- ASUS ROG PG32UCDM: OLED csúcsmonitor tesztje
- Elkészült Oroszország első litográfiai berendezése
- Androidos fejegységek
- Milyen billentyűzetet vegyek?
- Nikon Z MILC fényképezőgépcsalád
- HiFi műszaki szemmel - sztereó hangrendszerek
- ZIDOO médialejátszók
- Nem gyárt több LCD tévépanelt a Sharp
- Azonnali alaplapos kérdések órája
- Vezeték nélküli fülhallgatók
Hirdetés
-
EU: a bankoké a felelősség, ha AI-t használnak
it Az EU tőzsdefelügyelete szerint ha AI-t használnak a bankok és befektetési cégek, akkor övék a felelősség.
-
Terítette a friss Cortex magokat az ARM
ph Háromból igazából kettő, ami ténylegesen új, a legkisebb inkább frissítésnek számít.
-
Féltucat régi Samsung kapott új One UI-t, köztük az A52s
ma A 6.1 olcsó, drága, ütésálló és közönségkedvenc készülékekre is megérkezett.
-
PROHARDVER!
Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.
Új hozzászólás Aktív témák
-
bambano
titán
válasz urandom0 #34148 üzenetére
vajon hogyan lopja el a privát kulcsodat, ha azt soha, semmilyen körülmények között sem adod ki a kezedből? oké, a feltört rendszeren levő kulcsaidat ellophatja, de itt arról van szó, hogy aki távolról be akar jelentkezni a feltört gépre, azzal lesz baj. ha be akarsz jelentkezni a feltört gépre, akkor sem adod ki a sajátodról a saját privát kulcsodat.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
PMoon
junior tag
válasz urandom0 #34149 üzenetére
Folyamatosan online szokott lenni.
Igazából ~3éve használom és összesen ~50%-ban üzemelt megszakításokkal, de valahogy mostanában elmérgesedni látom a támadásokat és volt egy furcsaság is a Debian esetében, amikor egyik reggelre annyira megadta magát a gép, hogy még az nginx sem volt elérhető és az ssh sem.
Valami számomra nem értelmezhető hibát kaptam konzollal belépés után az sshd systemd status-ról. De sajnos akkor annyira pánikoltam, hogy nem mentettem semmit, hanem töröltem.
Most hagyom kicsit szenvedni a rendszert és pár nap után mentek minden log-ot és infót aztán átnézem őket. Lehet tanulságos lesz a későbbiekre vonatkozóan."... Ne ess pánikba! ... Mindig legyen nálad törölköző!"
-
-
PMoon
junior tag
Nekem is fura, de akkor miért tudtam ssh-val bejelentkezni??
Illetve a szolgáltató oldalán "running" volt a státusz.
Mindegy, most figyelni fogok mindenre és ha valami furcsaság van, kutakodni fogok.Mondjuk hibát nem látok az ngix esetében ami érdekes lenne, de az access tartalmaz érdekes kéréseket.
Illetve van fent egy phpmyadmin is, aminek szintén érdekes a log-ja. Folyamatos kéréseket látok, miközben nem is használom.[ Szerkesztve ]
"... Ne ess pánikba! ... Mindig legyen nálad törölköző!"
-
bambano
titán
válasz urandom0 #34153 üzenetére
ha rootként van bent, akkor ami azon a gépen van, az kuka, a komplett gép kompromittálódott.
nyilván hozzáfér az adott gépen levő privát kulcsodhoz is, ahogy leírtam az előző hsz-emben.ha nem követted el azt az orbitális hibát, hogy másolgatod a kulcsaidat mindenféle gépre, akkor ez nem olyan nagy probléma. ha ugyanazt a kulcspárt használtad egy rakás gépről, akkor bajban vagy
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
ja, ha mindenféle webes admin felületnek látszó hibahalmazt raksz fel a gépedre, akkor ne csodálkozz, hogy 20 percet se bír ki...
egyébként a dns szervert szokták még megborítani, ha van fent olyanod, szedd le vagy állítsd be rendesen.
lehet még olyan ok is a döglődésben, hogy a vps szolgáltató tűzfala már felfigyelt a gondjaidra, ezért lassítja a hozzáférést. velük is beszélned kellene.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
-
PMoon
junior tag
válasz bambano #34158 üzenetére
Nincs dns. A phpmyadmin-t is csak amolyan szórakozásként tettem fel, de ja... nagyon nem kéne.
Az egyik query-re 200 volt a response, azt megnéztem magam is és szórt ki valami adatokat. Ez bizony csúnya bug.
Szóval megy le a gépről.Elég elkeserítő amiket látok. IP alapján mongól, tajvani és kínai támadások ezek.
De mindenesetre tanulságos.
Még szerencse, hogy hobbi vps ez.Amúgy lehet hülyeség, de mintha azóta lenne ez a sok furcsaság, mióta a certbot-ot használtam a domain-ekhez.
[ Szerkesztve ]
"... Ne ess pánikba! ... Mindig legyen nálad törölköző!"
-
-
bambano
titán
"Ha van egy dinamikus DNS-ed, akkor jóhogy könnyebben megtalálnak": folyamatosan szkennelik a címtartományokat, mindenképpen megtalálnak, ha akarnak.
kb. akkor nem, ha kevés ip címről akarsz belépni, és minden másra minden tiltott.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
PMoon
junior tag
Nincs dinamikus dns-em. A domain szolgáltató dns-ét használom, ott van beállítva a domain-ekhez a vps ip.
De sokáig nem volt gond vele. Most viszont egy kis szünet után újrapakoltam a szervert és új certbot hitelesítést csináltam a https kapcsolathoz a domainek/subdomainek számára.
Nem tudom van-e összefüggés, de azóta elszabadult a pokol.Úgy döntöttem törlöm a teljes szervert a log-ok mentése után és másképp csinálom meg újra.
Nem pakolok ki mindent a webre/netre.
Nem tudom, de esetleg maradhatna a phpmyadmin ssh-tunnel-el?
Illetve jó volna valami whitelist alapján csak bizonyos ip tartományokra korlátozni a szolgáltatások elérését.[ Szerkesztve ]
"... Ne ess pánikba! ... Mindig legyen nálad törölköző!"
-
-
Érdekes, mindenesetre
"Nem tudom, de esetleg maradhatna a phpmyadmin ssh-tunnel-el?"
Én simán megoldanám, ha muszáj. Bár ha meg lehet oldani másképpen, amiket csinálsz azon keresztül, akkor nem.
@Sh4dow : Ha valaki bejut, akkor már mindegy@bambano : Na de a hacker is lusta, oda megy inkább, ahol van mit keresni Egy DNS bejegyzés szerintem tábortűz a sötét erdőben.
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
bambano
titán
-
nagyúr
Amit en csinalok a privat jatszos Hetzner gepemen:
- Tailscale install
- SSH 100%-ig tiltva Hetzner tuzfalon (tehat a gepig el sem jut a csomag)tailscale ssh-val be tudok menni, ha kell valami, ha meg valami miatt megdoglene a Tailscale (nem szokott), akkor meg arra az idore kinyitom a normal ssh-t
while (!sleep) sheep++;
-
-
-
-
Edorn
aktív tag
Hogy tudok almalinux-on kimenő kapcsolat log-ot nézni? Ahol azt is látom, mi indította a kapcsolatot?
A probléma: jelezték, hogy valami a szerverről (bot/vírus/stb) próbálkozik más szervereken. Erről van is log-om onnan, hogy mikor, melyik honlapra próbálkozott be. Azt kellene belőni első körben, hogy a szerveremen futó honlapok közül melyik kapott be valamit, azaz melyik próbálkozik. Vagy ha nem az egyik honlap, akkor mi indítja a kéréseket. (tűzfal van egyébként, víruskereső nem mutat "fertőzést", Fail2Ban üzemel)
AMD Ryzen 5 5600 3.50GHz AM4, SAPPHIRE RX580 4GB, EX2220 (1920x1080), crucial MX500 SSD, CRUCIAL 16GB Ballistix DDR4 3200MHz, MSI B450 GAMING PLUS | Tárhely, domain: https://nokturn.hu
-
-
urandom0
senior tag
De pontosan mit csinál az a bot? Más szerverek honlapjain próbálkozik 80-as vagy 443-as porton? Vagy SSH-t próbál feltörni? Vagy mit csinál?
Más szerverek felé irányuló kapcsolat indítható közvetlen a te szervereden futó bináristól, ezt a legkönnyebb észrevenni, nézegesd, hogy milyen processzek futnak a szerveren, milyen kapcsolatoknak nyitnak kifelé (lsof, netstat, ss, tcpdump, wireshark). Valamint állítsd be netfilter/iptables logot, és telepítsd az auditd-ot, és ahhoz is állíts be szabályt.
Indítható kapcsolat PHP-ból is, vagy bármilyen szerver oldali nyelvből. Ezt nem is tudom, hogy lehetne rendesen logolni, én a php-fpm log_leveljét állítanám maxra. Végső soron persze ez is az oprendszer szintjén fog kijönni.
Vagy ha más környezeted is van (Nodejs pl.), akkor annál is maxra kell állítani a log_level szintjét. -
Edorn
aktív tag
válasz urandom0 #34177 üzenetére
Igen, pont ezt szeretném valahogy belőni, hogy egyáltalán honnan indul a probléma. ss-t néztem, de ott kb pont el kellene kapni egy próbálkozást ráadásul a sok egyébként okés kapcsolódás rengetegében. De lsof-al és netstat-al is ugyanez lenne. De ha mondjuk óránként egyszer történik, akkor elég esélytelen. Ezért reménykedtem valami log-ban vagy egyéb megoldásban.
Két példa log, amit kaptam mint panasz:
2024-05-16 06:54:09
Url: ho###ff.ir/wp-content/themes/blossom-spa/wp-config-sample.php
Remote connection: xxx.xxx.xxx.xxx:39158
Headers: {
"Host": "ho###ff.ir",
"Connection": "Upgrade, HTTP2-Settings",
"Upgrade": "h2c",
"HTTP2-Settings": "AAEAAQAAAAIAAAAAAAMAAAPoAAQAYAAAAAYABAAA",
"Cookie": "[hidden]",
"sec-ch-ua": ""Chromium";v="110", "Not A(Brand";v="24", "Google Chrome";v="110"",
"sec-ch-ua-mobile": "?0",
"sec-ch-ua-platform": ""Windows"",
"Upgrade-Insecure-Requests": "1",
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.#.#.0 Safari/537.36",
"Accept": "*/*",
"Sec-Fetch-Site": "none",
"Sec-Fetch-Mode": "navigate",
"Sec-Fetch-User": "?1",
"Sec-Fetch-Dest": "document",
"Accept-Encoding": "gzip,deflate",
"Accept-Language": "eo;q=0.8,en-US;q=0.6,en;q=0.4",
"Accept-Charset": "ISO-8859-1,utf-8;q=0.7,*;q=0.3",
"Content-Length": "28",
"Content-Type": "application/x-www-form-urlencoded"
}
Post data: {
"IU": "die(pi()*42);"
}Másik:
2024-05-28 06:32:07
Url: www.hardcoretooling.com/wp-content/plugins/booking-package/lib/Sitehook.php
Remote connection: xxx.xxx.xxx.xxx:52530
Headers: {
"Host": "www.hardcoretooling.com",
"sec-ch-ua": ""Not_A Brand";v="8", "Chromium";v="120", "Google Chrome";v="120"",
"sec-ch-ua-mobile": "?0",
"sec-ch-ua-platform": ""macOS"",
"upgrade-insecure-requests": "1",
"user-agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36",
"accept": "*/*",
"sec-fetch-site": "none",
"sec-fetch-mode": "navigate",
"sec-fetch-user": "?1",
"sec-fetch-dest": "document",
"accept-encoding": "gzip,deflate",
"accept-language": "eo;q=0.8,en-US;q=0.6,en;q=0.4",
"accept-charset": "ISO-8859-1,utf-8;q=0.7,*;q=0.3",
"content-length": "28",
"content-type": "application/x-www-form-urlencoded",
"host": "www.hardcoretooling.com",
"cookie": "[hidden]",
"BN-Frontend": "captcha-https",
"X-Forwarded-Port": "443",
"X-Forwarded-Proto": "https",
"BN-Client-Port": "52006",
"X-Forwarded-For": "xxx.xxx.xxx.xxx"
}
Post data: {
"Rv": "die(pi()*42);"
}
xxx.xxx.xxx.xxx a szerverem ip-je...[ Szerkesztve ]
AMD Ryzen 5 5600 3.50GHz AM4, SAPPHIRE RX580 4GB, EX2220 (1920x1080), crucial MX500 SSD, CRUCIAL 16GB Ballistix DDR4 3200MHz, MSI B450 GAMING PLUS | Tárhely, domain: https://nokturn.hu
-
bambano
titán
nem szokás kimenő kapcsolatokat logolni egyik linuxon se.
szerintem nullázd le a gépedet, mert amekkora meló lenne kideríteni, hogy mi csinálta, az nem éri meg.
max. annyit érdemes, hogy azt a die utasítást megkeresni a php forrásokban, ha nincs nagyon obfuszkálva.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
urandom0
senior tag
Vagy wgettel, curllal indítanak kéréseket, vagy valami PHP script csinálja, de szerintem ez utóbbi. Ahogy írtam, ha az auditd fent és van rendesen be van konfigolva, az képes logolni a kimenő kapcsolatokat.
ausearch
programmal elég részletesen lehet keresgélni a logokban.
De a php-fpm logjait, és az httpd logjait is nézegesd, pl. ha sok 404-es hiba van bennük, az máris gyanús.Amit még elfelejtettem, hogy a cron logokat és a cron feladatokat is nézd át, minden usernél egyesével.
Új hozzászólás Aktív témák
- ASUS ROG PG32UCDM: OLED csúcsmonitor tesztje
- Politika
- Elkészült Oroszország első litográfiai berendezése
- Energiaital topic
- Xbox tulajok OFF topicja
- Androidos fejegységek
- Remekül néz ki a szögletes Z Fold6
- Autós topik
- Milyen billentyűzetet vegyek?
- Nikon Z MILC fényképezőgépcsalád
- További aktív témák...
- AKCIÓ! - STEAM kulcsok / Punch Club, Oddworld: Soulstorm, Children of Morta, stb. - 2024.05.16.
- Windows 10/11 Home/Pro , Office OEM/Retail kulcsok
- Autómatricák a legjobb minőségben, több ezer minta! PH tagoknak 30% kedvezmény!
- Bontatlan - BATTLEFIELD 1 Collectors Edition - Játékszoftver nélkül
- Eladó Steam kulcsok kedvező áron!
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest