Router betörési kísérletek

Kezdőlap Fórumok Vegyes gondok Router betörési kísérletek

9 bejegyzés megtekintése - 21-29 / 29
1 2 3
  • Szerző
    Bejegyzés
  • 2008-03-07-20:32 #2155149
    birno
    Felhasználó

      Sziasztok!

      Megnéztem a progikat és mind python-t igényel, ami sajna nincs a routeren.
      Gépen az ssh-n keresztüli root hozzáférést tiltottam, az authentikációs kulcsok használatának azonban még nem néztem utána.
      Egyszer régebben olvasgattam róluk, de igazán akkor sem értettem miért jobb mintha egy erős jelszót használna az ember?

      Iptables, ebben kérném a segítségeteket, próbáltam összetallózni egy kezdetleges scriptet, ami egyenlőre a célnak megfelel.
      Átnéznétek és javítanátok ha valami nem stimmel benne?
      Meg egy-két résszel nem voltam tisztában, ott megjegyzésként oda is írtam.

      Code:
      #!/bin/sh

      iptables -F #lancok torlese
      iptables -A security -p tcp –syn -m limit –limit 2/s –limit-burst 10 -j RETURN #syn storm
      iptables -A dosattack -p tcp –syn -m limit –limit 8/s -j RETURN #DoS & agressziv Port scan kivedesere
      iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT #tolunk szarmazo kapcsolatok engedelyezese
      iptables -A INPUT -p tcp ! –syn -m state –state NEW -m limit –limit 3/min # uj kapcsolat, percenkent max. 3 ???
      iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #syn-nel kezdodik, kulonben esetleg tamadas
      iptables -A INPUT -p TCP -s ip/tartomany –syn –dport ssh -j ACCEPT #ssh hozzaferes engedelyezese bizonyos IP-knek
      iptables -A INPUT -p TCP –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP #3 rossz probalkozas utan 60 perc tiltas
      iptables -A INPUT -p TCP –syn –dport ssh -m recent –set -j ACCEPT #na ezt nem tudom mit csinal
      iptables -A INPUT -p tcp -m multiport –dport 6881,6882,6883,6884,6885,6886,6887,6888,6889 -m state –state NEW,ESTABLISHED -j ACCEPT #bejovo torrent engedelyezese
      iptables -A INPUT -p tcp –dport 5900 -m state –state NEW,ESTABLISHED -j ACCEPT #VNC engedelyezese
      iptables -A INPUT -j DROP #minden mast eldob

      Amennyiben itt „iptables -A INPUT -p TCP –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP” nem adom meg a „–seconds” kapcsolót, akkor véglegesen kitiltja az adott IP-t?
      Ha igen, akkor utólag hogyan tudnám ezt engedélyezni?

      Van még egy kérdésem.
      Ha a routerbe be is jutna valaki, akkor onnan ugye még fel kellene törnie a géphez tartozó valamelyik júzer jelszavát is.
      A Tomato firmware-ből lehetne egyáltalán ilyen támadást indítani?
      Mert feltölteni progit nem biztos, hogy tudna, már csak a kevés hely miatt is.

      2008-03-07-20:32 #2155150
      birno
      Felhasználó

        Sziasztok!

        Megnéztem a progikat és mind python-t igényel, ami sajna nincs a routeren.
        Gépen az ssh-n keresztüli root hozzáférést tiltottam, az authentikációs kulcsok használatának azonban még nem néztem utána.
        Egyszer régebben olvasgattam róluk, de igazán akkor sem értettem miért jobb mintha egy erős jelszót használna az ember?

        Iptables, ebben kérném a segítségeteket, próbáltam összetallózni egy kezdetleges scriptet, ami egyenlőre a célnak megfelel.
        Átnéznétek és javítanátok ha valami nem stimmel benne?
        Meg egy-két résszel nem voltam tisztában, ott megjegyzésként oda is írtam.

        Code:
        #!/bin/sh

        iptables -F #lancok torlese
        iptables -A security -p tcp –syn -m limit –limit 2/s –limit-burst 10 -j RETURN #syn storm
        iptables -A dosattack -p tcp –syn -m limit –limit 8/s -j RETURN #DoS & agressziv Port scan kivedesere
        iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT #tolunk szarmazo kapcsolatok engedelyezese
        iptables -A INPUT -p tcp ! –syn -m state –state NEW -m limit –limit 3/min # uj kapcsolat, percenkent max. 3 ???
        iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #syn-nel kezdodik, kulonben esetleg tamadas
        iptables -A INPUT -p TCP -s ip/tartomany –syn –dport ssh -j ACCEPT #ssh hozzaferes engedelyezese bizonyos IP-knek
        iptables -A INPUT -p TCP –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP #3 rossz probalkozas utan 60 perc tiltas
        iptables -A INPUT -p TCP –syn –dport ssh -m recent –set -j ACCEPT #na ezt nem tudom mit csinal
        iptables -A INPUT -p tcp -m multiport –dport 6881,6882,6883,6884,6885,6886,6887,6888,6889 -m state –state NEW,ESTABLISHED -j ACCEPT #bejovo torrent engedelyezese
        iptables -A INPUT -p tcp –dport 5900 -m state –state NEW,ESTABLISHED -j ACCEPT #VNC engedelyezese
        iptables -A INPUT -j DROP #minden mast eldob

        Amennyiben itt „iptables -A INPUT -p TCP –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP” nem adom meg a „–seconds” kapcsolót, akkor véglegesen kitiltja az adott IP-t?
        Ha igen, akkor utólag hogyan tudnám ezt engedélyezni?

        Van még egy kérdésem.
        Ha a routerbe be is jutna valaki, akkor onnan ugye még fel kellene törnie a géphez tartozó valamelyik júzer jelszavát is.
        A Tomato firmware-ből lehetne egyáltalán ilyen támadást indítani?
        Mert feltölteni progit nem biztos, hogy tudna, már csak a kevés hely miatt is.

        2008-03-08-05:05 #2155151
        gendelider
        Felhasználó
          birno wrote:
          Egyszer régebben olvasgattam róluk, de igazán akkor sem értettem miért jobb mintha egy erős jelszót használna az ember?

          Anélkül, hogy mélyebben néznénk, (lehetne tudományosan), most csak „primitíven”:
          1.) A kulcs hosszabb, mint a jelszavad
          2.) A kulcsban használhatsz továbbá u.n. passphrase-t, ami olyan, mint a password, de sokkal hosszabb lehet. (Egyébként „komolyabb” esetekben ilyet használunk.)

          2008-03-08-05:05 #2155152
          gendelider
          Felhasználó
            birno wrote:
            Egyszer régebben olvasgattam róluk, de igazán akkor sem értettem miért jobb mintha egy erős jelszót használna az ember?

            Anélkül, hogy mélyebben néznénk, (lehetne tudományosan), most csak „primitíven”:
            1.) A kulcs hosszabb, mint a jelszavad
            2.) A kulcsban használhatsz továbbá u.n. passphrase-t, ami olyan, mint a password, de sokkal hosszabb lehet. (Egyébként „komolyabb” esetekben ilyet használunk.)

            2008-03-08-08:07 #2155153
            birno
            Felhasználó
              gendelider wrote:
              birno wrote:
              Egyszer régebben olvasgattam róluk, de igazán akkor sem értettem miért jobb mintha egy erős jelszót használna az ember?

              Anélkül, hogy mélyebben néznénk, (lehetne tudományosan), most csak „primitíven”:
              1.) A kulcs hosszabb, mint a jelszavad
              2.) A kulcsban használhatsz továbbá u.n. passphrase-t, ami olyan, mint a password, de sokkal hosszabb lehet. (Egyébként „komolyabb” esetekben ilyet használunk.)

              Hm, azt hiszem akkor ennek is utána olvasok, köszi. 🙂
              A többi kérdésre esetleg valaki?

              2008-03-08-08:07 #2155154
              birno
              Felhasználó
                gendelider wrote:
                birno wrote:
                Egyszer régebben olvasgattam róluk, de igazán akkor sem értettem miért jobb mintha egy erős jelszót használna az ember?

                Anélkül, hogy mélyebben néznénk, (lehetne tudományosan), most csak „primitíven”:
                1.) A kulcs hosszabb, mint a jelszavad
                2.) A kulcsban használhatsz továbbá u.n. passphrase-t, ami olyan, mint a password, de sokkal hosszabb lehet. (Egyébként „komolyabb” esetekben ilyet használunk.)

                Hm, azt hiszem akkor ennek is utána olvasok, köszi. 🙂
                A többi kérdésre esetleg valaki?

                2008-03-08-15:51 #2155155
                birno
                Felhasználó

                  A script-el ráfáztam rendesen, miután lefuttattam egyáltalán nem fértem hozzá a routerhez és az adatforgalom is leállt.
                  Gondolom az output láncot is meg kellene határozni.

                  Az autentikációs kulcsos módszer viszont tetszik, megoldja egy másik problémámat is. smiley.gif

                  2008-03-08-15:51 #2155156
                  birno
                  Felhasználó

                    A script-el ráfáztam rendesen, miután lefuttattam egyáltalán nem fértem hozzá a routerhez és az adatforgalom is leállt.
                    Gondolom az output láncot is meg kellene határozni.

                    Az autentikációs kulcsos módszer viszont tetszik, megoldja egy másik problémámat is. smiley.gif

                    2009-12-04-20:03 #1887913
                    csaba
                    Felhasználó

                      Sziasztok!

                      Ma délelőtt vettem észre, hogy valaki nagyon be akar jutni a routerembe.
                      Egy Linksys WRT54GL-ről van szó, Tomato firmware-el és a logban csak ilyeneket látni:

                      Code:
                      Feb 29 11:08:06 Debian authpriv.info dropbear[1818]: Child connection from 86.160.11.26:48105
                      Feb 29 11:08:09 Debian authpriv.warn dropbear[1818]: bad password attempt for ‘root’ from 86.160.11.26:48105
                      Feb 29 11:08:10 Debian authpriv.info dropbear[1818]: exit before auth (user ‘root’, 1 fails): Disconnect received
                      Feb 29 11:08:10 Debian authpriv.info dropbear[1819]: Child connection from 86.160.11.26:48815
                      Feb 29 11:08:11 Debian authpriv.warn dropbear[1819]: login attempt for nonexistent user from 86.160.11.26:48815
                      Feb 29 11:08:12 Debian authpriv.info dropbear[1819]: exit before auth: Disconnect received
                      Feb 29 11:08:12 Debian authpriv.info dropbear[1820]: Child connection from 86.160.11.26:48848
                      Feb 29 11:08:15 Debian authpriv.warn dropbear[1820]: bad password attempt for ‘root’ from 86.160.11.26:48848
                      Feb 29 11:08:16 Debian authpriv.info dropbear[1820]: exit before auth (user ‘root’, 1 fails): Disconnect received
                      Feb 29 11:08:16 Debian authpriv.info dropbear[1821]: Child connection from 86.160.11.26:49552
                      Feb 29 11:08:19 Debian authpriv.warn dropbear[1821]: login attempt for nonexistent user from 86.160.11.26:49552
                      Feb 29 11:08:19 Debian authpriv.info dropbear[1821]: exit before auth: Disconnect received
                      Feb 29 11:08:19 Debian authpriv.info dropbear[1822]: Child connection from 86.160.11.26:50246
                      Feb 29 11:08:21 Debian authpriv.warn dropbear[1822]: bad password attempt for ‘root’ from 86.160.11.26:50246
                      Feb 29 11:08:21 Debian authpriv.info dropbear[1822]: exit before auth (user ‘root’, 1 fails): Disconnect received
                      Feb 29 11:08:22 Debian authpriv.info dropbear[1823]: Child connection from 86.160.11.26:50318
                      Feb 29 11:08:23 Debian authpriv.warn dropbear[1823]: login attempt for nonexistent user from 86.160.11.26:50318
                      Feb 29 11:08:24 Debian authpriv.info dropbear[1823]: exit before auth: Disconnect received
                      Feb 29 11:08:24 Debian authpriv.info dropbear[1824]: Child connection from 86.160.11.26:50984
                      Feb 29 11:08:26 Debian authpriv.warn dropbear[1824]: bad password attempt for ‘root’ from 86.160.11.26:50984
                      Feb 29 11:08:26 Debian authpriv.info dropbear[1824]: exit before auth (user ‘root’, 1 fails): Disconnect received
                      Feb 29 11:08:26 Debian authpriv.info dropbear[1825]: Child connection from 86.160.11.26:51059
                      Feb 29 11:08:29 Debian authpriv.warn dropbear[1825]: login attempt for nonexistent user from 86.160.11.26:51059
                      Feb 29 11:08:30 Debian authpriv.info dropbear[1825]: exit before auth: Disconnect received
                      Feb 29 11:08:30 Debian authpriv.info dropbear[1826]: Child connection from 86.160.11.26:51773
                      Feb 29 11:08:31 Debian authpriv.warn dropbear[1826]: bad password attempt for ‘root’ from 86.160.11.26:51773
                      Feb 29 11:08:32 Debian authpriv.info dropbear[1826]: exit before auth (user ‘root’, 1 fails): Disconnect received
                      Feb 29 11:08:32 Debian authpriv.info dropbear[1827]: Child connection from 86.160.11.26:51806
                      Feb 29 11:08:33 Debian authpriv.warn dropbear[1827]: login attempt for nonexistent user from 86.160.11.26:51806
                      Feb 29 11:08:34 Debian authpriv.info dropbear[1827]: exit before auth: Disconnect received

                      Bejutnia nem sikerült idáig, mert a root jelszó elég bonyolult, azon kívül egy felhasználó van, de ugye annak még a nevét sem tudja, bár ott a jelszó már könnyebb.
                      Mit lehetne ezzel kezdeni?

                    • Szerző
                      Bejegyzés
                    9 bejegyzés megtekintése - 21-29 / 29
                    1 2 3
                    • Be kell jelentkezni a hozzászóláshoz.