Strona 1 z 2
Jak wykryć ataki na serwer?
: 30 listopada 2010, 18:45
autor: shyte
Jak sprawdzić czy mój serwer jest atakowany, atakami dos i ddos?
Bo ostatnio często są problemy z połączeniem, nigdy nie było problemów z dostępnością.
Czy coś co można zainstalować co będzie monitorowało pokazywało tego typu ataki?
Mam zainstalowane mod_evasive, co jeszcze mogę zainstalować?
: 01 grudnia 2010, 08:46
autor: mendeczka
Buszując po sieci znalazłem coś takiego
http://nfsec.pl/security/1324?utm_sourc ... ecurity%29
może Cię troszkę zainteresuje. Ewentualnie odpal TCPDUMPa i loguj
: 01 grudnia 2010, 20:12
autor: Bastian
Sprawdzasz tcpdumpem oraz np. iptrafem ruch na eth i patrzysz jakiego rodzaju to ataki (skąd, na jaki port, jaka ilość). Sprawdź potem netstatem, ntop bądz lsof czy ruchu nie generuje jakiś złośliwy kod na twoim serwerze. Jeśli nie to pomyśl nad firewallem. Jeśli tak, to tez pomyśl nad firewallem ale już niestety objawowym. Jeśli to trojan to rkhunter bądź chrootkit i próbuj usunąć
ale najlepiej wcześniej kopia zapasowa danych.
Zabezpieczenie serwera przed trojanami szkodliwym oprogramowaniem
: 04 grudnia 2010, 13:03
autor: shyte
Dostały się do mnie na serwer jakieś szkodniki.
Kod: Zaznacz cały
h1765292:~# chkrootkit -q
Checking `ls'... INFECTED
Checking `netstat'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
The following suspicious files and directories were found:
/usr/lib/jvm/.java-6-sun.jinfo /usr/lib/jvm/java-6-sun-1.6.0.22/lib/visualvm/profiler3/.lastModified /usr/lib/jvm/java-6-sun-1.6.0.22/lib/visualvm/visualvm/.lastModified /usr/lib/jvm/java-6-sun-1.6.0.22/lib/visualvm/platform11/.lastModified /usr/lib/jvm/java-6-sun-1.6.0.22/.systemPrefs /usr/lib/jvm/.java-gcj.jinfo /usr/lib/xulrunner-1.9/.autoreg /lib/init/rw/.mdadm /lib/init/rw/.ramfs
/lib/init/rw/.mdadm
You have 26 process hidden for readdir command
You have 26 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
h1765292:~#
oraz wynik:
Kod: Zaznacz cały
rkhunter -c
System checks summary
=====================
File properties checks...
Required commands check failed
Files checked: 139
Suspect files: 3
Rootkit checks...
Rootkits checked : 243
Possible rootkits: 0
Applications checks...
Applications checked: 6
Suspect applications: 2
The system checks took: 3 minutes and 10 seconds
All results have been written to the log file (/var/log/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Ostatnio dostałem, e-maila od firmy ze z mojego serwera dedykowanego są wychodzące ataki typu ddos, czy może to przez te zainfekowane pliki nie mogę się ich pozbyć.
: 07 grudnia 2010, 08:49
autor: cyryllo
: 08 grudnia 2010, 07:55
autor: Bastian
Z własnego doświadczenia wiem, że najlepiej utworzyć na nowo partycję systemową z czystymi binarkami. Ewentualnie możesz podmieniać katalogi z binarkami z jakiejś czystej instalacji. Jednak 100% pewności da ci przeinstalowanie całości i zabezpieczanie serwera od podstaw.
: 11 grudnia 2010, 18:47
autor: shyte
A czy po blokowanie nie używanych nie potrzebnych portów, wzmocni bezpieczeństwo przed, trojanami szkodliwym oprogramowaniem?
Jak sprawdzić które porty są nie używane/niepotrzebne?
Zamyka się porty za pomocą dodawania regułek do Iptables?
: 12 grudnia 2010, 10:56
autor: Bastian
Wzmocni, ale obecnie to polityka objawowa. Masz zainfekowany system i musisz o tym pamiętać.
Używane to te, których używają usługi, które hostujesz na serwerze. Porty, których nie używają zainstalowane usługi łączące się z inetem, przynajmniej w teorii nie powinny być w ogole używane, a więc można je blokować.
Generalnie, to instalujesz tylko i wyłącznie usługi, których potrzebujesz. Wszystko inne nie powinno być zainstalowane, co zmiejsza ryzyko wykorzystania tych usług do włamań. Jeżeli nic nie słucha na danym porcie to nie można się przez niego dostać. Oczywiscie, z wyłączeniem zlosliwego kodu, które może otwierać/zacząć nasłuchiwać na danym porcie, żeby zrobić drogę dostępu dla potencjalnego włamywacza. (Trojan) Dlatego powinno się blokować wszystko co niepotrzebne na firewallu
Dostęp do proftpd z konkretnych adresów ip
: 12 grudnia 2010, 16:51
autor: shyte
Chcianym ustawić sobie żeby dostęp do proftpd był tylko i wyłącznie z konkretnych ip. Czyli np żebym mógł się logować na ftp tylko ja z mojego adresu ip
Ustawiłem takie coś
Kod: Zaznacz cały
iptables -A INPUT -i eth0 -p tcp -j ACCEPT -m state --state NEW -d ipmojegoserwera --destination-port 21
Odblokowuje port podczas logowania.
Czy mógł by mi ktoś ułożyć regułke? bo już próbowałem i nie wychodzi.
Otwarte porty po restarcie serwera
: 12 grudnia 2010, 17:19
autor: shyte
Po blokowałem sobie nie które porty.
Czyli dałem regułkę:
Kod: Zaznacz cały
iptables -A INPUT -p TCP --dport 445 -j DROP
Ale po restarcie serwera, porty które po blokowałem są ponownie otwarte.
Co tu jest nie tak?
Oraz miałem zablokowane pingowanie serwera, po restarcie ponownie można pingować.