LINUX.ORG.RU

Ломают по сети. Помогите)

 , ,


0

4

Всем привет!

Чуваки, выручайте) Помогите новичку) Особо недавно стал разбираться с Линуксом. Нужна Ваша помощь. Завелся(лись) в сети шутник(и), который каждый раз пытается влезть в систему.

Подробней: ось Fedora 21 и Ubuntu 14.04(2 компа в сети). Ставил просто в ознакомительных целях. На всех их с самого начала стоял XAMPP(без chroot). Вот с самого начала(предполагаю) в систему влез именно через сервер, который я установил по дефолту и запускал через sudo(sudo /opt/lampp/lampp start). Результатом была заливка на один из компов проги для удаленного администрирования(заметил сниффером(увидел, как на один из локальных айпишников в сети идет бешенный трафф), да и с рабочего стола пропали несколько папок). Стал xampp запускать через chroot. Почитал про iptables, написал правила:

#!/bin/sh

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -A INPUT -p TCP --dport 33000:61000 -j ACCEPT

iptables -A INPUT -p UDP --dport 33000:61000 -j ACCEPT

iptables -A OUTPUT -p TCP --sport 33000:61000 -j ACCEPT

iptables -A OUTPUT -p UDP --sport 33000:61000 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

Тут оставил порты только для браузера(диапазон портов, используемых браузером, увидел через netstat -atup).

Через некоторое время опять ситуация повторилась - с рабочего стола исчезли те же самые папки, плюс увидел, что на левый сайт(а один и тот же айпишник) раз в 10 минут уходят данные по посещенным сайтам в инете(отловил опять же сниффером. Инфа передается в незашифрованном виде, в формате site:post или get-данные, переданные на сайт

))))

Чуваки, что делать? Выручайте))) Имею познания в программировании(на ПХП и Java)(фрилансю по вечерам), но малые в области админства(вот сравнительно недавно в свободное время изучаю)(

Что мне делать? Подскажите, как обезопасить себя? Как можно идентифицировать шутника, когда он пытается влезть? Как считаете, как могли ко мне влезть?

На компах установлена Java, среды программирования(phpstorm. webstorm, eclipse), xampp(chroot), flash и все. Работаю под юзерами, которые системы создают по дефолту в Федоре и Убунту.

Подскажите. Спасибо



Последнее исправление: Klymedy (всего исправлений: 1)
Ответ на: комментарий от snaf

Все «в одной коробке», плюс самая актуальная версия ПХП: скачал одним пакетом и поставил.

lampp же тоже по дефолту от рута нужно запускать

Alexagn
() автор топика
Ответ на: комментарий от Alexagn

lampp же тоже по дефолту от рута нужно запускать

что то я не распарсил

snaf ★★★★★
()

На данный момент тебе проще все накатить по новой, выдели тачку под брандмауэр или обзаведись соответствующей железкой. Внимательно смотри, что и как у тебя будет ходить наружу.
Воспользуйся вот этим или хотя бы почитай справку, там вполне годные решения для защиты сети http://www.fwbuilder.org/

anonymous
()
Ответ на: комментарий от ritsufag

На Убунте рута нет. Для пользователя пароль придумал(кстати, по умолчанию пользователь Убунту входит в группу sudoers(сильно ли страшно?))

Для Федоры поставил пароль для рута и отдельно для пользователя

Alexagn
() автор топика

что на левый сайт(а один и тот же айпишник) раз в 10 минут уходят данные по посещенным сайтам в инете(отловил опять же сниффером. Инфа передается в незашифрованном виде, в формате site:post или get-данные, переданные на сайт

А не гугель ли это информацию собирает?

kostik87 ★★★★★
()
Ответ на: комментарий от anonymous

Аноним дело говорит.

И не ставить всякий шлак, типа готовых XAMP LAMPP, а использовать пакетный менеджер дистрибутива.

И настроить фаервол, разрешив только HTTP(S) и SSH (который можно пересадить на другой порт).

dhameoelin ★★★★★
()
Ответ на: комментарий от FIL

А можно подробнее?

Вроде, как там, в Убунте, вообще рут отключен? Или ошибаюсь(вроде, в инете читал)

Alexagn
() автор топика
Ответ на: комментарий от kostik87

нет, не гугель)

Переходил на тот сайт - совсем не Гугл: появляется форма со странным дизайном, с логином и паролем и предложением войти на русском языке.

Alexagn
() автор топика

Два компьютера, Я так понимаю, подключены к маршрутизатору. Советую на машинах установить rkhunter - сразу с опцией --checkall он просканирует на предмет несанкционированного доступа. Ну а в принципе, после удаления пробравшегося к тебе диверсанта, нужно будет настроить брендмауэр (ip-tables) и повыключать лишние сервисы.

Sadist
()

Полноценный аудит системы ты произвести не сможешь. Либо сломаешь, либо оставишь руткиты. А скорее всего и то, и то. Так что переустановка дистра и чистка /home/$user от всего, кроме твоих данных.

Ставь пакеты только из реп, запускай их только штатными методами. Если федора, то не отключай selinux. Для штатных пакетов там весьма серьёзные ограничения, и проломанный апач может гадить только себе.

Наружу, за фаервол, выпускай только то, что действительно должно торчать наружу. Что можно, ограничивай по ip с определённых хостов.

Смена всех паролей, не известно, какие из них утекли.

Ну и всякие rkhunter'ы/rkdetector'ы и прочее отслеживание изменений в системе.

ЗЫЖ Почему в iptables в input 33000-61000 открыты для new, а не только для estableshed/related?

Ivan_qrt ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.