Komentarze i odpowiedzi, posortowane dla odmiany chronologicznie do strony:
Przeciwdziałanie wirusom w sieci LANalkocholik
2005-05-18 00:06:19
Jak wspomódz iptables albo raczej czym
To co podałes jest spoko ale to tylko blokowanie portów. Czyli dla osoby piszacej wirusy zaden problem do obejscia. i jeszcze jedno co mi da ochrona przed skanowaniem portów kontra wirusy które to potrafią???
Odpowiedź Lemata:
sory, ale ten text nie trzyma się kupy
alkocholik 2
2005-05-18 01:04:28
lakoniczność tekstu tylko 2 na szynach tym razem
Wydaje mi sie ze iptables działa na tej werstwie sieci ktora nie za bardzo daje nam mozliwosc zabezpieczenia sie przed wirusami. Bo chyba nie da sie złorzyć dostarczonych pakietów przeskanowac je antywirusem i dopiero przesłąć do naszej sieci (w sęsownym czasie).
Czy moze tu pomóc filtrowanie treści w jakis sposób.????
Odpowiedź Lemata:
a po co chcesz to robić? mi wystarcza, że idą pakiety SYN w dużej ilości do określonych portów docelowych.
..
2005-05-18 14:51:16
..
No dobra sprawdzasz te logi i dopisujesz kolejne porty, ale czy nie dało by sie zrobic tego automatycznie. Bo nie chodzi o to zeby obsługiwac kompa tylko zeby on obsługiwał ciebiei
Odpowiedź Lemata:
zobacz datę aktualizacji tego artykułu, naprawdę chce ci się męczyć w robienie czegoś automatycznie, co się robi ręcznie raz na pół roku? z reguły przy jakimś wysypie nowego rodzaju wirusów?
Jeżeli chcesz koniecznie zaprząc antywirusa do sprawdzania ruchu to możesz użyć SQUID-a jako transparent-proxy i np. ClamAV. A to i tak będzie sprawdzało tylko strony www a już czatów, kazy itp. nie da się tym sposobem sprawdzić.
Ja zakładam, że każde połączenie do tych portów forwardowane przez mój ruter pochodzi od wirusa i je zwyczajnie DROPuję. Nie muszę sprawdzać zawartości pakietów, szkoda mocy procka.
a1
2005-06-01 14:13:43
c.d.n
Mam jeszcze jednio pytanie czy np. do sprawdzania poczt nie można by byłu użyć P3Scan czy jakoś tak to chyba nie obciążało by az tak sytemu a mozna by byo lepeij kontrolować pocztę. Chyba lepeij zapobiegać niz poźniej gasić???
Odpowiedź Lemata:
P3scan to transparentny proxy dla pop3, przyda się w przypadku ściągania poczty z konta niezabezpieczonego softem antywirusowym. W przeciwnym przypadku to tylko będzie mieliło prockiem.
vanek
2005-12-19 22:35:25
wirusy
Gratuluje pomysłu z modułem recent. Delay w wysyłaniu kolejnych maili załatwia sprawę i można spokojnie wyławiać z logów zawirusowane stacje.
Odpowiedź Lemata:
proponuję przesłać gratulacje autorowi ipt_recent - Stephen Frost http://www.netfilter.org/
Opti
2006-12-18 21:27:45
Inny sposób na wykrywanie
Wydaje mi sie, że moja propozycja wykrywania jest:
1) prostsza (nie trzeba usuwać regułki z iptables - a jej nie usuniecie szybko spowoduje ze logi bardzo spuchną)
2)wydaje mi sie czytelniejsza dla admina
tcpdump -i eth1 port 25
P.S. Gratuluje poziomu stronki i dziekuje za opieprzenie mnie kiedyś mailem za spamowanie :)
Odpowiedź Lemata:
1) logrotate
2) i nie trzeba siedzieć cały czas na konsoli + jest archiwum poczynań danego delikwenta (jakby zaczął brąchać)
natan
2007-05-09 11:38:08
Linux vs wirusy
No z tego co zauwazylem to blokujesz tez port proxy 3128
rozwiazanie albo zmienic u siebie num portu
albo ustawic ograniczanie przez connlimit ilosci polaczen dla usera
do tego mozna zrobic jakis skrypt php itp i miec w logach ze ten i ten user ma tyle i tyle polaczen jezeli user niema netu - problem jego ;) no i no jezeli ten stan trwa np okreslony timestump mozna kolesia przyciac o polowe i go zmusic do naprawy
wiem ze to troche agresywne ale dziala
oczywiscie wszystkie inne blokowanie portow jakie podales sa jak najbardzij na miejscu
Just
2008-12-07 12:44:09
hmmmm
a co jesli po zastosowaniu tego, ktos na sieci bedzie uzywal narzedzia do wysylania e-mail np outlook i bedzie chcial wyslac 1 majla do 5 osob na raz czy ta regula zablokuje to? czy potraktuje jako jeden pakiet wyslany w ciagu 60sek i prepusci na fw
pozdrawiam
Odpowiedź Lemata:
nie, outlook wykonuje wtedy jedno połączenie do serwera. Dodatkowo nie musisz ufać facetowi przebranemu za księdza i samemu dobrać odpowiedni czas lub też whitelistować używane serwery poczty.
Just
2008-12-07 18:22:38
ok dzieki
a mam jeszcze jedno pytanie troche nie w tym temacie ale mam nadzieje ze odpowiesz lub pomozesz troche...
Zalozmy ze mamy siec lokalna tam router z linuxem ktory ma powiedzmy 50 userow przez ktorego wszyscy sie lacza i wychodza na swiat.... jak najlepiej zablokowac mozliwosc skanowania portow w sieci lan i na zew, wszyscy sa poza natem nikt nie wychodzi globalnie oczywiscie przy pomocy iptables
connlimit?
Czy moze masz lepszy pomysl??
Pozdrawiam
Odpowiedź Lemata:
można każdemu userowi przydzielić własną sieć np. 192.168.0.4/30 czyli 192.168.0.5 to adres rutera, 192.168.0.6 to adres usera, 192.168.0.7 to adres rozgłoszeniowy. Wtedy ruch z 192.168.0.6 do 192.168.0.10 musiałby się odbywać przez router - czyli wystarczy pozwalać na ruch sieć usera -> świat i nie pozwalać na ruch pomiędzy sieciami userów.
Blondi AKA żona infola
2010-07-31 02:44:57
;)
lemat # shutdown -h now # ;-)
lamer linux
2011-01-20 01:17:12
odzyskanie prawie zapomnianej nazwy użytkownika
Nie wiedziałem gdzie umieścić ten temat więc zdecydowałem się umieścić go tutaj. Mam pewien problem, chcę się nauczyć obsługi linuksa, nawet poradziłem sobie jakoś z instalacją tylko przy wpisywaniu nazwy użytkownika zapomniałem, gdzie umieściłem dużą, a gdzie małą literę (jak się okazało jest to ważne). Można jakoś odzyskać nazwę użytkownika. Hasło znam, nazwę też tylko nie chce mi się kombinować i próbować iluś tam kombinacji. Nie chce też na nowo instalować systemu, bo jeszcze bardziej się "zamotam" lub coś zepsuję.
Pozdrawiam i proszę o jakąś poradę dla linuksiarza lamera
Pozdrawiam i proszę o jakąś poradę dla linuksiarza lamera
Odpowiedź Lemata:
podczas startu linuxa spróbuj wcisnąć ESC i wybrać tryb "naprawczy" - a jak już wszystko wstanie wpisz less /etc/passwd - dostaniesz listę userów
linux lamer
2011-01-20 21:14:16
samoczynne restarty komputera pod linuksem
Witam, a co może być przyczyną samoczynnych restartów komputera. Na komputerze mam windows XP SP3 na jednym dysku podpiętym pod SATA oraz Ubuntu tzw. "jurny jarząbek" na HDD podpiętym po USB (przejściówka) i kiedy pracuję na tym systemie to co jakieś kilka minut mam restart kompa. Dodam to, że zasilacz mam markowy przetestowałem pamięć, sprawdziłem i wymieniłem kabelki, wyczyściłem komputer z kurzu (bo mógł się przegrzewać.
Odpowiedź Lemata:
ja potrafię wiele rzeczy ale leczyć na odległość jak Kaszpirowski nie (jeszcze nie) - w /var/log masz logi systemowe - może coś ciekawego tam się pokazać
Hesus
2012-01-21 14:31:17
A jak to po nowemy w sensie port 587
Czołem, a raczej chylę czoła :)
Czy aby to działało w obecnej epoce używania portu 587 wystarczy powielić linie od 3 do 5 i zmienić w nich port z 25 na 587 czy więcej czarów tak jak to opisywałeś w przypadku postfixa?
Czy aby to działało w obecnej epoce używania portu 587 wystarczy powielić linie od 3 do 5 i zmienić w nich port z 25 na 587 czy więcej czarów tak jak to opisywałeś w przypadku postfixa?
Odpowiedź Lemata:
nie. Aby cokolwiek weszło na serwer pocztowy po porcie 587 potrzebny jest login i hasło. Wirusy opisane w artykule sieją po porcie 25 po całym świecie. Wirus, który będzie siał po porcie 587 będzie się łączył do jednego serwera. Będzie istotna różnica w ilości połączeń z takiego zainfekowanego kompa.
misio
2015-05-07 15:29:23
plik logu
Witam,
mam pytanie do którego pliku pisze log?
mam pytanie do którego pliku pisze log?
Odpowiedź Lemata:
logi są w /var/log
sterowaniem jakie zdażenie jest logowanie do jakiego pliku zajmuje się syslog lub rsyslog
domyślnie (zależnie od dystrybucji) będzie to syslog, messages lub kern.log
sterowaniem jakie zdażenie jest logowanie do jakiego pliku zajmuje się syslog lub rsyslog
domyślnie (zależnie od dystrybucji) będzie to syslog, messages lub kern.log
![[Nospam-PL.NET]](banners/nospn_125x60_2.png "strona http://nospam-pl.net/")
