| 1.2, kost BebiX (?), 03:34, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Не, ну всё понятно. Но как делается первый этап? Какая разница что там дальше происходит если первый этап надо для начала предотвратить?
| | |
| |
| 2.13, Michael Shigorin (ok), 14:47, 28/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >Не, ну всё понятно. Но как делается первый этап? Какая разница что
>там дальше происходит если первый этап надо для начала предотвратить?
Идёте в sshd_config, смотрите значения PermitRootLogin, AllowGroups, PasswordAuthentication, справку по ним, прикидываете, корректируете.
Можно ещё на левый порт отвесить, чтоб сканирование "всех подряд" прошло мимо.
| | |
| 2.15, User294 (??), 17:17, 28/08/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> Не, ну всё понятно. Но как делается первый этап?
Путем использования лох-админов и плохо администряемых систем? :D
| | |
|
| 1.3, pavlinux (ok), 04:42, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Чёй-то не пойму панику... или в CERT башню снесло
1. Угроза атака по перебору была всегда, устраняется лимитом входов с одного IP, МАС, login_а не более 3-х ошибок в час, 20 в день.
2. Атака по простым паролям, так же, постоянная беда, устраняется запретом на простоту, длину, содержание - две заглавные, две строчные, две цифры, два печатных символа, далее по вкусу. С помощью John The Ripper проверяем по worldlist_y.
Для двухязычных юзеров, это ещё легче, - написать куплет из Мурки ввиде пароля милое дело.
типа:
Там сидела Мурка в кожаной тужурке, а из под полы торчал наган.
Nfv cbltkf Vehrf d rj;fyjq ne;ehrt? f bp gjl gjks njhxfk yfufy.
Все, пипец, ЦРУ сосёт.
3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда даже не обидно что его хакнут.
> US-CERT
Совместно с ЦРУ ФБР АНБ,
> рекомендует администраторам серверов, запретить для пользователей
>этих машин беспарольную аутентификацию по SSH ключам.
А то спец службам тяжело подбирать SSH ключи, plain-text трафик ловить легче.
| | |
| |
| 2.12, Michael Shigorin (ok), 14:42, 28/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
> 1. Угроза атака по перебору была всегда, устраняется лимитом входов с
>одного IP, МАС, login_а не более 3-х ошибок в час, 20
>в день.
...чем-нить вроде sshutout или BlockHosts.
> 2. Атака по простым паролям, так же, постоянная беда, устраняется запретом
>на простоту, длину, содержание - две заглавные, две строчные, две цифры,
>два печатных символа, далее по вкусу. С помощью John The Ripper проверяем
>по worldlist_y.
Хех, в альте достаточно не менять настройку pam_passwdqc, чтоб достаточно было проверялки в passwd ;-) Ну и apg есть.
>3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда
>даже не обидно что его хакнут.
Недальновидная позиция. Даже если "за страну" не обидно, то ещё один хост в руках врагов -- это всегда больше неприятностей. Спама того же.
| | |
|
| 1.5, Аноним (5), 07:10, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Долбоидиоты. Рекомендации должны быть такие: denyhosts, knockd, rkhunter, chkrootkit, а не те глупости, что в статье.
| | |
| |
| 2.8, Alex (??), 10:16, 28/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Сейчас СМИ начнут пестрить статьями вроде "Разрушен миф безопасности Linux" Или "Linux полностью бесзащитен" или "Шок:Неустранимая бреш в безопасности Linux"
| | |
|
| 1.10, Frank (??), 12:07, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.
> Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов
Этой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила напомнить о своём существовании?
| | |
| |
| 2.17, Krivoy (??), 11:08, 29/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.
>> Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов
>
>Этой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила
>напомнить о своём существовании?
Наверно - типа - "Не сплю я Марйя Аванна не сплю!" :) - "вот про уязвимость узнал вот она свежая..... ну или когда засыпал была свежая....."
А что такое "без парольный" вход? :)
| | |
|
| 1.11, Аноним (5), 14:26, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом на несколькл страниц начинается со слов узнаем пароль ползователя root, а дальше на 5 страниц как зная пароль нагадить в системе.
| | |
| |
| 2.16, Krivoy (??), 11:05, 29/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом
>на несколькл страниц начинается со слов узнаем пароль ползователя root, а
>дальше на 5 страниц как зная пароль нагадить в системе.
+100 :) в точку
| | |
|
| 1.14, Zumu (?), 15:57, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
надо статью про gssapi в ssh конфигах, что тогда вообше не нужен пароль или чтото там ешё ;)
| | |
| 1.18, maltsev (??), 17:33, 29/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
фигасе эксплоит.
из-под непривилегированного юзера повесил CentOS 5.1 ядро 2.6.18
| | |
| |
| 2.19, Michael Shigorin (??), 19:02, 29/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
[user@localhost ~]$ ./a.out
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7d8a000 .. 0xb7dbc000
[-] vmsplice: Bad address
[user@localhost ~]$ uname -r
2.6.18-std-smp-alt12.M40.3
Апдейты вообще-то стоит прикладывать. Да и про индуса (буквально), что занимается ядрами в кентосе, я уже давно людей предупреждаю...
| | |
|
|
