Hozzászólások
-
Bejegyzés
-
„az átállás óta folyamatosan jön a támadás…”
ez _konkretan_ mit jelent?
mert ha csak a tuzfal rugdos szet 100 kapcsolatot masodpercenkent, abban nincs semmi „kulonos”, 99% wines trojai progik probalkoznak; eleg csak 1x 1db p2p halora csatlakozni, es hetekig igy lesz;
ha nagyon nem tetszik a dolog, akkor kezd el letiltani az ipekt, amirol „tamadas” er, firestarter eseten: /etc/firestarter/blocked-portsbekötötték másik bérelt vonalat, átconfigoltam szerver ip címét stb és amint felállt az új ipvel azonnal jöttek is a támadások…
ebbõl gondolom, hogy az elõzõ gazda rosszalkodhatott…
ip tiltáson gondolkodom én is, de eddig kb 50 ip-t számoltam csak…Ja, vagy reconnect, és reménykedj, hogy új IPt kapsz 🙂
fix ip-nél nem…
szolgáltatóváltás volt és úgy néz ki a megörökölt ip-n valaki anno nagyon csúnya dolgokat mûvelhetett, mert az átállás óta folyamatosan jön a támadás…
ebbõl új ip kérés lesz…Nálunk a cégnél van kb 40 gép, mindegyiken alap win98 (esetleg me vagy 95). Mielõtt a céghez kerültem a következõ, nem túl biztonságos:), módszert alkalmazták:
Minden gépbe 2 vinyó, az egyik rackben. A Fixen volt egy jogtiszta 98 és ennyi. A rackben lévõm meg win+office stb.
Na mondom ez így nem lesz jó, mert bsa nem fogja megvárni, hogy mindenki egyesével kivegye a kis rackjét stb 🙂
Kapott szépen mindenki Magyar nyelvû OO-t. Persze eleinte nyávogás, hogy nem jó, mert nem pont ugyanott van az az ikon stb, de végülis megszokták. Most már semmi gond vele és a cégvezetõ is nyugodtan aludhat éjszakánként (szoftverügyileg legalábbis;) )Szóval egy cégnél az alap win elmegy egy új géppel és hozzá tökéletesen megfelel az OO! Ha valaki nem akarja megtanulni, más cégnél bizonyára M$ Office van, szabad a pálya 🙂
Nem mindig a drágább a jobb!újrateszeme gészet, úgyis régi volt suse 8.1
de azért vezessük végig, hogy lehet az efféle rootkitektõl megszabadulni!chkrootkit megtalálta, suckit a /sbin/init -ben!
múltkor volt már egy ilyen egyik ismerõsömnek, õ nem tudta megcsinálni. Hogy tudom helyretenni? rpm-ben van?hát nem találok semmi rendelleneset…
csak hogy biztos legyek magamban:
mit nézzek meg, hogy mik indulnak el?
/etc/init.d
még?tcp 0 0 213-163-18-:filenet-nch 66.96.90.68:38912 ESTABLISHED root 3207 –
ez itt tuti nem az enyém!
hogy tudom kiirtani?linux:/ # ps -ax
PID TTY STAT TIME COMMAND
1 ? S 0:04 init
2 ? SW 0:00 [keventd]
3 ? SWN 0:00 [ksoftirqd_CPU0]
4 ? SW 0:00 [kswapd]
5 ? SW 0:00 [bdflush]
6 ? SW 0:00 [kupdated]
7 ? SW 0:00 [kinoded]
9 ? SW 0:00 [mdrecoveryd]
12 ? SW 0:00 [kreiserfsd]
69 ? SW netstat -tuaep
(No info could be read for „-p”: geteuid()=500 but you should be root.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 213-163-18-:filenet-nch 66.96.90.68:38912 ESTABLISHED root 3207 –
tcp 0 0 *:ident *:* LISTEN root 45 –
tcp 0 0 *:ssh *:* LISTEN root 248809 –
tcp 0 0 213.163.18.115:ssh 80.244.97.79:52045 ESTABLISHED root 235029 –
tcp 0 268 213.163.18.115:ssh 80.244.97.79:51686 ESTABLISHED root 234411 –
amtisrac@linux:~>Akkor még annyi lenne, hogy a kinti gép IP címét, vagy ip tartományát is beállíthatod iptablesbe, így csak onnan jöhet be kapcsolat!
hát ez is elég széles lista lesz 🙂 persze ez már mind részletkérdés.
egy apróság még. ha irc szerverre szeretnék lépni kidob, hogy k-line:
Kill line active: t/o, requested (ei@ and mulder1@)
nem tudom honnan veszi, hogy ez az identem, mert nem fut identd
el sem indul, mert azt mondja, hogy a port foglalt
legutóbbi hsz