| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. | | | Paranoia!...
--------------------------------------------
If there is such a thing as too much power...
I've not discovered it... |
| | | | | | Na netvisao ? Que netvisao man ? Tas enganado jovem... e' mais xxx.xxx.nl.home.com...
--------------------------------------------
If there is such a thing as too much power...
I've not discovered it... |
| | | por Anonimo Cobarde em 25-02-02 11:41 GMT (#2)
|
| ... pero que las hai, las hai. :-)
Em casa, com um miseravel modem 56K, apenas numa hora ligado à net, por vezes tenho nos logs da firewall entre 5 e 10 hits de pessoal à procura de acessos telnet, ftp ou shares de windows. Provávelmente não serão todos de scr1pt kiddies mal intencionados, mas... nunca fiando.
|
| | | | | | Subscrevo. Os logs do meu Apache crescem, crescem, crescem.... e só 1-5% é que são acessos. O resto são tentativas de correr EXEs do imaginário IIS. :)
Pondo um snort a correr, ainda é mais divertido... é impressionante o que passa por ali.
OpenBSD rules. :)
"We have no choice! Our Communist overlords will slay us if we fail in our mission!"
- A chinese military officer, "Tales of Suspense" #50, 1964 |
| | | por Anonimo Cobarde em 25-02-02 11:44 GMT (#3)
|
| Bem já que estamos a falar de "scr1pt kids" não consegui deixar passar essa. O ultimo caso em que um conhecido "scr1pt kid" foi owned e as suas reacções. Isto dava uma telenovela.
Isto passou-se no principio de fevereiro. A box do WC foi "owned" pelo cocas o sapo podem ver o mirror aqui.
Depois o tal sapo iniciou uma thread nos forums da Unsecurity mas que mais tarde foram apagados mas podem ver o mirror da coisa aqui, se tiverem paciencia leiam está hilariante. Começou-se outra discussão na unsecurity sobre o estado da "scene" mas sem o fulgor da primeira. Chegou a sair uma noticia na Ptnix sobre o assunto.
Para quem não sabe o WC aka Wildcoyote foi o menino que há um ano e meio supostamente akou a Bragatel e até apareceu na revista a Visão e que teve direito a discussão no gildot. É engraçado ver como os papeis mudam e como é que estes sript kidz se comportam quando os papeis se invertem.
|
| | | | | por Anonimo Cobarde em 25-02-02 13:21 GMT (#5)
|
| Andam todos a brincar com o fogo, um dia sai queimadura de 3º grau.
|
| | | por Anonimo Cobarde em 25-02-02 21:34 GMT (#12)
|
| | Pois...o menino WC e o menino Lucipher são alguns dos cromos que temos em Portugal. Infelizmente, a PJ não tem olhos para ver os arranjos que estes meninos costumam fazer, ou querem dizer que são santos e nunca pecaram? Quando reparei nesse artigo da Visão, ia caíndo da cadeira. Quer dizer, o menino WC que faz montes de merdas no norte do país, é adorado por todos os estúpidos que existem neste país e aparece em destaque na Visão!!! O mais curioso é que a mesma revista, uma semana mais tarde, vem alertar para o hacker mais famoso do norte de Portugal, WC...considerado extremamente perigoso. Mas onde pára a polícia???
|
| | | | "Conselhos para newbies (especíalmente para os nossos casos (ISP's nacionais)?"
Se a ideia é bloquear a porta 80 para os ISPs não terem que aturar com brincadeiras como o Red Code podem tirar o cavalinho da chuva ...
Há que lembrar que certos clientes de certas ISPs de cabo não usam a porta 80 só para brincar ...
|
| | | | | riscos (Pontos:3, Informativo) |
| | "Tendo um servidor linux, com uma distribuição dita "normal" (de uso frequente de MUITOS utilizadores! ;)), em estado "out of the box" e tendo o software todo, minimamente actualizado, quais serão os riscos reais?"
Poucos, mas isso depende do serviços e das aplicações que tiveres a correr, a maior parte dos problemas hoje em dia dá-se em coisas como PHP, ASP ,activeX, JavaScript (em suma web sripting) e code mal escrito, não nos serviços bases, são as extensões e codigo proprio que lixam um gajo, claro que á maneiras de dar a volta a isso. Podes ter tudo actualizado mas se tiver mal configurado ou programado não funciona na mesma. Normalmente estes problemas tambem precisam de sript kidz mais evoluidos tecnicamente.
Pedro Esteves |
| | | | | Se tens NetCabo não te preocupes... com o serviço deles antes de alguém conseguir fazer alguma coisa à tua máquina já o serviço foi abaixo :)
"Se vi mais além do que outro, é porque estava nos ombros de gigantes."
Sir Isaac Newton
|
| | | | | | | Best post in the last week! Bravo :)
---------------------
The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti |
| | | | o que se passa é que muito boa gente(aka kids) fazem scans massivos, ou entao.. se te vêm no irc e têm o teu ip, tb resolvem "cuscar" o estado das coisas.
deixar uma maquina minimamente configurada:
correr apenas o necessário
e correr versões actualizadas
não dá problemas nenhuns, porque em principio esses gajos estão á procura de pc's muito mal configurados, com servers de mail, web, netbios, ftp, telnet, ou ssh desactualizados e para os quais eles conheçam a existencia de um exploit.
A verdade é que a minha box tem muitos scans por dia, de tal modo que pus o logger com o minimo de verbose porque o ficheiro começava a tomar proporções absurdas, e tenho um disco pekeno.
epá.. e ter um redhat ou um suse "out of the box" é no minimo arriscado, pois vais a um site de segurança que tenha lá exploits, e podes ver lá exploits disponiveis para kk gajo abusar do teu computador.
conclusão: a minha gateway nao é um linux, é um openbsd com quase tudo desactivado para fora (só ssh e ftp), assim atraio menos as atenções, mas.. é claro que se algum gajo que já ande nisto hà uns tempos resolver que vai entrar no pc.. tvz consiga porque nao faço updates todos meses.. (mês sim, mês nao).
Miguel F. M. de Sousa Filipe handle: m3thos email: mmsf@rnl.ist.utl.pt More Human than Human. |
| | | | | | Dado que há 5 anos que não há um remote root no OpenBSD, e que fazes upgrades mês a mês... estás muito perto de seguro... :-)
A tua escolha de firewall é muito chata para quem procura um hack rápido...
PLS
|
| | | | Eui fui semi-0wnado aqui ha alguns tempos, quem foi o pseudo-hackaro não, sei o host era romeno, não me importei muito com o caso, afinal de contas o jovem tava a usar um exploit ke se aproveitava dum bug no WUTFP, e só keria uma conta pra ele :P como ja alguem disse: kele os hai hai ... Scr1pt kidies ou l33t h4x0rs chamem-lhes o que quiserem, eu chamo show-offers.
--------
leech to live ! |
| | | | Não sendo especialista na matéria, a receita segundo já os que andam por aqui a mais tempo que eu é sempre quase a mesma:
- Correr unicamente o que for extritamente necessário
- Estar atento aos updates que aparecem dia a dia de acordo com o que utilizarmos
- Utilizar uma distribuição saudável e que prime pela segurança e não pelos brinquedos bonitos.
- Utilizar somente software ou pacotes que não estejam mais em fase de testes e que já tenha provas dadas.
- Não executar software de fora, como root excepto quando se tem a absoluta certeza do que la vai dentro, e procurar sempre instalar e confirmar as assinaturas dos ficheiros.
- E em caso de crise, ter sempre a mao um ou dois contactos de gente que saiba ou que possa ajudar em caso de não ter seguido as regras ai em cima ;)
E para terminar, nunca abaixar a guarda e ter todos os potenciais pontos de risco sob vigilância. E ter conciencia que existe sempre alguem que sabe mas do que nós ou que tem mais sorte ehehe :=)
Emfim nada de novo, mas os principais erros acabam por ser os xicos expertos que em busca de tentar lixar ali o vizinho, esquecem-se do veneno que tao a por la dentro das boxesinhas lindas lá de casa e que uma distro por si só não faz o trabalho todo sozinha se não se souber trabalhar com ela.
Elton Machado.
|
| | | por Anonimo Cobarde em 25-02-02 23:44 GMT (#16)
|
| Feb 22 01:23:11 europa sshd[11213]: [ID 593182 daemon.error] fatal: Local:
Corrupted check bytes on input.
Feb 22 01:23:11 europa sshd[11213]: [ID 593182 daemon.error] fatal: Local:
Corrupted check bytes on input.
Feb 22 01:24:32 europa sshd[11216]: [ID 593182 daemon.error] fatal: Local:
Corrupted check bytes on input.
Feb 22 01:24:32 europa sshd[11216]: [ID 593182 daemon.error] fatal: Local:
Corrupted check bytes on input.
(Isto numa base diaria...)
Eles andem mesmo ai, raio dos kidd13s.
|
| | | | Ok, então é assim... eu não sou nenhum l33t admin nem nenhum evil hackaru, mas, segundo a minha humilde opinião, acho é que as pessoas não sabem bem o que devem ver para reparar na segurança das suas máquinas e, quando sabem, às vezes estão-se pouco a ralar.
De resto, e partindo do principio que estamos a utilizar Linux, não custa nada ir dando uma vista de olhos nos sitios do costume (securityfocus, packetstorm, etc.) a ver o que se passa no mundo. Ir vendo as versões dos serviços de corremos... Ir tendo atenção ao tipo de conecções que recebemos nas nossas máquinas, ter atenção aos logs que os acessos criam ou as tentativas de conecções. O passo seguinte é "controlar" isso, com uma trusted FireWall e/ou serviços de gestão de intrusões como o Snort ou o PortSentry. Não é dificil de trabalhar com eles, não é muito trabalhoso, no fundo. O resto, é vigilância.
Se me permitem a publicidade, o meu projecto eBeatrix é outra das ferramentas que pode ajudar à "vigilância activa".
Se estamos a falar do tipico "estava no irc e mandaram-me abaixo, uso win* e não faço mal a ninguém", e, tomando por principio que a maior parte dos DoS para windows são baseados em ICMP replies, qualquer ferramente que negue os ICMP requests é mais que suficiente, se nao quisermos entrar no mundo das netbios.
Um abraço,
Miguel Azevedo
"Track number one; Mississipi number one, number two, number three and number four", Flaming Lips |
| | | | | | Viva!
Acho que em termos de máquinas windows desactivar o netbios para a internet é uma prioridade. Salvo raras excepções, ninguém quer partilhar nada via netbios na net. Por isso é bloquear todo o tráfego das portas 137,138 e 139. Nada de netbios na internet. Fica bem!
JP PS: posso estar enganado mas as novas versões (win2000 e xp) também utilizam outras portas que também devem ser completamente bloqueadas na firewall (salvo raras excepções).
|
| | | | [root@gatekeeper /root]# grep "^Feb 26.*DENY" /var/log/messages | wc -l
156
O firewall em causa nao tem nenhuma regra paranoica de seguranca, e' bastante trivial o sucedido, sao ainda 15h, ainda faltam alguns DENY's ate' ao fim do dia.
^S^ |
| |
|
