---

jeg har tydeligvis haft et angreb, som i min messages log ser således ud:

Oct 17 05:37:47 WebSrv rpc.statd[631]: gethostbyname error for
^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn\$+en hel
masse binært
Oct 17 05:37:48 WebSrv rpc.statd[631]: gethostbyname error for
^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn\$+en hel
masse binært

lidt søgning på nettet bekræfter min mistanke. Men jeg har ikke kunnet finde
nogen konklusion på om det kun er forsøg, eller der kan være anbragt noget.

har nogen kommentarer/viden?

finn

---

"CykelSmeden fra Aalborg" <skrald@acnord.SLET.dk> writes:

> har nogen kommentarer/viden?

Hvorfor har du åbent for RPC ude fra internettet? Du lader vel ikke
andre NFS-mounte dine diske eller andre ting hvor det er nødvendigt.

Kan du så tage og lukke det hul i din firewall.

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix

---

Det vil jeg så gøre. Jeg skal så lige til at finde ud af det der med
ipchains ;(
der er sikkert mange ting jeg skal have lagt ind, da jeg har brugt default
efter inst af RH7.1 www-server. jeg har accept for port 80, 21 og 22 samt 1
linie som hedder:
-A input -s0/0 -d0/0 -i eth0 -j ACCEPT
og derefter 6 definerede porte reject.
Betyder det ikke at ALT er åbent undtagen de efterfølgende? (tcp/udp 1023,
2049 7100 6000:6009) ?

finn


"Peter Makholm" <peter@makholm.net> skrev i en meddelelse
news:87vghe8fcp.fsf@xyzzy.adsl.dk...
> "CykelSmeden fra Aalborg" <skrald@acnord.SLET.dk> writes:
>
> > har nogen kommentarer/viden?
>
> Hvorfor har du åbent for RPC ude fra internettet? Du lader vel ikke
> andre NFS-mounte dine diske eller andre ting hvor det er nødvendigt.
>
> Kan du så tage og lukke det hul i din firewall.
>
> --
> Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
> og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
> -- Allan Olesen på dk.edb.system.unix

---

"CykelSmeden fra Aalborg" <skrald@acnord.SLET.dk> writes:

> -A input -s0/0 -d0/0 -i eth0 -j ACCEPT

Dette siger at alt som kommer ind på eth0 accepteres. Efterfølgende
regler bliver så aldrig brugt. Det er basalt set et brud på
grundprincippet i sikkerhed: Er det ikke nødvendigt, luk af for det.

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix

---

Tusind tak. -- Og den lever stadig som wwwserver
nu er jeg spændt på samba på lokalnettet imorgen.

Du skulle vel ikke have et bud på at lukke det rpc-halløj?

finn

"Peter Makholm" <peter@makholm.net> skrev i en meddelelse
news:87d73m8cgi.fsf@xyzzy.adsl.dk...
> "CykelSmeden fra Aalborg" <skrald@acnord.SLET.dk> writes:
>
> > -A input -s0/0 -d0/0 -i eth0 -j ACCEPT
>
> Dette siger at alt som kommer ind på eth0 accepteres. Efterfølgende
> regler bliver så aldrig brugt. Det er basalt set et brud på
> grundprincippet i sikkerhed: Er det ikke nødvendigt, luk af for det.
>
> --
> Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
> og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
> -- Allan Olesen på dk.edb.system.unix

---

Peter Makholm wrote:

> grundprincippet i sikkerhed: Er det ikke nødvendigt, luk af for det.

Eller bedre: Tillad kun det nødvendige. Whitelists er bedre end
blacklists.

--
Hroi Sigurdsson hroi@asdf.dk

---

Enig!

Mit problem er at jeg som bedstefar /4 er begyndt at bruge en masse nye
ting, og lærdommen kommer ikke med samme hast som problemerne.

finn

"Hroi Sigurdsson" <hroi@asdf.dk> skrev i en meddelelse
news:3BCE235E.1E059F80@asdf.dk...
> Peter Makholm wrote:
>
> > grundprincippet i sikkerhed: Er det ikke nødvendigt, luk af for det.
>
> Eller bedre: Tillad kun det nødvendige. Whitelists er bedre end
> blacklists.
>
> --
> Hroi Sigurdsson hroi@asdf.dk