---

Hejsa!

Jeg vil bare lige give et godt råd om at åbne en public server på
nettet med links (evt. fra søgemaskine) Det er lidt som at åbne en
saloon i det vilde west... Man skal have en ordentlig firewall og
intusiondetection! Samt en realtime loganalyzer/response tool så man
kan lukke maskinen ned hvis der bliver detected ulovlig intrengen...

Det er egentlig urtoligt at der skal så meget til, men min server har
været under næsten konstant angreb siden den kom på nettet!

- Mazzachre

---

Mazzachre wrote:

> Det er egentlig urtoligt at der skal så meget til, men min server har
> været under næsten konstant angreb siden den kom på nettet!

Som fx. hvad? Hvad har du installeret da?

--
Mange venlige hilsner / Kind regards
Kasper Myram <kasper@myram.dk>

---

On Wed, 24 Jan 2001 02:04:46 +0100, Kasper Myram <kasper@myram.dk>
wrote:

>> Det er egentlig urtoligt at der skal så meget til, men min server har
>> været under næsten konstant angreb siden den kom på nettet!
>Som fx. hvad? Hvad har du installeret da?

?? Hvad mener du??
Jeg kører en web og en ftp server, og så ellers hvad jeg skal bruge af
interne services (post, dns, drev etc...)

- Mazzachre

---

On Tue, 23 Jan 2001 20:17:29 +0100, Mazzachre
<muhmuhmuhmuhmuh@hotmail.com> wrote:

>Det er egentlig urtoligt at der skal så meget til, men min server har
>været under næsten konstant angreb siden den kom på nettet!

Jeg har været på med en linuxbox siden medio december... i går kiggede
jeg for morskabens skyld (og fordi dit indlæg fangede min interesse)
mine logs igennem....

Jeg har haft EET "forsøg" på at logge ind med et brugernavn, jeg
aldrig har set før. Og da fætteren havde prøvet tre gange droppede han
det...

Nu skal man jo kende lidt til sikkerhed... fx. er der kun et par få
porte, der bliver forwardet igennem.

Bl.a. 20, 21, 22, 80 og en range af 20 high-ports til ftp...

Som sagt lidt over en måned og kun et ukritisk "angreb"...

Jeg har svært ved at genkende det med saloonen...

Svenne
--
Mail usenet@krap.dk - svenne@krap.dk - PGP key id : 0xDF484022
ICQ: 5434480 - http://www.krap.dk - http://www.krap.net
PGP Key http://keys.pgp.dk:11371/pks/lookup?op=get&search=0xDF484022

---

"Svenne Krap" <usenet@krap.dk> skrev i en meddelelse
news:q5gu6tc5ltpc0ps1kqdvdl3hk4ba1qs8jp@4ax.com...
> On Tue, 23 Jan 2001 20:17:29 +0100, Mazzachre
> <muhmuhmuhmuhmuh@hotmail.com> wrote:
>
> >Det er egentlig urtoligt at der skal så meget til, men min server har
> >været under næsten konstant angreb siden den kom på nettet!
>
> Jeg har været på med en linuxbox siden medio december... i går kiggede
> jeg for morskabens skyld (og fordi dit indlæg fangede min interesse)
> mine logs igennem....
>
> Jeg har haft EET "forsøg" på at logge ind med et brugernavn, jeg
> aldrig har set før. Og da fætteren havde prøvet tre gange droppede han
> det...
>

> Som sagt lidt over en måned og kun et ukritisk "angreb"...
>
> Jeg har svært ved at genkende det med saloonen...


Så er det jo spørgsmålet om du ser alt i dine logs, hvis du kun logger de
ting som systemet sætte på som standart er det ikke meget.

Der er jo trods alt andre angreb end lige at prøve at logge ind med et
brugernavn.

Har du prøvet f.x. at køre portsentry på maskinen?

Det kan da self. også være at du bare er heldig, men på vores servere ser
jeg da ca. 5-10 portscan on dagen + alle mulige andre former for
"angreb/probes"

/Brian

---

"Brian Lund Larsen" <brian@zone.dk> writes:

> Så er det jo spørgsmålet om du ser alt i dine logs, hvis du kun logger de
> ting som systemet sætte på som standart er det ikke meget.

Man logger selvfølgelig kun det man er sårbar over, alt andet vil være
en sikkerhedsrisiko i sig selv. På et eller andet tidspunkt, så kommer
der en buffer overflow i et anti-portskannings værktøj og så skal
kommer der gang i festen.

---

On Wed, 24 Jan 2001 21:56:04 +0100, Svenne Krap <usenet@krap.dk>
wrote:

Hejsa!

>>Det er egentlig urtoligt at der skal så meget til, men min server har
>>været under næsten konstant angreb siden den kom på nettet!
>Jeg har været på med en linuxbox siden medio december... i går kiggede

>Jeg har haft EET "forsøg" på at logge ind med et brugernavn, jeg
>aldrig har set før. Og da fætteren havde prøvet tre gange droppede han
>det...

Der er ikke særlig mange der prøver at logge ind på maskinen som
brugere (Det har nok noget at gøre med at kun port 22(SSH) er åben for
login...

Til gengæld er der mange der scanner port 25 (MailXfer deamon) og port
113 (Ident) og port 21 og port 80 for at se om de kan komme igennem og
kører kommandoer på maskien (Hvilket endnu ikke er lykkedes nogen) En
del prøver også forgæves med KissOfDeath efter de har spurgt min Ident
deamon hvad for en maskine jeg har (Den svarer med noget forskelligt
hver gang...)

Det jeg mest for i min log er alle de hits folk laver på min firewall

>
>Nu skal man jo kende lidt til sikkerhed... fx. er der kun et par få
>porte, der bliver forwardet igennem.

Se nu er min maskine direkte på nettet gennem et ATM kort (HURRA FOR
StjæleDK!) så derfor kan jeg ikke selectere hvilke porte der løber ind
på maskinen, jeg må bare filtre på dem jeg ikke ønsker... Derfor kan
jeg se præsis hvor mange der prøver at scanne min maskine...

>Jeg har svært ved at genkende det med saloonen...

Kører du web og ftp server for omverdenen??

Det er først efter at jeg startede på at kører en "rigtigt" web og ftp
server at jeg har været under angreb (At folk har kørt DoS mod Http og
ftp og prøvet alle mulige måder for at få adgang gennem Apache og
ProFTPd til at kører kommandoer...

- Mazzachre