On Tue, Mar 01, 2005 at 10:22 CET,
timebandit <[EMAIL PROTECTED]> wrote:
> Mitt f�rsta intr�ng imorse d� :/
> N�gra bra s�tt/knep/rekommendationer att g�ra burken s�krare?
> K�r Debian testing med 2.4.29 och endast f�tal portar �ppna som,
[..]
Hejsan,
det ser ut som om n�gon f�rs�ker gissa anv�ndare och l�senord p� ditt
system f�r SSH. Det �r f�rhoppningsvis ganska ofarligt s� l�nge de
anv�ndare du har p� systemet har hyggligt sv�ra l�senord.
Ett alternativ om du vill att det ska vara s�krare �r att bara till�ta
inloggning med SSH-nycklar. Nackdelen �r att du m�ste ha tillg�ng till
din SSH-nyckel f�r att logga in. Det g�r f�rvisso att l�sa ganska snyggt
t.ex. med USB-minne som du alltid har med dig om du reser mycket.
En annan variant �r att bara till�ta ssh fr�n vissa IP-adresser.
G�llande http/https �r det b�sta du kan g�ra att se till att de
eventuella php-applikationer du k�r alltid �r patchade upp till
t�nderna. Samma sak g�ller med CGI-script. Det �r mer troligt att n�gon
hackar din maskin den v�gen �n via ssh (jag har blivit hackad via php).
> Mar 1 06:25:04 DZN su[26029]: + ??? root:nobody
> Mar 1 06:25:04 DZN su[26029]: (pam_unix) session opened for user nobody by
> (uid=0)
>
> �ven en massa Failed password for root som finns i loggarna :/ Dem
> lyckades tydligen ta sig in i morse men han dra ut n�tverkskabeln innan
> dem gjorde n�n skada... dem k�rde n�tt med find men hittar inget i
> loggarna d�r det visar vad dem gjorde :/
Detd�r ser ut om vanliga cron och �r ofarliga. Find i sig var troligtvis
scriptet /etc/cron.daily/find som k�rdes om det var n�n g�ng runt 06:25.
Om du misst�nker att de har installerat ett root-kit kan du installera
och k�ra chkrootkit.
Nu �r det s� att har du blivit hackad m�ste du (enligt mig, det finns
garanterat de som tycker annorlunda) installera om din maskin. Det finns
inga (�terigen, n�n tycker s�kert annorlunda) s�tt att vara helt s�ker
p� att maskinen �r �terst�lld till 100% och att det inte finns n�gra
bakd�rrar kvar. Ja, jag ominstallerade n�r jag hade blivit hackad.
mvh
--
+-----------------------------------------------------------+
| Johan Bj�rklund <[EMAIL PROTECTED]> http://whero.net/ |
| PGP = 813B 014F C0FA B56C FA70 31DC 1C11 3A20 B02B C881 |
+-----------------------------------------------------------+
| Even bytes get lonely for a little bit.
+-------------------------------- ------ ----- ---- --- -- -
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
