Twoje PC  
Zarejestruj się na Twoje PC
TwojePC.pl | PC | Komputery, nowe technologie, recenzje, testy
B O A R D
   » Board
 » Zadaj pytanie
 » Archiwum
 » Szukaj
 » Stylizacja

  
M E N U
  0
 » Nowości
0
 » Archiwum
0
 » Recenzje / Testy
0
 » Board
0
 » Rejestracja
0
0
  
Szukaj @ TwojePC
 

w Newsach i na Boardzie
 
OBECNI NA TPC
 
 » DJopek 22:15
 » rainy 22:11
 » bajbusek 22:11
 » Wedelek 22:09
 » siwydym 22:08
 » ManiusNG 22:01
 » xpx 21:58
 » Kool@ 21:48
 » zibi13 21:46
 » Rafael_3D 21:45
 » rulezDC 21:43
 » okobar 21:37
 » NimnuL 21:35
 » Irys 21:34
 » MARtiuS 21:33
 » Sherif 21:24
 » BoloX 21:22
 » malyy 21:19
 » ReMoS 21:17
 » leon 21:10

 Dzisiaj przeczytano
 36888 postów,
 wczoraj 25433
 Szybkie ładowanie
 jest: włączone.

  
ccc
TwojePC.pl © 2001 - 2025
A R C H I W A L N A   W I A D O M O Ś Ć
    

CZy to próba włamania czy udane włamanie ???? Do speców... , Carmamir 7/03/03 22:49
Dziś o 22 miałem coś czego nie potrafie dokładnie określić :
Mar 7 22:00:27 - kernel: Warning: possible SYN flood from 62.233.226.xxx on 80.49.108.xxx:xxx. Sending cookies.
Mar 7 22:00:28 - oidentd[31209]: Connection from xxx.pl (62.233.226.xxx):34947
Mar 7 22:00:28 - oidentd[31210]: Connection from xxx.pl (62.233.226.xxx):34948
Mar 7 22:00:28 - oidentd[31209]: [62.233.226.xxx] 63209 , 21 : ERROR : NO-USER
Mar 7 22:00:28 - oidentd[31211]: Connection from xxx.pl (62.233.226.xxx):34949
Mar 7 22:00:28 - oidentd[31210]: [62.233.226.xxx] 63210 , 21 : ERROR : NO-USER
Mar 7 22:00:29 - oidentd[31212]: Connection from xxx.pl (62.233.226.xxx):34950
Mar 7 22:00:29 - oidentd[31211]: [62.233.226.xxx] 63211 , 21 : ERROR : NO-USER
Mar 7 22:00:29 - oidentd[31212]: [62.233.226.xxx] 63212 , 21 : ERROR : NO-USER
Mar 7 22:00:50 - oidentd[31225]: Connection from xxxx.pl (62.233.226.xxx):3495

Może mi ktoś podpowiedzieć co to było ? Na serverze jest freesco 0.2.7 for sdi. I jeszcze jedno freesco dziś przez ok. 3h ściągał SAM jakieś pakiety chociaż żaden z adminów (2) nie wydawał takiego polecania ! Co mogło go spowodować ? Na co można by się przesiąść bezpiecznego w pełni konfiguralnego, mało wymagającego do hardware itp. Co myślicie o zipslacke ???

No to się wkopałem...

  1. IMHO ktoś próbował Ci zawiesić to FreeSCO , PKort 7/03/03 23:18
    korzystając z którejśtam dziury. Ja rozprawiam się z takimi kolesiami w ten sposób, że piszę odpowiednia e-mail do admina danej domeny i z reguły w ciągu 24h koleś nie ma już dostępu do sieci... Co ciekawe, działa nawet z TP SA :)))

    Heavy Metal or no metal at all
    whimps and posers - Leave the Hall !!

    1. tzn. , Carmamir 7/03/03 23:39
      wystarczy że napisze list do tego goscia co wypisze mi np. visual route (kilka adminów tej domenki mi pokazuje) , z dołączonym spisem z freesco i tyle ?

      No to się wkopałem...

  2. to poradzcie na co można by się , Carmamir 7/03/03 23:44
    przesiąść ? Ja narazie celuje w Zipslack (do wykorzystania max. 300mb :( ), dajcie swoje opinie na jego temat, lub rzuccie coś co uważacie za dobre.

    No to się wkopałem...

    1. Ja proponuję , PKort 8/03/03 09:33
      Debiana. Pomęczysz się troszkę (niedużo) z konfiguracją i będzie OK.

      Heavy Metal or no metal at all
      whimps and posers - Leave the Hall !!

  3. Ja... , OrbitaL_2001 8/03/03 01:26
    bym na twoim miejscu posprawdzał zabezpieczenia tego servera, poprawił fire-wall'a itd.

    To co przedstawiłeś na moje oko wygląda na lamerski program do skanowania wszystkich portów [np. PortScanner] ponieważ porty występują sekwencyjnie w logu, 1 po drugim. Włamu jako takiego nie było moim zdaniem. Po prostu jakiś chłopczyk dorwał cudowną płytę z "hakierskimi narzędziami" i próbuje być drugim Mitnick'iem za pomocą 1 kliknięcia.

    Ale powtarzam... warto śledzić logi to raz, dwa warto przekazywać logi z servera do stacji, np. krytyczny błąd niech będzie wyświetlony na ekranie komputera przy którym siedzisz, albo lepiej niech wyśle SMS'a z numerem błędu i jego jakimś opisem na twój telefon. Takie cudeńka można robić na Linux'ie, ale to niestety wymaga nieco więcej miejsca niż 1 dyskietka

    I jeszcze raz dla przypomnienia - sprawdź zabezpieczenia jakimś skanerem ew. znajdź strone co sprawdza freesco pod względem zezpieczeń

    Pozdrawiam

    orbital

    1. zabezpieczeń , Carmamir 8/03/03 08:23
      to narazie nie ma żadnych, teraz chce tam wrzucić jakiś linux, zastanawiałem się na zipslack czy debianem (w tym drugim wypadku nie wiem czy komp uciągnie bez problemów jakiś, jest to:
      -P90
      -24mb ram
      -1x350mb hdd + 1x130mb hdd )

      No to się wkopałem...

      1. uciągnie bez problemu... , XTC 8/03/03 08:30
        jedynie z miejscem nie poszalejesz na downloady lokalne :)
        mój ukochany serwerek który postawiłem w poprzedniej pracy to P100 16MB +1GBhdd...
        i przez cały czas obsługuje 2 sesje wap-gadu, NAT, ssh i cały czas liczy dla distributed.net (zaczął się stosunkowo niedawno projekt - 72bity:) - w poprzednim projekcie 64bit liczył z rok wysyłając dziennie po kilkadziesiąt pakietów :)

        Linux

  4. SYN , OrbitaL_2001 8/03/03 01:30
    Znalazłem typ twójego ataku: SYN

    Atak zwany SYN flooding opiera się na specyficznej własności protokołu TCP/IP, która polega na trójfazowym nawiązywaniu połączenia pomiędzy klientem a serwerem. W pierwszej fazie klient inicjuje połączenie przez wysłanie pakietu ze znacznikiem SYN i początkowym numerem sekwencyjnym. Następnie serwer wysyła z powrotem pakiet z ustawionymi bitami SYN i ACK oraz swoim początkowym numerem sekwencyjnym. W końcu klient wysyła trzeci pakiet z ustawionym jedynie bitem ACK.

    Może to pomoże w zrozumieniu co się działo... w razie czego korzystaj z google.pl

    orbital

    1. tnx , Carmamir 8/03/03 08:21
      ...

      No to się wkopałem...

    2. fajna definicja:) , Holek 8/03/03 09:37
      ale niewiele pomaga - moznaby tu przytoczyc tez jakas ladna grafike ze struktura pakietu TCP/IP, opisac, co nastepuje podczas polaczen kolejnych rodzajow, nawet zrobic jakis sliczny wykres - ale nadal nie wyjasnia to tego, co stalo sie u caramira.

      Ja tam widze, ze gosc z IP [62.233.226.xxx] portu 63209 laczyl sie na port 21 a blad - ERROR byl nastepujacy - NO-USER, co moze sugerowac, ze ktos usilowal wejsc na FTP za pomoca standardowych loginow (anonymous, deamon, itp), a co mu sie z jakistam przyczyn nie udawalo. (Nieaktywne FTP, brak owych userow itp.)
      A skad Possible SYN Flood? - otoz kernel czesto niektore powtarzajace sie zachowania interpretuje w rozny sposob - coz - nie jest doskonaly i nie potrafi sie 'domsylec', ze ktos np. 3 razy myli haslo... a jesli chodzi o nawiazywanie polaczenia z FTP to nastepuje wlasnie pojedyncze polaczenie typu SYN - jesli powtorzy sie to 3 razy, z jednego IP - to mamy juz (z punktu widzenia kernela) SYN Flood - i wszystko leci do logow.

      Do Caramira - nie ma sie czym przejmowac - bardzo prawdopodobny jest scenariusz z jakims lamerem sprawdzacym czy ktos nie ma aktywnych standardowych kont na FTP, moze wroci sprawdzic to samo na SSH lub Telnecie nawet - dodam tylko, ze te logi nie beda podstawa do odciecia delikwenta z sieci dla Abuse - chyba, ze tam tez siedza goscie, co nie wiedza co w logach piszczy:)

      Pozdr.

      "...here I am on The Road again..."

  5. ładniej.... , OrbitaL_2001 8/03/03 10:36
    wytłumaczył Hołek o co w tym wszystkim chodziło, ja byłem po 5 godzinach programowania i to był max na co było mnie stać o godz. 01:30 :-)

    wczoraj zpomnialem napisac ze mozesz uzyc programu NMAP (jest dla Windows i Linux) zeby sprawdzić sobie jakie porty masz otwarte (uzycie lokalnie na serwerze) albo przeprowadzic ostro przeskanowac serwer pod wzgeledm zabezpieczeń i różnych podstawowych ataków w tym SYN

    url: http://www.insecure.org/
    Tam też jest obszerne FAQ o co w nim chodzi i z czym go zjeść

    Pozdrawiam

    orbital

    1. tylko nie... , Holek 8/03/03 12:07
      Hołek:)) chyba zarzadam dodania mnie do FAQ:)

      pozdr.

      "...here I am on The Road again..."

      1. Ale... :-) , OrbitaL_2001 8/03/03 14:38
        Podpis jednoznacznie wskazuje na gascynacje samochodami :)

        "...here I am on The Road again..."

        Przepraszam za nie porozumienie...

        orbital

        1. hihi... , Holek 8/03/03 14:43
          coz za nieporozumienie...:)

          moj podpis to cytat z jednego z utworow Mettalica band zatyutlowanego 'Turn The Page"

          Ale skojarzenie ciekawe!

          pozdr.

          P.S. Nawet nie mam prawka, do aut czuje lekkowstret (dobrze czuje sie jako pasazer), a ksywa pochodzi od mojego nazwiska, ktorego nie bede przytaczal:)

          "...here I am on The Road again..."

  6. no to dzięki , Carmamir 8/03/03 12:02
    wszystkim za odpowiedź. A może jeszcze wiecie czemu regularnie co tydzień mi RH 8.0 pada ? Tzn. X11 pada. Raz pisze że screen not found lub nie znajduje jakiś fontów, sprawdzałem w usr/ ale katalog X11 już tam nie istnieje, o co chodzi ? Nawet jeśli chce sobie skopiować z kopii bezpieczeństwa (po konfigu. katalog /usr/x11 skopiowałem na fata) cały ten katalog to pisze że nie ma miejsca na operacje czy coś takiego :( Co robić ???

    No to się wkopałem...

    1. hmm , Holek 8/03/03 12:11
      a jak stoimy z miejscem na linuxie? skoro nie ma miejsca... to widac go nie ma:)

      X11 testowalem juz wiele razy na przeroznych komputrach i zawsze bylo OK - zadnych problemow nawet na starych 486...
      sprawdz w logach xfree co tam slychac, moze znajdziesz jakas wskazowke

      "...here I am on The Road again..."

      1. no tak ale , Carmamir 8/03/03 14:01
        linuxa przeinstalowywałem z 5x i za każdym razie po ok. tygodniu nie włącza nawet puliptu graf. z loginem. A co do linuxa to nie da się skopiować nawet 1mb pliku dosłownie nic, a miejsca na 100% ma jeszcze 1gb. Tzn. napis był że nie można skopiować pliku ponieważ nie ma miejsca na operacje czy coś w tym stylu.

        No to się wkopałem...

     
All rights reserved ® Copyright and Design 2001-2025, TwojePC.PL