ditt. eth1? Lenke til kommentar
Gjest Slettet+432 Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 Det er eth0 jo. Lenke til kommentar
Palme Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 (endret) Javel ja! hmm.. Hva sier iptables -V og iptables -nL Endret 27. mars 2006 av Lassie Lenke til kommentar
Gjest Slettet+432 Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 root@sysfile:/temp/portsentry_beta# pico README.install root@sysfile:/temp/portsentry_beta# iptables -V iptables v1.3.5 root@sysfile:/temp/portsentry_beta# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination root@sysfile:/temp/portsentry_beta# Men har et annet lite problem også, prøver å kompilere portsentry. Men da kommer dette opp: root@sysfile:/temp/portsentry_beta# make linuxSYSTYPE=linux Making cc -O -Wall -DLINUX -DSUPPORT_STEALTH -o ./portsentry ./portsentry.c \ ./portsentry_io.c ./portsentry_util.c ./portsentry.c: In function `Usage': ./portsentry.c:1584: error: missing terminating " character ./portsentry.c:1585: error: `sourceforget' undeclared (first use in this function) ./portsentry.c:1585: error: (Each undeclared identifier is reported only once ./portsentry.c:1585: error: for each function it appears in.) ./portsentry.c:1585: error: syntax error before "dot" ./portsentry.c:1585: error: stray '\' in program ./portsentry.c:1585: error: missing terminating " character make: *** [linux] Error 1 Noen som vet noe? Lenke til kommentar
Gjest Slettet+432 Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 root@sysfile:/temp/portsentry_beta# pico README.install root@sysfile:/temp/portsentry_beta# iptables -V iptables v1.3.5 root@sysfile:/temp/portsentry_beta# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination root@sysfile:/temp/portsentry_beta# Men har et annet lite problem også, prøver å kompilere portsentry. Men da kommer dette opp: root@sysfile:/temp/portsentry_beta# make linuxSYSTYPE=linux Making cc -O -Wall -DLINUX -DSUPPORT_STEALTH -o ./portsentry ./portsentry.c \ ./portsentry_io.c ./portsentry_util.c ./portsentry.c: In function `Usage': ./portsentry.c:1584: error: missing terminating " character ./portsentry.c:1585: error: `sourceforget' undeclared (first use in this function) ./portsentry.c:1585: error: (Each undeclared identifier is reported only once ./portsentry.c:1585: error: for each function it appears in.) ./portsentry.c:1585: error: syntax error before "dot" ./portsentry.c:1585: error: stray '\' in program ./portsentry.c:1585: error: missing terminating " character make: *** [linux] Error 1 Noen som vet noe? 5821014[/snapback] Fant ut den siste der. Var noe feil koding eller noe. Lenke til kommentar
Palme Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 Tror den feilmeldingen din ligger i versjonen 1.3.5 Er faktisk ikke helt sikker på hva den betyr, men det ser jo ut som om den fungerer da. Lenke til kommentar
Gjest Slettet+432 Skrevet 28. mars 2006 Del Skrevet 28. mars 2006 (endret) Eh, en ting til innen sikkerhet greiene mine... Leste /home/thomas/.bash_history til en bruker som er nokså inkompetent, og skal ikke kunnet gjøre noe slik som dette: NULLCMD=:;PS1=]-]-](echo _x_ | cat) LANG=en_US;export LANG (type type | cat) (type sh | cat) (cd .;pwd | cat) (uname | cat) df -k / | cat df -k -t ext2 df -k -t ext3 df -k -t reiserfs df -k -t msdos (test -d /home/thomas/.rbtp; echo $? | cat) (mkdir /home/thomas/.rbtp; echo $? | cat) (test -d /home/thomas/.rbtp/tmp; echo $? | cat) (mkdir /home/thomas/.rbtp/tmp; echo $? | cat) PATH=/usr/local/bin:/usr/bin:/usr/5bin:/usr/ucb:/sbin:/usr/sbin:/bin;export PATH (test -f /bin/ls; echo $? | cat) date -u "+%Y:%m:%d:%H:%M:%S" date "+%Y:%m:%d:%H:%M:%S" (test -f /usr/bin/scp; echo $? | cat) (test -f /usr/bin/gzip; echo $? | cat) (test -f /usr/bin/gunzip; echo $? | cat) (test -f zip; echo $? | cat) (type zip | cat) (type gnutar | cat) (type tar | cat) cat /etc/group | sed -e "s/:/ /" | awk '{ print $1 }'; echo $? | cat (id | cat) /bin/ls -laiT -d | cat /bin/ls -laiTg -d | cat /bin/ls -lai --time-style="+%e %b %H:%M:%S %Y" -d | cat (/bin/ls -lai --time-style="+%e %b %H:%M:%S %Y" . 2>/dev/null | cat ; echo $?; echo f-o_++_o-f) cd /home/thomas 2>/dev/null; echo $? | cat (/bin/ls -lai --time-style="+%e %b %H:%M:%S %Y" . 2>/dev/null | cat ; echo $?; echo f-o_++_o-f) Hva skjer egentlig her? Fyren kan ikke slikt. Kan jeg ha hatt innbrudd? Og så lurer jeg på en siste ting; hvordan kan man endre "root@sysfile:~#" til noe annet? Edit: Fikk til den siste der, måtte endre noe i /etc/profile. Endret 28. mars 2006 av Slettet+432 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå