Re: intrusione
Il giorno 12/lug/2013, alle ore 08:55, valerio <valerio1950@teletu.it> ha scritto:
>> faccio un aggiornamento rapido della situazione (giusto per condividere
>> la paradossale situazione):
>>
>> mi sono connesso con irc all'ip e c'erano due canali, entrato nel canale
>> chmod ho beccato sto "Gabryel" che è il tizio che ha appunto (tramite
>> bruteforce) hackato il server.
>>
>
> scusate, prima non ho firmato il messaggio...
>
> parlando seriamente, ma è così facile allora entrare in un server? come si può proteggere il sistema?
staccandolo dalla rete!
a parte le battute, proteggere un server e' cosa complessa e continua.
firewall, policy di accesso restrittive, aggiornamento continuo, cambio continuo di password, attenzione a ogni particolare esposto...., ban di ogni ip sospetto o quantomeno dubbio. un gran casino. E piu' roba gira sul server piu' roba e' violabile. NON ESISTE LA PROTEZIONE ASSOLUTA.
Se quanto affermato da questo Gabryel l'accesso e' avvenuto tramite bruteforce, allora posso immaginare questo scenario, e Pol mi vorra' perdonare le mie inesattezze - il server e' suo e lui sa' come sta' messo:
a: uso di porte standard per i servizi di accesso. Mettere, p.es. l'ssh in ascolto sulla porta di default la 22, consente a ogni minimo bot di divertirsi a fare test a rotta di collo. Cambiare porta e' utile non in termini di sicurezza quanto a limitare il rumore nei log e consentire meglio il lavoro di controllo. Certo, uno che punta a quella macchina, si fa' una bella scansione delle porte e scopre tutto pero', una porta non standard evita i sistemi automatici, il log e' piu' pulito e analizzabile.
b: per quanto la password possa essere complessa, il brute force e' veramente un dito in un occhio: quindi giu' di fail2ban stretto: al terzo tentativo stai fuori 2 giorni e per far contento l'hacker di turno, cambio periodico della password soprattutto nei sistemi critici e di nuovo analisi dei log.... se questo insiste, nonostante i blocchi, meglio cambiare approccio. Pol, hai gia' fatto un'analisi dei log della macchina (che tra l'altro dovrebbero essere inviati a un altro server in modo che nonostante la compromissione del primo, le registrazioni vanno da un'altra parte). Ha ricordiamoci di cambiare password di tanto in tanto. Magari, laddove possibile, usiamo certificati + password.
c: analisi dei log: a parte i tool che gia' fanno un ottimo lavoro, lo sguardo critico dell'occhio consente di tirar fuori informazioni qualche volta utili.
d: se non e' entrato col brute force, come e' entrato? difetto software? debolezza di configurazione? come stiamo con aggiornamenti e configurazioni?
e: intanto banniamo l'ip dubbio. se l'amico vuole entrare, deve passare per un altro server che dovra' comunque essere compromesso a sua volta... altra faticaccia. Se e' bravo ci riesce, altrimenti viene beccato da noi e dall'intermediario.
a mio personalissimo avviso: la guerra e' lunga ed e' fatta di una alternanza di vittorie. Una volta Pol, una volta Gabryel, poi Pol capisce, e tocca di nuovo a lui segnare il punto. Non lo dico con fatalismo, ma come prova di fatto che in rete gli approcci sono infiniti e le tecniche difensive sono altrettanto infinite. E tutto cambia a ogni minimo apt-get upgrade. L'unica sicura e' quella che non si puo' adottare ovvero la prima riga che ho scritto, a meno che non ti si freghino fisicamente il server!
mauro
Reply to: