Trädvy Permalänk
Medlem
Plats
i eeeeen tunna
Registrerad
Okt 2002

IntrÅng!

Aug 2 20:36:28 barbastark sshd[86018]: Accepted keyboard-interactive/pam for robert from 62.1.xxx.xx port 12244 ssh2

Någon knäppgök har farit å fifflat med min server.. Den började bete sig konstigt så jag kollade vilka användare som va inne, och då visade det sig att någon tagit sig in på ett konto jag lade upp temporärt med ett dåligt lösenoprd för ett tag sen..

Vilka åtgärder bör vidtas? Finns det ngåra loggar där jag kan se precis vad killen gjort? Jag är ingen hit på alternativa operativsystem..

Kör FreeBSD btw.

"en trevlig sak man skulle kunna göra med hans fru, det är om man malde ner henne till köttfärs, med salt och peppar och sånt där. Så gjorde man en 352 hamburgare av henne som man då gav till honom. För att då skulle ju inte han kunna äta upp dom.. ja för han är ju vegetarian. Det vore trevligt."

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Aug 2003

Börja med att gå igenom dina konton och ta bort de som inte används och sätt bra lösenord på resten.

Det går att begränsa vilka användare som får logga in via ssh, men jag har det inte i huvet just nu.

I don't want to be human! I want to see gamma rays! I want to hear X-rays! And I want to - I want to smell dark matter!

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Jun 2003

se till o kolla så det inte ligger några bakdörrar på en annan port också, om han nu ändrat i firewallen så är det ett dåligt tecken. jag skulle rekommendera att koppla bort den från internet till du hunnit gå igenom den. kolla users som cable... sa och kolla firewallen och ev bakdörrar! lycka till

"Det är en laZzer som läZzer skivorna sen skjuter den ut bilden i kablarna som dunkar in i tävän!"

Trädvy Permalänk
Medlem
Plats
i eeeeen tunna
Registrerad
Okt 2002

Den sitter bakom NAT och där är bara de sedvanliga portarna öppna 22,411,21,80 osv..

ska gå igenom users, precis. Vill inte att samma sak ska hände igen.

"en trevlig sak man skulle kunna göra med hans fru, det är om man malde ner henne till köttfärs, med salt och peppar och sånt där. Så gjorde man en 352 hamburgare av henne som man då gav till honom. För att då skulle ju inte han kunna äta upp dom.. ja för han är ju vegetarian. Det vore trevligt."

Trädvy Permalänk
Medlem
Registrerad
Jul 2001

Rensa och installera om, han/hon kan ha lagt in vad för nåt skit som helst som du aldrig kommer att hitta.

Trädvy Permalänk
Medlem
Plats
i eeeeen tunna
Registrerad
Okt 2002

men finns dewt inga loggar över precis vad killen gjort?

"en trevlig sak man skulle kunna göra med hans fru, det är om man malde ner henne till köttfärs, med salt och peppar och sånt där. Så gjorde man en 352 hamburgare av henne som man då gav till honom. För att då skulle ju inte han kunna äta upp dom.. ja för han är ju vegetarian. Det vore trevligt."

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Aug 2001

TUMVANTE!!! Jag blev för några dagar sedan utsatt för samma grej.
Fjärrstyr min server (xp) med remote desktop och ser att nån är online på ftpn. Ser sen att det är något nytt konto "owned" som är inne..

Detta TROTS att antivirus OCH brandvägg var aktiv.. Jag vet inte vad den
gjorde men min andra dator som kopplar genom den andra inte kan gå ut på internet.. och att en massa windowsfiler (dller osv) är ändrade..

Fick tipset att blåsa hela hårddisken.. Ska göra det också.. men jäkligt kul när man hållt på och meckat upp webserver osv... Men nu blir det linux..

Säkrast så

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Okt 2001

Om filuren vet vad den gjort så ska det inte finnas några loggar kvar. Installera om och se detta som en nyttig erfarenhet.

Trädvy Permalänk
Medlem
Plats
Stockholm, Rådhuset
Registrerad
Mar 2005

Vad hade användaren för behörigheter?

Probably the best Hkkathome© in the world...
*** Borde inte C++ heta ++C istället? ***

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2004

använd enbart cert inloggning, betydligt säkrare.

Trädvy Permalänk
Medlem
Plats
i eeeeen tunna
Registrerad
Okt 2002
Citat:

Ursprungligen inskrivet av Hkkathome
Vad hade användaren för behörigheter?

jag är itne säker faktiskt. Körde bara adduser -s och lade till den.. Inga root-behörigheter över huvudtaget. Standard.

Vad är cert?

"en trevlig sak man skulle kunna göra med hans fru, det är om man malde ner henne till köttfärs, med salt och peppar och sånt där. Så gjorde man en 352 hamburgare av henne som man då gav till honom. För att då skulle ju inte han kunna äta upp dom.. ja för han är ju vegetarian. Det vore trevligt."

Trädvy Permalänk
Medlem
Plats
.
Registrerad
Okt 2001

ska bara tvär-låna tråden, onödigt skapa ny tråd.

Visst kan man ställa in så bara vissa users får logga in via SSH.
Och isåfall, Hur?

no signature.

Trädvy Permalänk
Medlem
Plats
Uddevalla
Registrerad
Okt 2001
Citat:

Ursprungligen inskrivet av NoterNet
ska bara tvär-låna tråden, onödigt skapa ny tråd.

Visst kan man ställa in så bara vissa users får logga in via SSH.
Och isåfall, Hur?

Skriv
AllowUsers user
i ssh_config

Macbook Air 13" (2012)

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av wisdom
Skriv
AllowUsers user
i ssh_config

sshd_config för all del

Trädvy Permalänk
Medlem
Plats
Västsverige
Registrerad
Dec 2001

Om man inte vill att de ska kunna logga in öht funkar det alltid att ändra shell till /bin/false i passwd. Men det kanske man inte vill

Trädvy Permalänk
Medlem
Registrerad
Jun 2005
Trädvy Permalänk
Medlem
Plats
Karlstad,Värmland
Registrerad
Nov 2002

stäng av sshd! då blir det stopp i lådan

Gula tankar sover bäst

Trädvy Permalänk
Medlem
Registrerad
Jun 2005

Kan bli lite svårt att fjärrstyra den då

Trädvy Permalänk
Medlem
Plats
i eeeeen tunna
Registrerad
Okt 2002
Citat:

Ursprungligen inskrivet av Kirch
stäng av sshd! då blir det stopp i lådan

hehe, inte riktigt lösningen till mitt problem..
kan som sakt bli lite svårt att använda den då

"en trevlig sak man skulle kunna göra med hans fru, det är om man malde ner henne till köttfärs, med salt och peppar och sånt där. Så gjorde man en 352 hamburgare av henne som man då gav till honom. För att då skulle ju inte han kunna äta upp dom.. ja för han är ju vegetarian. Det vore trevligt."

Trädvy Permalänk
Medlem
Plats
södermalm
Registrerad
Nov 2003
Citat:

Ursprungligen inskrivet av tdm
Rensa och installera om, han/hon kan ha lagt in vad för nåt skit som helst som du aldrig kommer att hitta.

Citat:

Ursprungligen inskrivet av snutte
Om filuren vet vad den gjort så ska det inte finnas några loggar kvar. Installera om och se detta som en nyttig erfarenhet.

Ska man verkligen behöva installera om efter ett intrång, det låter som en amatörlösning i mina öron. Jag är förvisso ingen expert på BSD, men det låter ändå konstigt.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2001

1. byta ssh port
2. AllowHosts
3. AllowUsers

Trädvy Permalänk
Medlem
Plats
Stockholm, Täby
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av DI6
Ska man verkligen behöva installera om efter ett intrång, det låter som en amatörlösning i mina öron. Jag är förvisso ingen expert på BSD, men det låter ändå konstigt.

Det är knappat någon amatörlösning i detta fall. Om personen har installerat ett root-kit och lite annat så är risken för stor att man inte kan lösa det utan att göra en komplett ominstallation från grunden...

Trädvy Permalänk
Medlem
Registrerad
Jun 2005

En fråga, när man scannar portar med nmap så står det en beskrivning intill porten om vad det är för port (ex. ftp, ssh, telnet), etc. Kan man ändra denna beskrivning?
Blir ju lite säkrare mot intrångsskannare om man sätter om ssh-porten till kanske 15028 och sätter beskrivningen till "error_closed" eller något. Som en liten förvirringsfaktor typ.

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001

De beskrivningarna hämtas från /etc/services och matchas mot portnummer på scannarens dator. Om han inte kör nmap -sV, då försöker programmet självt luska ut vad det är för port genom att ansluta och se vad den får för svar.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av edavwal
Blir ju lite säkrare mot intrångsskannare om man sätter om ssh-porten till kanske 15028 och sätter beskrivningen till "error_closed" eller något. Som en liten förvirringsfaktor typ.

Ofta är det zombie datorer som scannar runt IP-serier efter port 22... sedan testar den logga in massa..

själv hade ja velat ha en typ av "host-ban" efter ett par försök

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av maDa
Ofta är det zombie datorer som scannar runt IP-serier efter port 22... sedan testar den logga in massa..

själv hade ja velat ha en typ av "host-ban" efter ett par försök

Finns program som ordnar sånt.. var en tråd om det för inte så länge sen.
Annars kan du begränsa åtkomsten till de ip:n som du brukar ansluta från. Även om du kanske måste släppa in hela subnät pga ev dynamisk tilldelning är det iaf bättre än att släppa in hela världen.

Bienvenido a la maldad

Trädvy Permalänk
Medlem
Plats
Bollebygd
Registrerad
Maj 2003
Citat:

Ursprungligen inskrivet av DI6
Ska man verkligen behöva installera om efter ett intrång, det låter som en amatörlösning i mina öron. Jag är förvisso ingen expert på BSD, men det låter ändå konstigt.

Det är inte det att det inte går att verifiera att ingenting ändrats. Det går naturligtvis. Men det innebär ofta mer jobb än att installera om allt från grunden.

Trädvy Permalänk
Medlem
Plats
Uddevalla
Registrerad
Okt 2001
Citat:

Ursprungligen inskrivet av maDa
Ofta är det zombie datorer som scannar runt IP-serier efter port 22... sedan testar den logga in massa..

själv hade ja velat ha en typ av "host-ban" efter ett par försök

Jag her ett program som jag kör var 30 minut ssh_blocker heter det, spärrar alla som försöker logga in med fel namn eller lösenord. Men det är på en openbsd burk.

Macbook Air 13" (2012)

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2002

Kör chkrootkit också. Men att sätta dåliga lösenord för konton med ssh-access är inte bra, som du kanske har märkt nu.

På min server tillåts bara inloggningar med certifikat eller OTP, vilket gör det hela lite säkrare.

This is a UNIX virus. Please remove all your files and copy this message to friends.
(Citera mig om du förväntar dig svar)

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2002

Re: IntrÅng!

Citat:

Ursprungligen inskrivet av Tumvante
Aug 2 20:36:28 barbastark sshd[86018]: Vilka åtgärder bör vidtas? Finns det ngåra loggar där jag kan se precis vad killen gjort? Jag är ingen hit på alternativa operativsystem..

* ominstallera maskinen
* installera tripwire
* kör chkrootkit regelbundet
* editera /etc/ssh/sshd_config:

PermitRootLogin no DenyUsers root DenyGroups root AllowUsers din_användare

Vet inte om DenyHosts fungerar på FreeBSD eftersom jag inte kommer åt sidan just nu... Kan dock vara värt att kika på.

::.. KDE Neon ..::
Home | MAME Arcade
Spelkonsoler