Centos 6

Takeyuuki, on 21 octombrie 2014 - 21:19, said:

Cred si eu , Dar nu apuc sa fac nimic si imi baga alea repede banuiesc ceva din config dar .... ce , si de unde.

cui ii trebuie user si parola , si de ce baga kernerul si ala cu CentOS si .... minuni

Da un reset la switch si intra din nou in minicom, fa un print si pune-l aici.

Takeyuuki, on 21 octombrie 2014 - 21:44, said:

nu pot face asta , pe sw sunt conectati la net ... am copiat din consola ce-mi apare , alea multe de mai sus

asa trebuie sa apara cand ma conectez initializing modem  , nu altceva , cu connect sau .... ce stiu eu

Edited by laurentiu33, 21 October 2014 - 21:48.

Quote

Asta indica ca esti pe switch deja. Intra in minicom si da comanda sh ip int br posteaza outputul comenzii aici cu editarile de rigoare.

Edited by Takeyuuki, 21 October 2014 - 22:07.

Takeyuuki, on 21 octombrie 2014 - 22:07, said:

sunt intrat dar imi baga balariile alea

nu pot da nici o comanda ca tot alea mi le arata cu incorect login si CentOS si kerner si alea de mai sus

no a mers de 2 ori si gata iara bage delea

incerc mai tarziu

ms mult , Noapte buna .

Edited by laurentiu33, 21 October 2014 - 22:21.

mergeeeeee , am salvat configul in cisco si-l pornesc cu " minicom cisco " si merge

Buna , numai eu am probleme , ca de mult nu sa mai scris nimic , si tot eu am fost ultimul

Problema mea ar fi urmatoarea :

Am in server pe CentOS si in data de 3 un chinez mi la spart si da flood cu 80 Mb zilnic

recomandati-mi un firewall sau ceva sa pot si vedea cine si cand a intrat pe server , ca in loguri nu gasesc nimic nou ( numai ip-ul meu )

A reusit sa ia root pe server, sau e pe cont de utilizator limitat?

iptables + snort + fwsnort + psad.
psad il configurezi sa iti trimita mail la o adresa de mail sa zicem cand se conecteaza cineva la masina prin ssh, port 22/tcp default.
Sau citeste http://www.tecmint.c...lerts-in-linux/

Edited by Takeyuuki, 09 January 2015 - 23:34.

Sau iti salvezi configurile mai bine si-o iei de la capat frumos cu serverul N-ai idee ce pot lasa baietii astia prin sistem, mai ales daca cumva a prins si acces de root.
Data viitoare blochezi accesul ssh cu parola - lasi doar key auth, eventual limitezi de unde se poate conecta cineva la ssh sau arunci si-un amarat de fail2ban.

flegma, on 09 ianuarie 2015 - 20:24, said:

nu ma prea pricep dar comanda  " last " nu am vazut nici un IP nou , m-am uitat prin loguri si ... nimic suspect , unde as mai putea cauta
se poate sa fie un script bagat intr-o pagina web de pe server si de acol sa dea flood , inca nu m-am uitat in toate paginile
am gasit in multe pagini ceva php dar criptate

am cacti instalat pe server , ar fi putut intra prin el , sau prin sql ? sau prin ce se poate intra ca habar n-am

Edited by laurentiu33, 10 January 2015 - 14:36.

Daca nu stii cum sa te uiti sau ce sa cauti, mai bine faci cum a zis colegul @Huza si reinstalezi.

sper ca prima data dupa atac ai schimbat absolut toate parolele de pe server si ai pus unele complicate (minim 8 caractere, o combinatie de litere mici/mari, cifre si unul-doua simboluri speciale), ca sa impiedici pe viitor un 'ssh brute force attack', plus limitarea accesului la server (lasi doar de pe ip-urile tale - hint: hosts.allow, hosts.deny sau iptables - )...
dupa pasii astia incepi diagnosticul (cauti prin log-uri cum a reusit sa intre, scanezi dupa rootkit in sistem cu diverse tool-uri gen rkhunter, chkrootkit) si reinstalarea (degeaba reinstalezi aceleasi pachete la care-ai salvat configu' si ai schimbat parolele, daca atacatorul a expoatat o vulnerabilitate remote la unul din softurile cu acces public -apache, php, ...), cu masurile suplimentare de protectie, cum a zis colegul Huza (doar ssh key-auth - cu cheie privata protejata de parola/passphrase -, fail2ban - care se foloseste de iptables - sau denyhosts - care se foloseste de hosts.deny -)... in plus, obisnuieste-te sa instalezi periodic toate update-urile de securitate pentru distributia ta (centos in cazul asta) ... si ar mai fi multe de spus pe partea de security & enforcement, mai avansate, dar ma opresc aici

marco71, on 10 ianuarie 2015 - 17:29, said:

inca caut ce si de unde face , daca pun IP real pe sw , incepe iarasi flodul , iar apache l-am oprit , deci nu cred ca e din web flood-ul

ii tot da in gura la un IP din china

in loguri nu mai este nimic din data de 3 ( de cand a intrat ) pana ieri ce am fost anuntat de provider ca fac flood .
am instalat ca nob-ul teamspeak server pe root cand m-au atentionat sa nu fac asta , se poate sa fie o bresa in el
mai am 8 servere in care inca n-a intrat nimeni , cred ca de la TeamSpeak ala
am dat restart la sw si tot flodeaza

cam pe unde sa caut scripturi care se activeaza la startup

ce inseamna "daca pun IP real pe sw" ? dupa stiinta mea, sw=switch, or switch cu ip real public e switch cu management, vlan-uri si daca e si pe post de router, atunci e switch layer 3; daca serverul tau e in spatele acelui L3-switch, intr-un DMZ impreuna cu alte servere, posibil sa-ti fi hackuit switch-ul ... ca sa fii sigur, scoate toate cablurile din el conectate pe reteaua interna si lasa doar cablul de la ISP si vezi daca mai floodezi sau nu, daca nu mai floodezi, conectezi pe rand cate-un server si descoperi vinovatul... stii sa te uiti in log-uri pe echipamentul tau de rutare ip, fie ca e router sau L3-switch?
scripturile de startup pe servere sunt in /etc/init.d/, dar ai putea avea si script-uri cu 'scame' prin cron, daca flood-ul nu se manifesta chiar de la pornirea/reboot-ul serverului

tcp     0   0 x.y.z.23:53015 192.126.126.64:mxi   ESTABLISHED
IP Address: 192.126.126.64
City: Los Angeles

da, ip-ul ala apartine unei firme de hosting (chineze se pare, pe nume Hostspace ) din LA, California; daca suspectezi ca un client de-al lor de hosting iti face probleme, poti trimite un mail in engleza la ei cu log-urile sau conexiunile de la netstat (cum ai pus mai sus, dar cu ip-ul tau real vizibil), dar trebuie sa specifici si data si ora convertita la ora lor locala si-i rogi sa investigheze totusi la ip-ul ala remote e un serviciu public pe portul 8005/tcp (un tomcat sau un stream radio iTunes) si conexiunea e initiata de la tine (daca nu cumva asculta vreun malware la tine pe portul 53015) ...
P.S. tot n-ai zis nimic de echipamentul tau de rutare, de serverul ala CentOS 6, daca are ip public sau privat, in spatele routerului, ce servicii publice ruleaza pe el (ai pomenit vag de un cacti si sql), s.a.m.d.

marco71, on 10 ianuarie 2015 - 19:05, said:

califormianul era conectat la mine si dadea flood la un chinez , cu tcpdump am vazut si chinezu care incasa

e IP real , nu are router in fata

momentan rula doar cacti pe el si  niste cron-uri sa trimita SMS automat  la intai si 15 ale lunii

parola de root era najpa oricum ...

am restrictionat accesul ( din iptables ) la ssh numai de pe IP-urile mele , dar portul 80 nu-l pot restrictiona , ca ma uit la grafice de pe tote wirelesurile din oras + de pe orange

la asta-i dadea in gura

IP address122.228.245.9
Hostname122.228.245.9
Location of IP address 122.228.245.9
Lookup information about the location associated with the IP address 122.228.245.9.
CityHangzhou (20% confidence)
SubdivisionZhejiang Sheng (33) (60% confidence)
CountryChina (CN) (99% confidence)
ContinentAsia (AS)
Time zoneAsia/Shanghai

Edited by laurentiu33, 10 January 2015 - 19:29.