amúgy azt a hibát elkövettem, hogy nem korlátoztam sshd-t .hu alá. Mostani betörés is külföldrõl jött.
Mindenesetre most tüzet kell oltani, ha már megvan a baj. Természetesen majd iptables finomítás is lesz.

Hogy még pontosabb legyél, inkább a dhcp tartományt adjad meg neki amirõl várható a csatlakozás, megnézed, hogy a kinti gép ha dhcp-s, hogy mekorra tartományban moog a dhcp és akkor azt adod meg. mert ha .hu-t adsz attól még törhetnek be innen magyarorzságról is.A lehetõ legkissebb rést kell hagyni, ja és alapesetben pedig mident kérést dobjon el az iptables, mert alapjáraton mindent enged és mindent küld.

A tûzoltáshoz, meg annyit, hogy nagyon elrejteni, a dolgokat, csak rejtett file-okba tudják, cak rejtett könyvtár és file lehet.

A legfontosabb inkább pont az iptables volna, mivel, ha egyszer bejött töbször is be akar majd. lehet, hogy feltett progit, ami minden kapcsolódáskor lehelgatja a billentyûzetet, vagy ilyesmi. A legfontosabb, hogy letíltsad az ipcímét, tartományostúl, hogy se be ne jöjjön onnan adat, meg se ki ne menjen.

helydben én ezt oldanám meg elsõnek és ha ez kész van jöhet a rendrakás

Nézz utána automatikusan induló programoknak, ha van köztük suid-os shell, akkor azt öld ki. Ha netcat-ot, vagy egyéb programot találsz ami mondjuk minden nap kapcsolatot létesít xy-al, akkor azt is öld ki.

netstat -tuaep -ezzel megnézheted az éppen figyelõ programok listáját. Gyanús portokat keress, olyan szolgáltatást, amit nem te inditottal.

Ha nem törölte a bash_histroyt, akkor valami script-kiddie lehet csak. Ha az IP-je megvan, akkor küldj egy levelet az IP tulajdonosának(szolgáltató), és azok majd leelenõrzik. ssh-n tilts minden .hu-n kívüli hostot(ez alap), ezen felul jobb lenne egy olyan nevet beallitani, amirol rendszeresen bejelentkezel, a tobbit tilstd le. root-bejelentkezést tilstd sshn.

Apache, Postfix, ssh üdvözlésébõl irtsd ki a verzioszám-kiiratást. Ezzel megakadályozod abban, hogy rákeressen a verziora buglisteken. Telepits tuzfalat, minden portot tilts, ami nem szükséges. suid-os programokat keresd meg, ami gyanus azt ird ide le. A logolást állítsd vissza minél hamarabb, értesitsd az esetrõl a felhasználóidat. Változtass AZONNAL jelszot, a userek is váltzotassanak. A jelszo ne legyen ua, mint a usernev, és ne is lehessen kitalálni. Apache-nak, postfixnek NE legyen shell-je. Ha uj usert találsz, akkor töröld.

Nagyjából most csak ennyi jutott eszembe 😉

linux:/ # ps -ax
PID TTY STAT TIME COMMAND
1 ? S 0:04 init
2 ? SW 0:00 [keventd]
3 ? SWN 0:00 [ksoftirqd_CPU0]
4 ? SW 0:00 [kswapd]
5 ? SW 0:00 [bdflush]
6 ? SW 0:00 [kupdated]
7 ? SW 0:00 [kinoded]
9 ? SW 0:00 [mdrecoveryd]
12 ? SW 0:00 [kreiserfsd]
69 ? SW netstat -tuaep
(No info could be read for „-p”: geteuid()=500 but you should be root.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 213-163-18-:filenet-nch 66.96.90.68:38912 ESTABLISHED root 3207 –
tcp 0 0 *:ident *:* LISTEN root 45 –
tcp 0 0 *:ssh *:* LISTEN root 248809 –
tcp 0 0 213.163.18.115:ssh 80.244.97.79:52045 ESTABLISHED root 235029 –
tcp 0 268 213.163.18.115:ssh 80.244.97.79:51686 ESTABLISHED root 234411 –
amtisrac@linux:~>

nem arrol van szo, hogy beparaztam csak…
egy kicsit talan:)
mar egy masik topikban is kerdeztem, de nem nagyon jott hatekony valasz.
rendben van ez igy szerintetek?

iptableshez hozza se nyultam a telepites ota. (megjegyzem akkor sem)
nos?