Forum Debian Users Gang

sqrtek · 2014-04-12 22:06:50

Chciałbym zapytać czy można stworzyć w jakiś sposób aby przy próbie skanowania portów Serwera pokazywał np. taki nmap, że SSH działa np. na porcie 22, a faktycznie działa na zupełnie innym? Aktualnie używam na Serwerze Portsentry i może za pomocą tego można w jakiś sposób takie coś zrobić? Aktualnie przy próbie skanowania Serwera w ogóle nie wyświetla mi że SSH działa, więc to trochę dziwne jest. Z Góry dzięki za odpowiedź.

Jacekalex · 2014-04-12 22:15:36

SSH na dowolnym porcie, na porcie 22 możesz wystawić TARPIT z pakietu xtables-addons.

mati75 · 2014-04-12 22:19:29

Możesz też dać SSH na porcie powyżej 10000, nmap go nie zobaczy.

sqrtek · 2014-04-12 22:24:14

[quote=Jacekalex]SSH na dowolnym porcie, na porcie 22 możesz wystawić TARPIT z pakietu xtables-addons.[/quote]
A czy do tego ogólnie firewall iptables musi być skonfigurowany w systemie?

[quote=mati75]Możesz też dać SSH na porcie powyżej 10000, nmap go nie zobaczy.[/quote]
Hmm, nmap mi nie widzi SSH :D Tylko chodzi mi o to żeby go zobaczył, ale pod 'fakeportem' :D.

PS: Ogólnie to chodziłoby mi o to również aby jeśli np. nmap wykrywa mi usługę WWW na porcie 80 wraz z nazwą i wersją Apacha, to chciałbym zmienić "wersję" apacha, na inną niż jest w rzeczywistości lub po prostu zmienić nazwę usługi na nieprawdziwą, np. mam na serwerze Apacha, a nmap chciałbym aby wykrywał np. "nginx" lub tomcat itd.

Ostatnio edytowany przez sqrtek (2014-04-12 22:33:16)

Yampress · 2014-04-12 22:41:49

firewall to podstawa.

mati75 · 2014-04-12 22:46:16

http://www.howtoforge.com/changing-apache-server-name-to-whatever-you-want-with-mod_security-on-debian-6 tu jest o zmianie server header

Jacekalex · 2014-04-12 23:13:07

A można też dać SSH np na port 11978, wcześniej obejmując porty od 2000 do 25000 na firewallu hashlimitem -3 próby (połączenia NEW) na godzinę, przy czwartym ban na godzinę.
Potem wpuszczasz SSH na 11978, ale każdy skaner, który próbował wcześniej skanować więcej niż 3 -5 portów, jest już zbanowany.

W ten sposób o SSH się świat przez wiele lat nie dowie. :D

Ostatnio edytowany przez Jacekalex (2014-04-13 02:18:15)

morfik · 2014-04-12 23:19:24

Nawet działa.

sqrtek · 2014-04-12 23:44:56

[quote=mati75]http://www.howtoforge.com/changing-apache-server-name-to-whatever-you-want-with-mod_security-on-debian-6 tu jest o zmianie server header[/quote]
Świetnie, co do zmiany na fake 'nazwe' działa z Apachem, choć nie do końca ten tutorial jest poprawny, ponieważ należało dodać "SecServerSignature '' " do mods-enabled/mod-security.conf i wtedy zadziałał :).

[quote=Jacekalex]A można też dać SSh np na port 11978, wcześniej obejmując porty od 2000 do 25000 na firewallu hashlimitem -3 próby (połączenia NEW) na godzinę, przy czwartym ban na godzinę.
Potem wpuszczasz SSH na 11978, ale każdy skaner, który próbował wcześniej skanować więcej niż 3 -5 portów, jest już zbanowany.

W ten sposób o SSH się świat przez wiele lat nie dowie. :D[/quote]
Gdyby nie to że do tego Serwera mam dostęp jedynie przez SSH to chyba bym się nawet pobawił z tym iptables, a tak to pokręcę reguły i się nie zaloguję :D.
Zresztą ten IPtables straszny się wydaje na początek.

Ostatnio edytowany przez sqrtek (2014-04-12 23:47:44)

lis6502 · 2014-04-13 09:24:49

Musisz pozostawić sobie jakiegoś backdoora, przetestować to i dopiero zabierać się do zabawy. Niestety, mając swoją maszynę tam gdzieś w świecie znajomość zdalnej konfiguracji potencjalnie blokujących Ci dostęp usług to podstawa. Co z tego że zespoofujesz wersje usług, kiedy one wszystkie dostępne będą dla każdego z zewnątrz, a byle scriptciak z nmapem zrobi Ci ddosa? :P
Wygodne backdoory:
- port knocking (dobijasz się do zdefiniowanych portów w określonym czasie i to odpala np skrypt usuwający reguły firewalla)
- keep alive (serwer cyklicznie np co minutę sprawdza czy ma łączość ze światem, w razie jej braku odpala instancję sshd na awaryjnym porcie)
Jak widzisz, możliwości ograniczna jedynie wyobraźnia :)

sqrtek · 2014-04-13 23:56:30

[quote=lis6502]Musisz pozostawić sobie jakiegoś backdoora, przetestować to i dopiero zabierać się do zabawy. Niestety, mając swoją maszynę tam gdzieś w świecie znajomość zdalnej konfiguracji potencjalnie blokujących Ci dostęp usług to podstawa. Co z tego że zespoofujesz wersje usług, kiedy one wszystkie dostępne będą dla każdego z zewnątrz, a byle scriptciak z nmapem zrobi Ci ddosa? :P
Wygodne backdoory:
- port knocking (dobijasz się do zdefiniowanych portów w określonym czasie i to odpala np skrypt usuwający reguły firewalla)
- keep alive (serwer cyklicznie np co minutę sprawdza czy ma łączość ze światem, w razie jej braku odpala instancję sshd na awaryjnym porcie)
Jak widzisz, możliwości ograniczna jedynie wyobraźnia :)[/quote]
Hmm zainteresował mnie temat tych backdoorów, i wziąłem się za zrobienie firewalli, zarówno na PC jak i Serwerze ( Najpierw przetestowałem łączność przez SSH na wirtualce :) ).
I dlatego mam pytanie, czy dobrze te firewalle zrobiłem? Jeśli możecie to rzućcie okiem na nie, i ewentualnie napiszcie co jest nie tak.

PC

Kod:

#!/bin/sh

iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

co do firewalla na PC to mam pytanie czym się różnią te dwie reguły, ponieważ nie wiedziałem którą zastosować :/

Kod:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED

Server

Kod:

#!/bin/sh

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 1120 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 2049 -j ACCEPT

A co do mojego konfiga Serwera to jeśli można to prosiłbym o wytłumaczenie o co chodzi w tych linijkach kodu:
Czy one w ogóle te linijki kodu są konieczne? Domyślam się że chodzi coś związanego z dostępem publicznym, ale gdy skonfiguruję Router i tam ustawię NATowanie, to po prostu czy ten kod jest poniżej czy nie, to Usługi są dostępne w internecie tak czy siak.

Kod:

iptables -X
iptables -t nat -X
iptables -t nat -F

Z Góry dziękuję.

Ostatnio edytowany przez sqrtek (2014-04-14 00:10:54)

uzytkownikubunt · 2014-04-14 11:25:34

663

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:49:44)

sqrtek · 2014-04-14 13:48:36

[quote=uzytkownikubunt]Te trzy linijki z parametrami X i F usuwają poprzednie reguły. Jeśli by tego nie robiły, to regułki by się dopisały do istniejących na końcu co w wielu przypadkach oznaczałoby ich nie użycie, bo regułki są stosowane od początku po kolei.[/quote]
Dzięki za odpowiedź, to jeszcze pytanie czy dobrze są te firwalle skonfigurowane? czy taki na początek i na PC i Serwer wystarczy?

Time (s)	Query
0.00009	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00094	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.33.230' WHERE u.id=1
0.00089	UPDATE punbb_online SET logged=1733053080 WHERE ident='3.145.33.230'
0.00052	SELECT * FROM punbb_online WHERE logged<1733052780
0.00085	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25604 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00245	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25604 ORDER BY p.id LIMIT 0,25
0.00085	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25604
Total query time: 0.00668 s

Forum Debian Users Gang

Ogłoszenie

#1 2014-04-12 22:06:50

sqrtek - Użytkownik

FakePort - SSH

#2 2014-04-12 22:15:36

Jacekalex - Podobno człowiek...;)

Re: FakePort - SSH

#3 2014-04-12 22:19:29

mati75 - Psuj

Re: FakePort - SSH

#4 2014-04-12 22:24:14

sqrtek - Użytkownik

Re: FakePort - SSH

#5 2014-04-12 22:41:49

Yampress - Imperator

Re: FakePort - SSH

#6 2014-04-12 22:46:16

mati75 - Psuj

Re: FakePort - SSH

#7 2014-04-12 23:13:07

Jacekalex - Podobno człowiek...;)

Re: FakePort - SSH

#8 2014-04-12 23:19:24

morfik - Cenzor wirtualnego świata

Re: FakePort - SSH

#9 2014-04-12 23:44:56

sqrtek - Użytkownik

Re: FakePort - SSH

#10 2014-04-13 09:24:49

lis6502 - Łowca lamerów

Re: FakePort - SSH

#11 2014-04-13 23:56:30

sqrtek - Użytkownik

Re: FakePort - SSH

Kod:

Kod:

Kod:

Kod:

#12 2014-04-14 11:25:34

uzytkownikubunt - Zbanowany

Re: FakePort - SSH

#13 2014-04-14 13:48:36

sqrtek - Użytkownik

Re: FakePort - SSH

Stopka forum

Informacje debugowania