[linux-guvenlik] Re: birileri bilgisayarimi hackledi...

---------

From: Serdar KOYLU (skoylu@gizemcafe.net)
Date: Tue 01 Jul 2003 - 19:57:27 EEST

  • Next message: Php: "[linux-guvenlik] dinlenen portlar"

    Selamlar..

    Sen isi bilen birine denk gelmissin. Bu isin ilk kurali, karda yuruyup izini
    belli etmemektir :)) Benim avareler, log silmek vs. anlamiyordu.. Tam script
    kiddie...

    Sanirim Sizin makineye de bir virus filan bulastirmislar..

    Bu tip durumlara onlem olarak, loglari farkli bir makinede tutmak en iyi
    cozumdur. Ama, sucluyu buldunuz, mesela Slovenya'dan birisi cikti, ne
    yapacaksiniz ? Gidip onu dovseniz, sizin derdinizi cozermi ?

    Yapmaniz gereken hacklenmeyecek (daha dogrusu zor hacklenecek) bir sistem
    olusturmak. Linux bunun icin gereken her seye sahiptir.

    Su anda yapacaginiz en dogru cozum, sistemdeki onemli dosyalarin yedegini
    alip, makineyi bastan kurmak olacaktir.

    Devaminda bilhassa kernel'i guncellemeyi, parola belirleme kurallarina uymayi,
    gereksiz hic bir seyi calistirmamayi/kurmamayi, gerekenlerinde sadece gereken
    yerlerden erisilebilir olmasini saglamalisiniz. Mesela, webmin. Gerekiyordur.
    Ama en iyisi sadece yerel networktaki bir makineden veya tercihan sadece
    kendisinden baglanilabilir olmasini saglayin.

    iptables -A INPUT -p tcp --dport 10000 -s izin.verilen.makine.adresi -j ACCEPT
    iptables -A INPUT -p tcp --dport 10000 -s izin.verilen.makine2 -j ACCEPT
    iptables -A INPUT -p tcp --dport 10000 -j DROP

    Gibi satirlar faydali olur. Su bela olan SMB mevzusuna gelince. SMB Yerel agda
    ise yarar. Bu durumda smb.conf dosyasinda sadece yerel aga bakan interface'i
    dinleyecek sekilde ayarlamaniz kafidir:

    [global]
            interfaces = 192.168.0.1/255.255.255.0
            bind interfaces only = Yes

    Elbette birileri yerel agdanda saldirabilir. Bu durumu da gozonune alarak,
    smb'yi 2.2.8a'ya yukseltmeniz gerekir.

    Diger yandan bilhassa 2.4.21 ve uzeri bir kernel kullanmaniz siddetle tavsiye
    edilir.

    Ayrica bilhassa calisan servisler yonunden bakinca bir ton gereksiz ve tehdit
    olabilecek servis goruruz. Once bunlari kapatmak lazim gelir:

    [root@karargah src]# netstat -ant |grep LISTEN
    tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:6566 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:212 0.0.0.0:* LISTEN
    tcp 0 0 192.168.0.1:3128 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:5432 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
    tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
    tcp 0 0 127.0.0.1:6010 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:7741 0.0.0.0:* LISTEN

    Nedir bu 7741 vs ? 6566 (Sanki scanner'imiz varda), SANE calisiyor..

    Calisan her servis, takip etmek gereken bir uygulamadir. Haa, bu arada, bu
    liste son derece kirpilmis halde. Eeh, siz boyle herseyi acarsaniz, birisi
    dalar elbet.. Hangi birinin guvenligini takip edeceksiniz ?

    Bunlar en temel prensipler. Bunlarla guvenlik isi bitmez ama bunlari da boyle
    yaparsaniz gulerler adama.. Sonrada ugrasirlar en azindan. Karsinizdakine
    cesaret vermis olursunuz. Oysa ben bunlari en azindan kapatsam disariya adam
    bakar bu saglam bir seye benziyor der ve pek ugrasmaya razi olmayabilir..

    Saygi ve sevgiler..

    Sal 01 Tem 2003 12:32 tarihinde şunları yazmıştınız:
    > gecen gece birileri bilgisayarimi hackledi ve su anda syslogd calismiyor.
    > Lastlog'lara ulasamiyorum. Bunun sebebini bilen hepsinin ici bosaltilmis.
    > Biraz da olsa bi yerlerden biseyler bulamazmiyim bilgisayarimin hacklenmesi
    > hakkında. Ne bileyim bu loglarin yedegi vs. veya baska loglar
    > biryerlerde tutuluyor mu? Bu konuda bana yardimci olabilecek birileri var
    > ise sevinirim.
    > Ayrica bilgisayarim sotle bir hata verdi bunun sebebi ne olabilir. "Kernel
    > Panic: Attempted to kill idle task" bu ne anlama geliyor. Birileri bana
    > yardimci olursa cok sevinirim.


  • Next message: Php: "[linux-guvenlik] dinlenen portlar"

    ---------

    Bu arsiv hypermail 2.1.6 tarafindan uretilmistir.