Взлом FreeBSD

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-11 20:25:23

приветствую Вас, господа Админы.
стоит шлюз на FreeBSD+apache+squid+mysql+sams+php+pf
некоторое время назад заметил что ядро ругается на сканирование портов и дропает количество с ХХХ до 200
сегодня заглянул, а там отчеты о неудачных попытках подключиться к руту.
морочаться не стал, залез в rc.conf и поставил

Код: Выделить всё

sshd_enable="NO"
перезапустил, попробовал подключиться Путти к серваку - коннекта нет, ушел домой.

теперь вопрос, где можно прописать разрешение подключаться удаленно к ssh только с ИПа 192.168.0.2, а со всех остальных адресов закрыть конект?
так же, каким образом можно запретить ЛЮБОЙ доступ к Апачу извне? сейчас при проходе по моему белому ИПу открывается индекс моего маленького внутреннего сайта и при добавлении к ипу /sams/ открывается веб управление сервером. как запретить к этому всему доступ извне, но разрешить из локальной сети организации?

в роли фаервола стоит pf, у ssh открыт удаленный доступ руту, не редко работаю из дома....
pf перебрасывает запросы удаленного рабочего стола на виндовую машину, так что доступ в ЛС есть, а от туда уже мжно будет и к ssh подключиться.
зарание благодарен
Последний раз редактировалось f_andrey 2011-04-11 20:37:28, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-11 20:31:30

вот это IPTools сообщил об ИПах, с которых были неудачные попытки залогиниться

Код: Выделить всё

Address : 122.57.145.241
Name    : 122-57-145-241.jetstream.xtra.co.nz   (.NZ  | New Zealand (Aotearoa))
Ping .... Ok, Time : 379
Port  80 ... Ok !  
Port 110 ... Ok !  
Port  21 ... Ok !  
3 (of 9) open port(s) detected

Done


Address : 88.70.225.161
Name    : dslb-088-070-225-161.pools.arcor-ip.net   (.NET | Network)
Ping .... no reply
Done

первый из них вроде как провайдер

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Взлом FreeBSD

Непрочитанное сообщение snorlov » 2011-04-11 20:37:01

Волшебное слово - файер, ну а про остальное - на внешнем интерфейсе вешайте только то , что там должно висеть, в простейшем случае привязывайте сервисы локальной сети к внутреннему интерфейсу... А вообще то голова должна быть с извилинами...

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-11 20:55:39

snorlov писал(а):Волшебное слово - файер, ну а про остальное - на внешнем интерфейсе вешайте только то , что там должно висеть, в простейшем случае привязывайте сервисы локальной сети к внутреннему интерфейсу... А вообще то голова должна быть с извилинами...
фаервол стоит pf, а вот с извилинами проблемы.
как сказать апачу что он должен работать только в ЛС и то же самое для sshd?

alex_b
проходил мимо

Re: Взлом FreeBSD

Непрочитанное сообщение alex_b » 2011-04-11 21:04:54

asb-eab писал(а):
snorlov писал(а):Волшебное слово - файер, ну а про остальное - на внешнем интерфейсе вешайте только то , что там должно висеть, в простейшем случае привязывайте сервисы локальной сети к внутреннему интерфейсу... А вообще то голова должна быть с извилинами...
фаервол стоит pf, а вот с извилинами проблемы.
как сказать апачу что он должен работать только в ЛС и то же самое для sshd?
А как вы вообще его установить то смогли если такие вопросы задаете?
В конфиг заглянуть вообще никак ?

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: Взлом FreeBSD

Непрочитанное сообщение Bayerische » 2011-04-11 21:07:41

Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-11 21:08:19

alex_b писал(а): А как вы вообще его установить то смогли если такие вопросы задаете?
В конфиг заглянуть вообще никак ?
конфиг смотрел, настроил переброс банкклиена из ЛС к банку и проброс запросов удаленного рабочего стола из инета на комп в ЛС.
я нуб совсем, сделал по статье...

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-11 21:10:10

Bayerische писал(а):Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.
это вот здесь надо править
/etc/ssh/sshd_config
?

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: Взлом FreeBSD

Непрочитанное сообщение Bayerische » 2011-04-11 21:11:49

Да, как ни странно.

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-11 21:15:14

Bayerische писал(а):Да, как ни странно.
как вариант вполне действенно, допустим я перенес на порт 1001, сканер покажет что это порт ssh?

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: Взлом FreeBSD

Непрочитанное сообщение Bayerische » 2011-04-11 21:19:58

сканер покажет что это порт ssh?
Вопрос интересный, я не знаю :)
Я рассчитывал на это как на организационную меру. В подавляющем большинстве случаев никто не будет пытаться подключиться по нестандартному порту.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение Alex Keda » 2011-04-11 21:33:10

Bayerische писал(а):а так же поставьте sudo, запретите руту доступ и спите спокойно.
ну да. видел я последовавших такому совету - тока у них в судо прописан шелл =)
и что удивительно - спят ну абсолютно спокойно =)
Убей их всех! Бог потом рассортирует...

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-11 22:03:17

Alex Keda писал(а):
Bayerische писал(а):а так же поставьте sudo, запретите руту доступ и спите спокойно.
ну да. видел я последовавших такому совету - тока у них в судо прописан шелл =)
и что удивительно - спят ну абсолютно спокойно =)
в таком случае Ваше ИМХО в студию по вопросу данной темы?

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Взлом FreeBSD

Непрочитанное сообщение snorlov » 2011-04-11 22:26:22

Bayerische писал(а):Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.
Во фре по умолчанию, прямой доступ для root по ssh запрещен, разрешен только для пользователей из группы wheel, впрочем очумелые ручки могут разрешить авторизоваться сразу root'у, защитить ssh можно еще многими путями, в самом конфиге конкретно прописать пользователя и с каких ip он заходит, изменить порт 22 на нестандартный, файером разрещить доступ к порту ssh с определенных ip и запретить доступ к этому порту всем остальным, ну и различные приблуды, анализирующие консоль и блокирующие ip на некоторое время, если аутенфикация не проходит, например sshit...

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-11 22:35:30

snorlov писал(а):
Bayerische писал(а):Переназначьте sshd на другой порт от фонаря, больше тысячи, а так же поставьте sudo, запретите руту доступ и спите спокойно.
Во фре по умолчанию, прямой доступ для root по ssh запрещен, разрешен только для пользователей из группы wheel, впрочем очумелые ручки могут разрешить авторизоваться сразу root'у, защитить ssh можно еще многими путями, в самом конфиге конкретно прописать пользователя и с каких ip он заходит, изменить порт 22 на нестандартный, файером разрещить доступ к порту ssh с определенных ip и запретить доступ к этому порту всем остальным, ну и различные приблуды, анализирующие консоль и блокирующие ip на некоторое время, если аутенфикация не проходит, например sshit...
sshit разглядывал...
вот у меня какраз те самый ручки, которые разрешили подключаться рутом удалено (удобно сидеть и из дома допиливать конфиг, график работы позволяет мне не приходить на работу,а аделать всё из дома).
но вот думаю не надо баловаться, сижу читаю про pf, дапилю немного, а консоль удаленно вообще отключить и не пользоваться, а то начальство скажет "че ему платить, он вообще на работе не появляется" (1 начальник прекрасно понимает что и как я делаю, знает про удаленный доступ, вторая начльница полностью доверяется мне и первому начальнику, третья начальница самая главная - вообще не знает как влючается комп и ей не объяснишь что есть удаленный рабочий стол и путти, а еще бюзгалтерши палки в колеа пытаются пихать всякими тимвейверами и тунелированием его трафика, чего им не работается... а потом мне замгендира говорит плачется что у нас бухгалтерия через пень-колоду...)
пора дресировать особо непослушных, достали уже, все шишки на админа "дальше фишка не идет" :st:

Аватара пользователя
Aligarh
мл. сержант
Сообщения: 101
Зарегистрирован: 2009-10-17 23:33:35
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение Aligarh » 2011-04-12 0:40:21

Я от автоматических сканеров защитился так:

В "/etc/ssh/sshd_config" поставил

Код: Выделить всё

PermitRootLogin no
Port 222
За всё время работы сервера ни одной левой попытки логина. Разрешен логин по SSH только под моим пользователем с ограниченными правами, для перехода к руту использую "su". Пароли, естественно, разные.
допустим я перенес на порт 1001, сканер покажет что это порт ssh?
nmap покажет. Даже версию ssh и, может, ОС покажет. :)

А для параноиков давно есть статья: http://www.lissyara.su/articles/freebsd ... _knocking/
1. Работает - не трогай.
2. Плохо работает - убедись в возможности отмены изменений.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение schizoid » 2011-04-12 9:16:23

название темы то какое страшное
ядерный взрыв...смертельно красиво...жаль, что не вечно...

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-12 13:07:58

Aligarh
интересная статейка, как-то не видел ее раньше, сижу читаю...

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-12 13:15:04

не вижу сцылочку на обсуждение этой статьи на форуме
http://www.lissyara.su/articles/freebsd ... _knocking/
из GUI(любого, не важно Win или *nux) Putty сможет сотворить такой коннект по трем разным портам и протоколам? или как вариант надо будет из консоли конектиться, откроется порт с правилами для моего ИПа и потом подключать Путти?
так же вопрос по статье: там было оговорено о времени, т.е. прям во время работы убираются правила и отрезается сессия? или удаление правил из ПФа происходит после отключения сессии? правила из ПФа удаляются сами автоматически после окончания сессии?

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-12 14:24:09

schizoid писал(а):название темы то какое страшное
надо же было привлечь внимание к моей проблеме :-D

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Взлом FreeBSD

Непрочитанное сообщение snorlov » 2011-04-12 14:49:11

Я на вашем месте не смеялся бы, хорошо, что вы (ваш сервер) не представляет интереса, а то бы получили по полной ...

suspender
сержант
Сообщения: 160
Зарегистрирован: 2007-11-19 10:47:09

Re: Взлом FreeBSD

Непрочитанное сообщение suspender » 2011-04-12 15:17:35

Я когда то пробовал ставить разные нестандартные порты - попыток подсосацца стало меньше на порядок, но всё равно они были.

В итоге, с поднятием OpenVPN, прописал в sshd_config слушать только локальный адрес. Тоже как вариант.

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение dekloper » 2011-04-12 16:44:12

schizoid писал(а):название темы то какое страшное
ага
я думал аццкий хацкер радостью хотел поделиться об успешно проделанной работе :-D
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-14 1:12:22

snorlov писал(а):Я на вашем месте не смеялся бы, хорошо, что вы (ваш сервер) не представляет интереса, а то бы получили по полной ...
т.е. таким названием темы я привлекаю хакеров?
каким образом можно узнать ИП моего сервака по моим сообщениям?
я хакерством никогда не увлекался, ток теорию немного знаю...

asb-eab
ефрейтор
Сообщения: 54
Зарегистрирован: 2011-01-18 17:43:42
Контактная информация:

Re: Взлом FreeBSD

Непрочитанное сообщение asb-eab » 2011-04-14 1:14:34

dekloper писал(а):
schizoid писал(а):название темы то какое страшное
ага
я думал аццкий хацкер радостью хотел поделиться об успешно проделанной работе :-D
не, я законопослушный, организация закупила неоходимый софт, пидраться особо некчему, я женат и люблю жену - сообтветственно в тюрьму не хочется.