Forum Debian Users Gang

pavel142 · 2010-05-07 16:58:19

Witam, jestem nowy na forum i chciałbym poprosić o pomoc.

Chodzi o to, że 3 dni temu, kiedy to po raz pierwszy odpaliłem pulpit zdalny z menu System > Zdalny Pulpit z opcją bez podawania hasła, ale tylko z akceptacją, miałem dzisiaj i wczoraj 1-2 połączenia od nieznanych mi adresów IP. Wczoraj było to IP z hostem z Japonii, a dzisiaj z Meksyku. W jaki sposób oni się w ogóle dowiadują o tym, że mam włączony pulpit zdalny na porcie 5800 (VNC) oraz znają moje IP? To jakieś boty skanujące porty na danych adresach IP? Nie mogę tego zrozumieć. Nie instalowałem żadnych pierdołek poza apache2, mysql, ssh i vsftpd. W jaki sposób mógłbym się przed nimi zabezpieczyć? Proszę o pomoc!

Dołączam screenshota:
[img]http://i41.tinypic.com/ff642a.jpg[/img]

Pozdrawiam

Ostatnio edytowany przez pavel142 (2010-05-07 19:14:10)

qluk · 2010-05-07 18:11:59

Na chybił-trafił, po drugie puszczasz to niefiltrowane w siec? Glupota.

Napisz do czego Ci pulpit zdalny bez hasła na zewnątrz puszczony, a z autoryzacją, jakie łącze stałe/dynamiczne IP.
A ruch z tych sieci na ten port możesz wyciąć

Kod:

iptables -A INPUT -s 190.50.0.0/16 --protocol tcp --destination-port 5800 -j DROP

Ostatnio edytowany przez qluk (2010-05-07 18:22:01)

urbinek · 2010-05-07 18:21:12

- zmień port na inny
- denyhost / fail2ban

pavel142 · 2010-05-07 18:35:43

urbinek,
Do pulpitu łączą się różne hosty, więc dodawanie ich co chwilę byłoby męczące. Port coś pomoże? Wątpię.

qluk,
IP mam stałe. W jaki sposób mógłbym puścić przez filtrowanie? Pulpit jest widziany z zewnątrz ze względu na to, by mieć dostęp i np. monitorować ściąganie plików z Internetu.

Dzięki wszystkim za odpisanie.

Ostatnio edytowany przez pavel142 (2010-05-07 18:35:56)

Bodzio · 2010-05-07 18:56:13

a konsolowe ściąganie i podgląd na screenie ??

pavel142 · 2010-05-07 18:57:37

W sumie też dobry pomysł, jednak z RS nie ściągnie wgetem. jDownloader niestety jest tylko na X :(

andreq · 2010-05-07 19:05:50

Najpierw ustawiasz domyślną politykę łańcucha INPUT na DROP

Kod:

iptables -P INPUT DROP

zezwalasz na połączenia z localhost

Kod:

iptables -A INPUT -i lo -j ACCEPT

potem zezwalasz na połączenia z określonych hostów:

Kod:

iptables -A INPUT -p tcp --dport 5800 -s xxx.xxx.xxx.xxx -j ACCEPT

Oczywiście za xxx.xxx.xxx.xxx, wstawiasz ip hostów, z których się łączysz. Tylko przy uruchamianiu innych usług musisz pamiętać, że masz domyślnie zablokowany ten łańcuch.

PS. Poczytaj jakiś poradnik o iptables - warto...

pavel142 · 2010-05-07 19:13:58

Dzięki :) Temat do zamknięcia. Gdyby była tu jakaś reputacja, to bym ci ją dodał, ale mniejsza z tym.

Pozdrawiam

Bodzio · 2010-05-07 20:02:16

Tu nie ma reputacji, tu się po prostu lubimy :)

urbinek · 2010-05-07 20:07:50

[b]pavel142[/b], chyba się nie zrozumieliśmy
skoro masz zew IP i uruchomione jakieś IP to denyhost zablokuje ci większość bootów latających w sieci
taka profilaktyka :P

pavel142 · 2010-05-07 20:49:23

Aha, tego nie wiedziałem. Przed chwilą puściłem apt-geta na to ;)
Wracając do pulpitu - proces zostawię wyłączony, a włączę wtedy, kiedy będzie to potrzebne z uwierzytelnieniem na jakieś ciężkie hasełko :D

Pozdrawiam

micromachine · 2010-05-10 22:30:40

eeee a ja bym sie zastawił nad FreeNX lub czyms podobnym np:

"NoMachine NX is an enterprise-class solution for secure remote access, desktop virtualization, and hosted desktop deployment built around the self-designed and self-developed NX suite of components. Thanks to its outstanding compression, session resilience and resource management"

exehbs · 2010-05-11 14:32:00

Też zdecydowanie od VNC wolę NX. Zwłaszcza jeśli zostawiasz sobie zdalny dostęp przez SSH.

pavel142 · 2010-05-14 22:29:41

Właśnie dzisiaj skonfigurowałem NX'a i działa świetnie, przede wszystkim szybciej od VNC. Pytanie jest jedno, czy jest jakaś komenda sprawdzająca ile osób, albo kto jest aktualnie zalogowany na NX'ie?
Btw. ustawienie hasła na VNC i zainstalowanie denyhosts / fail2ban pomogło. Od dłuższego czasu nie otrzymuję żadnych połączeń z tych botów :P Tak czy siak VNC jest już odinstalowane.

Ostatnio edytowany przez pavel142 (2010-05-14 22:31:05)

mi5tic · 2010-05-14 22:54:39

[quote=pavel142]Pytanie jest jedno, czy jest jakaś komenda sprawdzająca ile osób, albo kto jest aktualnie zalogowany na NX'ie?[/quote]

Kod:

#  /usr/NX/bin/nxserver --list

?

BTW. darmowa wersja NXa ma z tego co pamiętam ograniczenie do dwóch userów.

Pzdr.

pavel142 · 2010-05-15 12:07:12

Dzięki ;) O to mi chodziło.

Pozdr.

Time (s)	Query
0.00008	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00057	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.191.154.132' WHERE u.id=1
0.00103	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.191.154.132', 1732269679)
0.00031	SELECT * FROM punbb_online WHERE logged<1732269379
0.00078	SELECT topic_id FROM punbb_posts WHERE id=147845
0.00127	SELECT id FROM punbb_posts WHERE topic_id=16784 ORDER BY posted
0.00060	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=16784 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00063	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=16784 ORDER BY p.id LIMIT 0,25
0.00131	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=16784
Total query time: 0.00667 s

Forum Debian Users Gang

Ogłoszenie

#1 2010-05-07 16:58:19

pavel142 - Użytkownik

[+] Pulpit zdalny

#2 2010-05-07 18:11:59

qluk - Pan inż. Cyc

Re: [+] Pulpit zdalny

Kod:

#3 2010-05-07 18:21:12

urbinek - Użytkownik

Re: [+] Pulpit zdalny

#4 2010-05-07 18:35:43

pavel142 - Użytkownik

Re: [+] Pulpit zdalny

#5 2010-05-07 18:56:13

Bodzio - Ojciec Założyciel

Re: [+] Pulpit zdalny

#6 2010-05-07 18:57:37

pavel142 - Użytkownik

Re: [+] Pulpit zdalny

#7 2010-05-07 19:05:50

andreq - Członek DUG

Re: [+] Pulpit zdalny

Kod:

Kod:

Kod:

#8 2010-05-07 19:13:58

pavel142 - Użytkownik

Re: [+] Pulpit zdalny

#9 2010-05-07 20:02:16

Bodzio - Ojciec Założyciel

Re: [+] Pulpit zdalny

#10 2010-05-07 20:07:50

urbinek - Użytkownik

Re: [+] Pulpit zdalny

#11 2010-05-07 20:49:23

pavel142 - Użytkownik

Re: [+] Pulpit zdalny

#12 2010-05-10 22:30:40

micromachine - Użytkownik

Re: [+] Pulpit zdalny

#13 2010-05-11 14:32:00

exehbs - Użytkownik

Re: [+] Pulpit zdalny

#14 2010-05-14 22:29:41

pavel142 - Użytkownik

Re: [+] Pulpit zdalny

#15 2010-05-14 22:54:39

mi5tic - Członek DUG

Re: [+] Pulpit zdalny

Kod:

#16 2010-05-15 12:07:12

pavel142 - Użytkownik

Re: [+] Pulpit zdalny

Stopka forum

Informacje debugowania