[Debian] Security vragen - Linux en overige clients

woensdag 5 april 2006 15:45

Acties:

Topicstarter

Regelmatig heb ik net als velen brute force attacks op mijn Debian bak, laatst weer deze bv.:

Apr 2 22:35:25 eledhwen sshd[18604]: Illegal user aw from ::ffff:60.12.x.x
Apr 2 22:35:28 eledhwen sshd[18606]: Illegal user aw from ::ffff:60.12.x.x
Apr 2 22:35:31 eledhwen sshd[18608]: Illegal user aw from ::ffff:60.12.x.x

In dit geval vanuit Zhejiang,China

Ik update 2 x per week alle packages met apt-get update/upgrade en draai chkrootkit en rkhunter regelmatig. ICMP staat uit, en iptables draait, evenals een spi op mijn router. Rechtstreeks via SSH inloggen als root kan niet (alleen /bin/su).

Probleem : gister is de inhoud van bash_history van root gewist, en ik snap niet hoe het kan. Logfile controle kom ik niet zo veel tegen (afgezien van de brute force attacks) en chkrootkit en rkhunter treffen niets aan. Hoe zou dit kunnen en hoe betrouwbaar is mijn bak nog?

Anders gezegd: kan ik afgaan op de uitkomst van chkrootkit en rkhunter ?

[ Voor 9% gewijzigd door pennywiser op 05-04-2006 15:57 ]

woensdag 5 april 2006 17:01

Acties:

DeMoN

Pastafari

WTF, laatst ook nog zo'n topic, geen antwoord btw...

maf dit

Vraagje over mijn linux logs

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

woensdag 5 april 2006 21:07

Acties:

Verwijderd

Boot je server met een live-cd zoals knoppix of zo. Draai dan een los gedownloade rkhunter, chkrootkit of zo. Maar wellicht moet je meer checks doen.... suid-checks e.d.

Lees http://www.cert.org/tech_..._detection_checklist.html

Als het verder nog over die ssh-attacks gaat.... bij een goed geconfigde sshd (iig geen root-logins) is er niks aan de hand. Je kunt nog wat onrust zaaien.... andere poorten en zo. Wordt je die volle logs moe... dan kan ik je fail2ban aanraden.

[ Voor 53% gewijzigd door Verwijderd op 05-04-2006 21:46 ]

woensdag 19 april 2006 15:28

Acties:

pennywiser

Topicstarter

Ok heb 2 week terug poort 22 dicht gezet en direct een reboot gegeven.

Nog 1 ding: Is het nodig een reinstall te doen?

[ Voor 4% gewijzigd door pennywiser op 19-04-2006 15:28 ]

woensdag 19 april 2006 15:40

Acties:

Pantagruel

Mijn 80486 was snel,....was!

Verwijderd schreef op woensdag 05 april 2006 @ 21:07:
Boot je server met een live-cd zoals knoppix of zo. Draai dan een los gedownloade rkhunter, chkrootkit of zo. Maar wellicht moet je meer checks doen.... suid-checks e.d.

Lees http://www.cert.org/tech_..._detection_checklist.html

Als het verder nog over die ssh-attacks gaat.... bij een goed geconfigde sshd (iig geen root-logins) is er niks aan de hand. Je kunt nog wat onrust zaaien.... andere poorten en zo. Wordt je die volle logs moe... dan kan ik je fail2ban aanraden.

Dit zijn tips waar je wat aan hebt.

Heb zelf ssh draaien op basis van SuSe linux en ssh toegang geregelt via key exchange. Komt er op neer dat enkel met de juiste RSA key je toegang krijgt tot de server. Heb je geen valid key dan is het jammer maar helaas. Daarnaast houdt fail2ban netjes de boel in de gaten en na 5x failed login volgt een ban van 1 uur.

Wekelijks check ik de ban log en als een IP meer dan 5x een ban heeft gehad voeg ik deze toe aan de hosts.deny file voor een permanente (en systeem brede) ban.

Het veranderen van port nummer een slechts een lap middel, de wat 'betere' script attacks voeren steeds vaker een scan uit voor activiteiten op het gehele systeem en doen dan pas een brute force ipv op de geijkte port nummers.

pennywiser schreef op woensdag 19 april 2006 @ 15:28:
Ok heb 2 week terug poort 22 dicht gezet en direct een reboot gegeven.

Nog 1 ding: Is het nodig een reinstall te doen?

Als je echt bang bent dat je server gehacked is dan is het wel verstandig, anders zet je een 'zombie' weer online.

[ Voor 12% gewijzigd door Pantagruel op 19-04-2006 15:59 ]

Asrock Z77 Extreme6, Intel i7-3770K, Corsair H100i, 32 GB DDR-3, 256 GB Samsung SSD + 2 x 3TB SATA, GeForce GTX 660 Ti, Onboard NIC and sound, SyncMaster 24"&22" Wide, Samsung DVD fikkertje, Corsair 500R

woensdag 19 april 2006 15:42

Acties:

TrailBlazer

Karnemelk FTW

eventueel kan je met snort ook dynamisch je regels aanpassen

woensdag 19 april 2006 15:45

Acties:

Wilke

pennywiser schreef op woensdag 05 april 2006 @ 15:45:
Probleem : gister is de inhoud van bash_history van root gewist, en ik snap niet hoe het kan. Logfile controle kom ik niet zo veel tegen (afgezien van de brute force attacks) en chkrootkit en rkhunter treffen niets aan. Hoe zou dit kunnen en hoe betrouwbaar is mijn bak nog?

Is het echt alleen de bash_history, en heb je uitgesloten dat er iets anders kan zijn geweest dat de bash_history heeft gewist? Je zegt dat je regelmatig update, heeft een van die updates dit niet veroorzaakt? (lijkt me vreemd, daar niet van..maar kun je het 100% uitsluiten?)

Als je het echt zeker wilt weten: boot van CD (Knoppix), en vergelijk MD5sums van progs op jouw systeem (bv. de kernel, libc en tools als 'ps' en 'top') met de 'juiste' versies. Nu kan dat laatste misschien wat lastig te achterhalen zijn, maar als het een standaard Debian-systeem is zou het moeten kunnen, right?

TrailBlazer: ja, dat geeft echter ook interessante mogelijkheden om DoS attacks op jezelf uit te laten voeren als je daar niet erg voorzichtig mee bent.

[ Voor 8% gewijzigd door Wilke op 19-04-2006 15:46 ]

woensdag 19 april 2006 15:49

Acties:

webfreakz.nl

el-nul-zet-é-er

Kijk eens naar knockd?

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

donderdag 20 april 2006 00:27

Acties:

_JGC_

/etc/ssh/sshd.conf: AllowUsers <jouwuser>

Geen hond die er meer in komt, al die brute force passwords helpen niet meer. Je zult nml niet de eerste zijn die ff een testaccountje met testwachtwoordje aanmaakt...