Ik ben gehackt

[Scormen]

Daar heb ik nog niet op gelet, rja.
Ik dagelijks eens diagonaal door de E-mail, maar hou ze wel gewoon bij voor het geval dát ...
Hier is de manual: http://www.logwatch.org/tabs/docs/HOWTO-Customize-LogWatch.html

Komende tijd zal ik er eens verder naar kijken.

Heb jij nog een alternatief?

[rja]

Heb jij nog een alternatief?

Nee,

Ik heb toen zelf maar een script geschreven, waar ik met grep -v en aantal patronen die uit een ascii file kwamen, een aantal log regels  die ik niet wou zien onderdrukte.

[Johan van Dijk]

Ik krijg iedere dag mailtjes van chkrootkit, rkhunter,fwanalog en denyhosts. En cron natuurlijk.
chkrootkit en rkhunter heb ik zo ingesteld dat ze eigenlijk niks sturen als er niks bijzonders aan de hand is, of als de logfiles van vandaag dezelfde zijn als wat ik verwacht. Zo heb je geen last van de false positives die je anders iedere dag zou zien.

Vandaag was het heel rustig voor de firewall, zoals je kan zien in de bijlage
In /var/log/fwanalog staan ook zulke en uitgebreidere rapporten van de laatste week en maand. Ook met grafiekjes en zo.

Dit zijn de dingen die ik dagelijks wel even nakijk.
Verder krijg ik ook een mailtje van smartmontools als die merkt dat er iets aan de hand is met een schijf. Dat gebeurt gelukkig niet dagelijks 
Ook krijg ik af en toe een mailtje van Tiger, als er weer eens wat veranderd is in het systeem.
En er zijn nog wat andere dingen die af en toe iets van zich laten horen per mail.

/var/log/auth.log bekijk ik zo ongeveer iedere dag.
Gelukkig niet zoveel bijzonders, behalve veel meldingen van de indicator-applet.
Af en toe zoiets als dit:

Code: [Selecteer]

Oct 13 01:41:55 desktop sshd[28230]: User root from ip.adres not allowed because not listed in AllowUsers
Oct 13 01:42:01 desktop sshd[28232]: User root from ip.adres not allowed because not listed in AllowUsers
Oct 13 01:42:01 desktop sshd[28239]: refused connect from ip.adres (ip.adres/hostname)


De andere logfiles in /var/log/ bekijk ik eens in de zoveel dagen eens even vluchtig. Vaak met een combinatie van grep -v om oninteressante dingen weg te filteren.

Het kan vast wel uitgebreider of beter, maar daar heb ik momenteel geen behoefte aan. Als het met logwatch efficiënter kan dan wil ik dat nog wel proberen, maar zo werkt het ook prima

[Pivni Pes]

Oke, ik heb het even een paar dagen laten rusten, mede ook omdat mijn HDD later binnen is gekomen.
Aangezien ik niet de beste ben in het instellen van alles in en om Linux ga ik het in rustige tempo opbouwen.

Een aantal dingen wat ik op mijn server nodig hebt:
 - SSH
 - Webmin
 - Samba
 - Logboek controle software (welke weet ik nog niet)

Samba ben ik gaan gebruiken toen er ook nog Windows PC's aan het netwerk hingen, nu zijn het alleen maar OSX PC's.
Is het dan nog verstandig om Samba te gebruiken, of is er voor OSX een betere alternatief?

Over het wachtwoord heb ik ook zitten denken, ik dacht iets van letters, hoofdletters, cijfers en tekens zoals bijvoorbeeld $, &, enzovoort.
En dat 10 a 15 tekens lang en gemixt moet wel afdoende zijn denk ik.

Nu heb ik vernomen dat er wel een root wachtwoord moet worden aangemaakt, alleen dat in het "/etc/sshd_config" bij
"PermitRootLogin" in plaats van "yes" dit op "no" moet worden gezet.
Is dit correct?

Als er een root account wordt gebruikt, dan hoeft de hacker alleen nog maar naar het wachtwoord te raden.
Een van mijn fouten is dus geweest dat ik een root account hebt gebruikt.
Beter is dus een gebruikers account aan te maken en dan sudo -s te gebruiken.
Maar als ik bijvoorbeeld "server" als account gebruikt, komt dit dan niet een beetje op hetzelfde neer?
Veel mensen zullen ook server gebruiken, of omdat dit geen root account is, is dit dan anders?

[edit - 23:32]
Klein ander vraagje:
Ik heb de data naar een externe schijf gekopieerd, kan ik dit zo terug zetten, of moet ik dit met een bepaald
stukje software scannen?
[/edit]

[track]

Nog steeds geldt: zo min diensten mogelijk, zo min poorten mogelijk open zetten.
Het sterke punt van Uby, dat er geen root-account is aub. laten staan, niet vernielen.
Paswoord: 12 .. 15 is best wél voldoende mits het gegarandeerd nergens op de wereld in een woordenboek staat.
Die speciale tekens zal je best zodanig plaatsen dat je het goed kunt onthouden.  Maar aljeblieft niet
waar iedereen het zou verwachten.
Het beheer doe je dus vanaf jouw eigen account, (doe ik trouwens ook) dus niet als gebruiker "server"
maar beter "pivni_pes". (waarschijnlijk kan onze chineese vriend dat niet eens spellen  , laat staan raden)

Als je iets van jouw oude installatie wil terug zetten hangt het ervan af ... als het om een configuratie gaat
zou ik er liever 3 keer op kijken voor ik het terug zet.  Anders heb je de rotzooi er meteen weer (hetzij ook maar gedeeltelijk).

Dus, aansluiten wél, tijdelijk mounten ook geen probleem, maar verder zou ik niet zo maar gaan. 
Zelfs niet zonder toezicht gemount laten staan. 
Wie weet wat onze vriend er allemaal in heeft gezet...

track

[Pivni Pes]

De enige dienste die ik hebt gebruik en eigenlijk weer wil gebruiken zijn diegene dit
ik in mijn vorige bericht hebt opgesomd.
Voor de server op mijn werk komt daar nog een proxy en mail server diensten bij.
Deze moet ik ook opnieuw klaar maken, is nog niks mis mee denk ik, maar voor de zekerheid.

Met het root verhaal ga ik gewoon helemaal niks meer mee doen, en laat ik zo als het bij de
installatie is.

Als ik het goed hebt begrepen, is het ook belangrijk wat voor een account naam ik kies.
Een standaard naam als "server" of iets dergelijks is dus niet raadzaam.

De gegevens die ik hebt gekopieerd zijn puur bestanden zoals documenten, MP3's enz.
Absoluut geen config bestanden, dit maak ik liever opnieuw aan.

Goed, ik ga nu aan de verse installatie beginnen

[Pivni Pes]

Ik zat net in mijn /var/log/auth.log te snuffelen, en toen kwam ik het volgende tegen:

Code: [Selecteer]

Oct 18 22:31:23 Moscow sshd[21933]: Invalid user admin from 70.38.31.44
Oct 18 22:31:23 Moscow sshd[21933]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 22:31:23 Moscow sshd[21933]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com
Oct 18 22:31:26 Moscow sshd[21933]: Failed password for invalid user admin from 70.38.31.44 port 56539 ssh2
Oct 18 22:31:27 Moscow sshd[21936]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com  user=root
Oct 18 22:31:29 Moscow sshd[21936]: Failed password for root from 70.38.31.44 port 57017 ssh2
Oct 18 22:31:30 Moscow sshd[21938]: Invalid user stud from 70.38.31.44
Oct 18 22:31:30 Moscow sshd[21938]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 22:31:30 Moscow sshd[21938]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com
Oct 18 22:31:32 Moscow sshd[21938]: Failed password for invalid user stud from 70.38.31.44 port 57209 ssh2
Oct 18 22:31:33 Moscow sshd[21940]: Invalid user trash from 70.38.31.44
Oct 18 22:31:33 Moscow sshd[21940]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 22:31:33 Moscow sshd[21940]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com
Oct 18 22:31:35 Moscow sshd[21940]: Failed password for invalid user trash from 70.38.31.44 port 57394 ssh2
Oct 18 22:31:36 Moscow sshd[21942]: Invalid user aaron from 70.38.31.44
Oct 18 22:31:36 Moscow sshd[21942]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 22:31:36 Moscow sshd[21942]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com
Oct 18 22:31:38 Moscow sshd[21942]: Failed password for invalid user aaron from 70.38.31.44 port 57531 ssh2
Oct 18 22:31:40 Moscow sshd[21944]: Invalid user gt05 from 70.38.31.44
Oct 18 22:31:40 Moscow sshd[21944]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 22:31:40 Moscow sshd[21944]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com
Oct 18 22:31:42 Moscow sshd[21944]: Failed password for invalid user gt05 from 70.38.31.44 port 57703 ssh2
Oct 18 22:31:43 Moscow sshd[21946]: Invalid user william from 70.38.31.44
Oct 18 22:31:43 Moscow sshd[21946]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 22:31:43 Moscow sshd[21946]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com
Oct 18 22:31:45 Moscow sshd[21946]: Failed password for invalid user william from 70.38.31.44 port 57879 ssh2
Oct 18 22:31:46 Moscow sshd[21949]: Invalid user stephanie from 70.38.31.44
Oct 18 22:31:46 Moscow sshd[21949]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 22:31:46 Moscow sshd[21949]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com
Oct 18 22:31:49 Moscow sshd[21949]: Failed password for invalid user stephanie from 70.38.31.44 port 58073 ssh2
Oct 18 22:31:50 Moscow sshd[21951]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com  user=root
Oct 18 22:31:52 Moscow sshd[21951]: Failed password for root from 70.38.31.44 port 58256 ssh2
Oct 18 22:31:53 Moscow sshd[21953]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com  user=root
Oct 18 22:31:55 Moscow sshd[21953]: Failed password for root from 70.38.31.44 port 58420 ssh2
Oct 18 22:31:56 Moscow sshd[21956]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com  user=root
Oct 18 22:31:57 Moscow sshd[21956]: Failed password for root from 70.38.31.44 port 58594 ssh2
Oct 18 22:31:59 Moscow sshd[21965]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com  user=root
Oct 18 22:32:01 Moscow sshd[21965]: Failed password for root from 70.38.31.44 port 58726 ssh2
Oct 18 22:32:02 Moscow sshd[21972]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com  user=root
Oct 18 22:32:03 Moscow sshd[21972]: Failed password for root from 70.38.31.44 port 58886 ssh2
Oct 18 22:32:05 Moscow sshd[21974]: Invalid user gary from 70.38.31.44
Oct 18 22:32:05 Moscow sshd[21974]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 22:32:05 Moscow sshd[21974]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com
Oct 18 22:32:07 Moscow sshd[21974]: Failed password for invalid user gary from 70.38.31.44 port 59036 ssh2
Oct 18 22:32:11 Moscow sshd[21976]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com  user=root
Oct 18 22:32:13 Moscow sshd[21976]: Failed password for root from 70.38.31.44 port 59207 ssh2
Oct 18 22:32:14 Moscow sshd[21978]: Invalid user guest from 70.38.31.44
Oct 18 22:32:14 Moscow sshd[21978]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 22:32:14 Moscow sshd[21978]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com
Oct 18 22:32:16 Moscow sshd[21978]: Failed password for invalid user guest from 70.38.31.44 port 59523 ssh2
Oct 18 22:32:26 Moscow sshd[21981]: Invalid user test from 70.38.31.44
Oct 18 22:32:26 Moscow sshd[21981]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 22:32:26 Moscow sshd[21981]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-70-38-31-44.static.privatedns.com
Oct 18 22:32:28 Moscow sshd[21981]: Failed password for invalid user test from 70.38.31.44 port 59701 ssh2Begrijp ik het nu goed dat er een gast via adres 70.38.31.44 probeert in te breken?

[track]

Ik lees er een woordenboek-aanval op jouw server, met een hele lijst van grbruikernamen,
van een "viend" die op 70.38.31.44 zit ...
En vooral ook telkens weer pogingen op gebruiker "root" !
Interessant zou zijn hoe die reeks eindigt.  Slaagt hij, en zo ja, hoe ?  Of geeft hij het op...

track

[jan11000]

Een user maken bij installatie, naam en wachtwoord, lang en alles door elkaar maken. Plak hem tegen je pc thuis indien nodig.(indien iemand thuis bij je pc kan dan hoeft hij ook geen wachtwoord te hebben om alles te lezen).
Dan voor samba en andere connecties die je gaat maken naar buiten, daar maak je andere users voor, die dan niks op de pc mogen doen(of zo min mogelijk).
Voor samba indien alleen voor thuis, dan zet een blokkade in je firewall, dus dat samba allen maar intern mag werken.(zelf gebruik ik guarddog hiervoor).
Voor samba kun je in de smb.conf de netwerkkaart verplichten en ip verplichten, dus internet blokkeren.
Dan kun je voor verbindingen van internet de ip nummer instellen indien mogelijk, dan valt er ook niks te hacken.

[AutoStatic]

Dan voor samba en andere connecties die je gaat maken naar buiten, daar maak je andere users voor, die dan niks op de pc mogen doen(of zo min mogelijk).

Samba naar buiten?

[Kev]

Samba naar buiten toelaten heeeeel slecht idee, SMB zit stampesvol gaten en lekken.

[AutoStatic]

Sterker nog, het kan niet eens meer. De meeste providers hebben poort 139 dicht staan.

[Kev]

Dat ook al, en vergeet ook niet poort 138 die twee werken in tandem dacht ik.
Ik weet dat SMB een drie tal poorten gebruikt voor datatransmissie.

bij mijn weten zijn het 137,138,139.

Heb dit ooit gezien naar aanleiding van het installen van een firewall in een windowsbased netwerk.

Achja.

[Pivni Pes]

Ik heb mijn router thuis met die op mijn werk (beiden een Draytek 2820) via VPN (L2TP with IPSec Policy) verbonden.
Via diezelfde VPN gebruik ik Samba, is dit wel safe, of ben ik nu verkeert bezig?
Zoja, wat is dan een veiliger alternatief?
Er staan bijna alleen maar Appel's in beide netwerken, er is nog maar 1 win2000 PC in het netwerk, deze wordt
op een zeer korte termijn vervangen voor een Ubuntu PC of een Apple.

[AutoStatic]

VPN is weer heel wat anders. Dat is wel een heel stuk veiliger hoor.
Kan me nog wel herinneren dat ik een van de eerste was met een Casema kabelmodem. Je hoefde onder Windows 98 maar op Windows Network Connections te klikken en je zag dan gewoon alle gedeelde mapjes van het hele subnet! Echt absurd als ik er nu aan terugdenk.

[ruujan]

VPN's zijn tunnels over een publiek netwerk. De data gaat beveiligd door die tunnel heen, dus dat is veilig. Als je Samba gebruikt door zo'n tunnel, dan kan er nog steeds niemand onderweg bij.
Een goede VPN werkt op basis van certificaten en zolang die geheim zijn, zijn ze praktisch niet te hacken. Daarmee bedoel ik dat er neimand zomaar een VPN op kan zetten naar jouw VPN-server zonder dat jij hem van te voren toestemming hebt gegeven door hem een certificaat te geven. Zelf maak ik het liefst gebruik van OpenVPN omdat dat zo makkelijk door NAT-routers gaat. Het maakt namelijk geen gebruik van andere protocollen dan UDP of TCP.

Oevrigensben ik zelf ooit ook eens op dezelfde manier gehackt. Ikw as toen aan het stoeien geweest met MythTV en had ondanks alle waarschuwingen toch het wachtwoord ongewijzigd gelaten. Sindsdien staat bij mij ssh nooit meer geforward op de router.

[rymnd]

Hoi,

Er zijn al heel veel goede tips gegeven maar nog paar dan.....
- Installeer standaard op al je "servers" chkrootkit en laat die in de cron.daily meedraaien. (vergeet niet /etc/chkrootkit.conf RUN_DAILY="true" aan te passen)
- Ook al genoemd logwatch, om je op de hoogte te brengen van de laatste activiteiten zoals last logons.
- Controleer je backups!!!! voordat je daaruit gaat restoren. Wellicht dat die al gecompromiteerd zijn.
- Als je over de mogelijkheid beschikt log dan ook naar een log-server. Als je het heel stoer wilt doen doe dat dan over tcp met een ssl certifitcate. Zorg er ook voor dat je niet kunt inloggen van je servers naar je logserver! Andersom kan wel.

Oja..... UPDATEN! 

Cheers,
Raymond.

[Kev]

Dit zijn echt klassetips, ik zat ook in die richting te denken.

[Gandyman]

Mijn netwerk word afgeschermd door een zelfbouw router/firewall.
Met zelfbouw bedoel ik de hardware, zelfde idee als een server echter dan met 4 NIC kaarten erin.
De software die erop draait is PFSense, gebaseerd op BSD en het uitgangspunt was Moonwall, echter dan verbeterd en toegespitst op een aantal functies.

Dus internet komt binnen op Modem's/routers en gaat dan eerst deze router/firewall in en alles gaat daarna pas mijn netwerk op.
Op de Modem's/routers waar het WWW op binnen komt zet ik poorten open die nodig zijn verder nix anders.

Op mijn zelfbouw router/firewall worden er NAT regels aangemaakt welke poorten er open moeten zijn.
Bijv. in dit geval poort 22 voor SSH.
Echter voor iedere persoon die via deze poort binnen wil/mag komen word er een aparte regel aangemaakt.
Hierin staat omschreven vanaf welk IP adres hij/zij binnen mag komen.

Deze laatste regel kan ik snel aan en uit zetten maar staat normaal gesproken aan.

Gevolg is dus dat de poort wel open staat, maar je kan niet binnen komen als je niet vanaf dat specifieke IP adres wilt inloggen.
Van buitenaf zal je misschien wel een open poort zien maar alles word geblokkeerd.
En het heeft geen zin om een wachtwoord te achterhalen want dat zit er niet op.

Pas wanneer je hier doorheen bent gekomen zal je op een server stuiten waar je met een wachtwoord kunt inloggen.
En dan nog niet op dezelfde poort...

Hoe dan ook, ik zie de log's van de 1e modem/routers waar mensen druk op staan te timmeren.
Vervolgens komen ze bij de 2e firewall en daar staan ze weer druk op de deur te bonzen, uiteraard zonder resultaat.

Ik zeg niet dat PFSense heilig is, maar ik heb totaal geen last meer van hackers op de server.

Vermits je natuurlijk de server niet laat werken met zwakke proggies waardoor bijv. SQL injection mogelijk is.
De server zelf zal natuurlijk ook goed gehard moeten zijn.

Onthoud altijd dat zolang je zelf ergens op kan inloggen er ook altijd een deur is waardoor iemand anders naar binnen kan.
Aan jezelf om de deur stevig te maken en een goed slot erop te zetten.