Michael Knudsen wrote:
> On Thu, 21 Oct 2004, Anders Nørgaard wrote:
>
>> Ville lige dele en ubehagelig opblevelse med jer, i går modtog jeg et
>> brev fra TDC, om at min linie blev brugt til hacker aktiviteter, og at
>> jeg burde stoppe det hurtigst muligt.
>
>
> TDC boer have oplyst, hvad konkret din maskine er blevet misbrugt til.
> Snakker vi portscanning? Angreb af andre maskiner? Afsending af spam?
> DDoS?
Udfra det jeg så i malen, var der tale om brutforce SSH angreb med
forskellige brugere..
>
>> Min Linux box er tilsyneladende blevet hacket, så jeg hev selvfølgelig
>> stikket med det samme.
>
>
> God idé. Nu skal du finde ud af, hvad de har misbrugt og hvordan.
> Derefter skal du reinstallere maskinen eller rette de
> konfigurationsfejl, der har medfoert fejlen. Hvis de har haft root
> adgang, er der ingen vej udenom ominstallation.
>
>> Følte mig ellers rimlig sikker, da boxen(Debian stable) stod bag min
>> linksys.
>
>
> Hvad mener du? At du sidder bag NAT? I saa fald, har du husket at aendre
> adgangskoden paa din router, saa de ikke blot har kunnet oprette nye
> NAT-entries, saa de har kunnet faa adgang til andre services paa dit
> netvaerk? Kan de have bruteforcet adgangskoden?
Ja jeg sidder på NAT bag routeren, og har selvfølgelig ændret koden på
min router.. Så vidt jeg ved kan den ikke tilgåes udefra, og var ikke
ændret noget i dens konfiguration..
>
>> Der var kun åben for 25 smpt, 119 SSL, og 22 SSH, maskinen havde jeg
>> opdateret med seneste opdateringer osv, havde endda forbudt direkte
>> root login.
>
>
> Hvad mener du med `119 SSL'? SSL-krypteret NNTP?
>
Ja NNTP
> Godt nok har jeg ikke meget fidus til Debian, men hvis maskinen
> vitterligt har vaeret opdateret, skulle der ikke vaere meget at komme
> efter, hvis jeg ellers skal tro mine Debian-venner.
>
>> Da jeg har stået i flytte rod osv, tænkte jeg at jeg kunne opsætte FW
>> på selve boksen senere.. Tænkte at mit linksys(med opdateret FW) ville
>> være nok som first line of defens, men nej..!
>
>
> Firewallen hjaelper ikke en doejt, hvis tillader trafik til saarbare
> services.
>
>> Jeg havde godt nok modtaget nogle mails fra boksen, om ssh angreb..
>> Men lignede blot brutforce angreb, med forskellige brugere..
>
>
> Dem skal man vist kun tage serioest, hvis man tillader logon med
> adgangskode og i oevrigt er en idiot.
>
>> Den næste konfiguration bliver bestemt bedre
Det bliver bestemt
>> ikke tilladt at ssh'e mod maskinen fra andre end bestemte ip'er..
>
>
> Hvad har du taenkt dig at lave om? Hvis du ikke aner, hvordan de er
> kommet ind, saa ved jeg ikke helt, hvordan du har taenkt dig at goere
> tingene bedre.
Jeg har desværre fundet ud af hvordan de er kommet ind, og med desværre
mener jeg at jeg virkelig kunne små slå med selv et vis sted.. Ud fra
auth loggen fremgik det, at de et logget ind med en oracle bruger.."#%¤#
dvs. at jeg at jeg efter installationen at min oracle DB server, havde
glemt at disable brugerens system login..
Umidbart ser det ikke ud til at de har haft root acces, men er ikke
færdige med at kigge log filer endnu. Vil for en sikkerheds skyld
geninstallere maskinen..
> Hvad har du taenkt dig at lave om?
Vil selvfølgelig smide en ordenlig FW op på boxen, og flytte SSH til en
anden port, kun tillade trafik mod port 22 fra nogle udvalgte ip'er..
Eller lukke den helt, så slipper jeg for scanner services, og sikkert en
del script kiddies.
Installere tripwires, og sende loggen over til anden server, og endelig
få installeret alt mail crap, så jeg modtager log mails fra serveren..
Hvad har så lært af det, smid aldrig boxen på nettet før den er 100%
færdig konfigureret.. Det viste jeg jo ikke i forvejen -P
Jeg føler personligt at debian-stable er ret sikker, før jeg flyttede
havde jeg en debian kørende(P 133MHz) i tre år, uden der skete noget.
Havde ikke engang skærm eller tastatur på den..
>
>> Har andre prøvet noget ligende?
>
>
> Nej, ikke hvad jeg ved af (7 9 13).