Skocz do zawartości

B0FH

Użytkownicy
 Wyświetl profil  Zobacz jego aktywność

  • Zawartość

    97

  • Rejestracja

  • Ostatnio

Posty napisane przez B0FH

  1. Napisano · Edytowano przez B0FH (zobacz historię edycji) · Raportuj odpowiedź

    Muszę się niestety nie zgodzić, albo uznać, że słowo część lepiej brzmi, aniżeli prawie żaden.

    Co najwyżej drobny atak DDoS może zostać złagodzony poprzez optymalizacje, bo ona sama nic nie daje, nie zapewniając sporych nadmiarowych zasobów.

    Co do konfiguracji iptables, istotnie ładna bajka, ale chyba nie widziała żadnego prawdziwego ataku typu DDoS.

    Reasumując, potrzebne są nadmiarowe zasoby, a podczas samego ataku wszystkie cudowne firewalle mogą co najwyżej pomóc w obronie, ale na pewno nie są gwarantowanym rozwiązaniem.

     

    bzdury gadasz, walnij ddosem w zamkniety port, a walnij w otwarty - sprawdz roznice, a to, ze ci moze zapchac rurke to chyba wiecej jak oczywiste, DDoS z 20 komputerow i z 2mln to tez DDoS, jesli nie masz dobrej konfiguracji na serwerze to dyski ci padna przy ataku DDoS, takie sytuacje juz widzialem przy ruchu pol giga

  2. Napisano · Edytowano przez B0FH (zobacz historię edycji) · Raportuj odpowiedź

    Jak zbanować wszystkich użytkowników korzystających z tora na swój serwer?

     

    nie idzie banowac efektywnie tora, bo powiazane jest to z zapytaniami do DNS, jesli masz duzo ruchu to rozwiazanie umarlo, a 2ga opcja to np. dac dostep tylko dla polskich klas adresowych, oba sposoby opisalem na blogu, poszukaj adresu w poprzednich postach bo dostane bana od nierozgarnietego moderatora za wklejanie url pod ktorym sa arty dostepne bez zadnych dziwactw w stylu hasel, rejestracji itd ;]

  7. Napisano · Raportuj odpowiedź

    Witam, na samym początku pisze od razu , że jestem początkujący chciałbym zabezpieczyć swoje konto VPS przed atakiem Dos możecie coś doradzić?

    Czy wiesz co to DoS (i jaka roznica jest miedzy DDoS)?

    Zacznij od instalacji i konfiguracji aplikacji fail2ban

     

    apt-get install fail2ban

    http://tnij.org/omz4

    A z ogólnych zabezpieczeń co jeszcze mi możecie doradzić?

    http://tnij.org/omz7

    Coś do monitoringu ruchu sieciowego:

     

    http://www.yolinux.c...MONITORINGTOOLS

     

    Z zabezpieczeń to jeszcze jakieś dłuższe hasła duże, małe litery, znaki specjalne, cyfry

     

     

    Ogólnie spróbuj pomyśleć gdzie jest słaby punkt w zabezpieczeniach i wpisuj w gugle. Np. ktoś może ci złamać hasło to sprawdź jak się zabezpieczyć (przykład)

    http://tnij.org/omz9

  11. Napisano · Raportuj odpowiedź

    daruje sobie komentarz na temat podania domeny, bo staram sie nie odpowidac na trolling,

    jesli osoba nawet nie wie o co pyta, to o wiele latwiej jest pomoc znajac nazwe

     

    www.domena.pl.  300  IN   CNAME	   domena.pl

    poza tym poducz sie troche, a nie kopiuj, pomijajac juz te dzikie TTLe, to powinno byc

    www 300 IN CNAME domena.pl.

    bo . odpowiada za wartosc bezwzgledna, to co podales przeniesie na domena.pl.domena.pl

  13. Napisano · Edytowano przez B0FH (zobacz historię edycji) · Raportuj odpowiedź

    szczerze to stracilem chec na wypowiadanie sie, serio nie mam ochoty na takie jalowe dyskusje i wymyslanie na pokaz, bo omijanie wbudowanego security, a nastepnie latanie dodatkami jak iptables to samo za siebie mowi jak ktos sie nadaje na admina, polecam takie opowiesci na rozmowie rekrutacyjnej, to z pewnoscia praca sie trafi...

     

    jesli sadzisz ze zablysles tym wpisem iptables to chyba Cie rozczaruje, bo to jedna z glownych metod zabezpieczania m.in. serwera www po przez np. blokowanie polaczen wychodzacych...

     

    btw, sadzisz ze na przykladowo honeypot wyskocza ci ostrzezenia ze odcisk sie nie zgadza? kiedy nie bedziesz sie laczyc na ssh w rzeczywistosci? eh... potestuj

     

    no kernel posiada co raz to wiecej zabeczpien, a jak widac ludzie wola je omijac, niz stosowac... sub system audytu w kernelach 2.6 to jeden z najlepszych IDS, taki szczegol, a 3/4 nie wie nawet jak z tego korzystac...

     

    btw, ssh mi czesto nie pada na 1 systemie czy serwerze, czy nawet marce, tylko co jakis czas sie wiesza i nie jest to niczym nowym zreszta... jak masz pare serwerow to wiadomo ze statystycznie bedzie sie wieszac rzadko, a jak masz kilka klastrow serwerow to troche inaczej wyglada sprawa...

     

    co do skryptu z firewallem, to sprawa wyglada tak, ze jak go odpalisz to wyczyscisz konfiguracje i zbudujesz nowa, a jak sobie to samo wkleisz to wyczyscisz i odetniesz dostep, chyba proste i logiczne, ale widze ze niektore osoby wola dalej szukac dziury w calym tak samo jak z powyzszym wiec dam sobie jak juz pisalem spokoj, bo szkoda czasu na takie "dyskusje"...

  15. Napisano · Raportuj odpowiedź

    Ty także.

    Zacznijmy od tego:

     

    Wyjaśnij mi, jaka jest różnica, czy polecenie

    iptables -A INPUT -p tcp --dport 22 -j DROP

    wykonam sobie z poziomu ssh, czy też wykonam wplecione w skrypt?

    Tak czy siak utracę dostęp do serwera, więc poza względną wygodą zmiany czegoś-tam to nie widzę przewagi jednym nad drugim.

     

     

    Tu żaden IDS nie jest potrzebny. Wystarczy nakłonić kernel, aby blokował tych delikwentów, którzy łączą się z czymś innym, niż wystawione przez nas usługi.

     

     

    Jak już mówimy o exploitach, to duża część z nich ma na celu eskalację uprawnień roota, więc i na porcie 22 wtedy sobie coś odpalą...

     

     

    PHP? Chyba na stockowej konfiguracji apt-get install apache2 php5

    Jeśli się troszkę posiedzi (wyrzucenie modułów posix, blokada funkcji dl, exec, system itp., pseudo-open_basedir i parę innych rzeczy) to nie wykonasz poleceń systemowych.

     

    A jeśli nawet, to na samym końcu przychodzi ipt_owner, który pozwoli brutalnie wyciąć szkodnikom dostęp do świata zewnętrznego smile.png

     

    no to teraz wyczysc sobie firewalla bo chcialbys od poczatku zaczac sobie ustawiac jego konfiguracje...

     

    php to był przykład, sposobów jest 1000ce

     

     

    Pokaż jakiś remote exploit który wyłączał serwer openssh, bo nie przypominam sobie niczego w galęzi 4.x/5.x.

     

    Nigdy nie padł mi sshd, nigdy też nikt nie przełamał się przez niego do systemu bez wcześniejszej autoryzacji.

    To znaczy, że źle ?

     

    Każdy serwer zabezpiecza się pod kątem jego zastosowania w sieci.

    Zabezpieczenie via kernel na zakres portów sprawdza się w danych środowiskach, inaczej by nie powstało i nie było by go już.

    Jednak serwery mają tysiące zastosowań i nie na każdym są konta shell czy inne usługi wywołujące potencjalne zagrożenie dla wykonania niebezpiecznego kodu, czy później uruchomienia programu na określonym porcie.

     

    Utrzymując odpowiednia politykę bezpieczeństwa nie zajdą takie procesy o których piszesz.

    Nie będzie wtedy też naruszeniem uruchomienie serwera OpenSSH na porcie 1024-65000.

     

     

    nie komentuję.

     

    no widzisz, mi sie nie raz zwiesilo ssh na serwerach produkcyjnych z prawdziwego zdarzenia

     

    mam dla Ciebie doskonala lekture http://pl.wikipedia.org/wiki/Security_through_obscurity

  16. Napisano · Edytowano przez B0FH (zobacz historię edycji) · Raportuj odpowiedź

    Szaleństwo, jak user ma ubić SSHD! Nie wiem na jakich systemach pracujesz i jak są zabezpieczone ale to fantazja...

    Realnie można by to zrobić dopiero po przejęciu uprawnień root, więc fakt faktem nie ratuję Cie zabezpieczenie kernela co do tych socketów...

    wiesz, bycie adminem to sztuka myslenia tak jak z hackingiem, skoro juz nieraz wyszly jakies exploity na crash ssh, to tylko kwestia czasu jak znowu wyjda, a skoro potem ktos moze bez praw roota tam cos odpalic to mowi samo za siebie jakie rozwiazanie jest bezpieczniejsze, jak sobie ssh zrobisz na 1000 to bedziesz miec tyle samo prob logowania przez boty co na 31337, a jak ktos chce znalezc to i tak znajdzie nmapem jesli nie masz jakiegos psada czy czegos innego, port knocking itd

     

    jeszcze mi powiedz ze nigdy ci ssha nie padlo, to juz bede miec wyrobione zdanie smile.png, a uprzedze twoja wypowiedz, bez ssh tez idize uzyskac dostep do shella np. przez php, jak i dziesiatki innych sposobow

     

    serio nie rob z siebie posmiewiska takim gimbusowym wysmiewaniem wypowiedzi innych, bo to z lekka irytujace jak rowniez zenujace, szczegolnie jesli nie masz pojecia o czym piszesz

  20. Napisano · Edytowano przez B0FH (zobacz historię edycji) · Raportuj odpowiedź

    na roota nie idzie bezpośrednio wejść, a zmianę portów jako taką uważałem za niepotrzebne działanie. Zmiana portu bez banowania tych co chcieli tam wejść pewnie nic nie da.

    zmiana portow wbrew pozorom to dobra sprawa, jesli to nie serwer gdzie masz userow to bardzo ulatwia czytelnosc logow, no i eliminuje 99% botow, czyli wszystki, ktore nie sa wymierzone w Twoj serwer, ale ogolnie, polecam tez honeypot, nie koniecznie na produkcji smile.png

    via ssh z root'a, jednak przed "wklepaniem" poczytaj: man 8 iptables

    to bardzo zla praktyka, jedna z podstawowych zasad dobrego sysadmina to nie konfigurowac firewalla komendami pod shellem, a stworzyc sobie skrypt, bo bardzo latwo mozesz siebie wyciac

     

    a osobie ktora o to pyta polecam zaplacic komus jesli nie chcesz sobie narobic problemow, bo nie posiadasz jak widac elementarnej wiedzy, a jak sobie odetniesz dostep do serwera to chyba straty beda troche wieksze, tym bardziej jesli to "serwer" bez idrac/imm/ilo...

  24. Napisano · Raportuj odpowiedź

    rev dns jest zrobiony

     

    greylisty - a gdzie one są ?

    jeśli chodzi Ci o to, że wp.pl wrzuca Twoją pocztę do spamu, a odpowiedzieli Ci, że nie ma Cię u nich, ani na listach gray/black z których korzystają, no to tylko revdns albo przedstawianie się serwera inną domeną, innej opcji już nie ma, chyba, że dalej problem po stronie wp.pl typowo leży, nie mówiąc już, że oni Ci powinni powiedzieć, czemu odrzucają tą pocztę, a przynajmniej fajnie by było gdyby dali znać, ale z doświadczenia wiem, że takie raczej olewa nie tylko wp ;)

×