http://wiki.linuxformat.ru/wiki/index.php?action=history&feed=atom&title=LXF132%3ADrBrown2 2026-05-13T03:53:18Z История изменений этой страницы в вики MediaWiki 1.19.20+dfsg-0+deb7u3 http://wiki.linuxformat.ru/wiki/index.php?title=LXF132:DrBrown2&diff=12282&oldid=prev 2011-06-28T06:49:36Z

<p>викификация, оформление</p> <p><b>Новая страница</b></p><div>==Частный детектив в Интернете==<br /> <br /> : IP-сыщик Д-р Браун идет по следам киберпреступника.<br /> <br /> Загляните в файлы журналов любого компьютера, открытого для доступа извне, и вы найдете множество неудачных попыток входа в систему, вызванных автоматизированными атаками скриптов. Если порт 22 открыт, большинство атак будут попытками входа через ''SSH''. Ежедневно просматривая журналы безопасности web-сервера, я видел преимуществен но два типа неудачных входов в систему:<br /> <br /> Mar 22 15:09:53 ns sshd[9446]: Failed password for invalid user ns<br /> from 174.121 .23.114 port 50963 ssh2<br /> <br /> Здесь атакующий ищет подлинные имена пользователей. В тот день журнал зафиксировал 13647 таких атак с 959 различными именами пользователей. Второй тип выглядел так:<br /> <br /> Mar 22 08:40:45 ns sshd[23270]: Failed password for root from<br /> 222.122.163.82 port 56501 ssh2<br /> <br /> Это неудачная попытка входа в систему от имени суперпользователя-root, и таких попыток за 10 минут было 258. Заметьте: оба сообщения содержат IP-адрес компьютера, с которого проводились атаки. Собственно говоря, 57 % из 99647 строк журнала содержали IP-адрес 222.122.163.82. Посмотрим, что мы сможем о нем узнать. Пока вы радостно предвкушаете, как мы раскроем имя и адрес плохого парня, немного охладим ваш пыл. Во-первых, найденный IP-адрес может быть адресом шлюза NAT, во-вторых, многие атаки проводятся со взломанных компьютеров.<br /> <br /> ===За кулисами IP-адреса===<br /> <br /> Попробуем сделать по IP-адресу обратный DNS-запрос. Результат выполнения команды немного сокращен.<br /> <br /> $ dig -x 222.122.63.82<br /> ;; QUESTION SECTION:<br /> ;82.163.122.222.in-addr.arpa. IN PTR<br /> ;; AUTHORITY SECTION:<br /> 163.122.222.in-addr.arpa. 600 IN SOA<br /> ns1.ne.kr.admin.100dedi.com.<br /> <br /> PTR-записи не найдено, но мы узнали, что сервер имен для этого блока адресов находится в Корее. Можно также заглянуть в базу данных RIPE на http://www.db.ripe.net с помощью ''whois'':<br /> <br /> $ whois 222.122.163.82<br /> KRNIC is not an ISP but a National Internet Registry similar to APNIC.<br /> The following is organization information that is using the IPv4 address.<br /> IPv4 Address : 222.122.163.0-222 .122.163.255<br /> Network Name: KORNET-INFRA000001<br /> Connect ISP Name : KORNET<br /> Registration Date : 20100126<br /> Publishes : N<br /> [ Organization Information ]<br /> Organization ID : ORG1600<br /> Org Name : Korea Telecom<br /> Address : Jungja-dong, Bundang-gu, Sungnam-ci<br /> Zip Code : 463-711<br /> <br /> Теперь мы знаем, что провайдер атакующего – Korea Telecom. Программа ''geoiplookup'' сообщит его географическое положение:<br /> <br /> $ geoiplookup 222.122.163.82<br /> GeoIP Country Edition: KR, Korea, Republic of<br /> <br /> За обновления базы данных GeoIP нужно платить; платить также можно за запросы через Интернет – см. http://www.maxmind.com. Полезные подробности иногда можно получить с помощью ''traceroute''. Посмотрите на временные интервалы прохождения запроса, сравните их с временными интервалами прохождения запроса туда-обратно, предоставленными командой ''ping'', и, может быть, вам удастся определить положение маршрутизатора рядом с атакующим компьютером.<br /> <br /> Несколько полезных утилит для розысков в Интернете есть на сайте http://www.robtex.com. Можно узнать, какие сайты находятся на заданном IP-адресе, кто владеет блоком IP-адресов, добавлен ли сайт в черный список и многое другое. (Следует подчеркнуть, что нет причин подозревать владельцев сайтов, размещенных на этом компьютере. Они почти наверняка лишь невинные свидетели).<br /> <br /> Наконец, можно попробовать просканировать компьютер командой ''nmap'':<br /> <br /> # nmap -O 222.122.163.82<br /> Interesting ports on 222.122.163.82:<br /> Not shown: 985 closed ports<br /> PORT STATE SERVICE<br /> 21/tcp open ftp<br /> 22/tcp open ssh<br /> 53/tcp open domain<br /> 80/tcp open http<br /> .. . вывод опущен ...<br /> OS details: Linux 2.6.9 - 2.6.15, Linux 2.6.9 - 2.6.15 (x86), Linux 2.6.9 - 2.6.20<br /> <br /> Открытые порты говорят нам, что это типичный web-сервер с Linux. Итак… преступник, вероятно, живет в Сеуле, пользуется Linux, прихрамывает и курит «Кэмел». Элементарно, Ватсон!<br /> <br /> ===Задраиваем люки===<br /> <br /> Возможный ущерб от атак на ''SSH'' можно снизить, запретив прямой вход в систему от имени root – просто убедитесь, что в '''sshd_config''' есть следующая строка:<br /> <br /> PermitRootLogin no<br /> <br /> Другая технология, особенно эффективная против атак прямым перебором – анализ сообщений, которые активно пишет в журнал сервер ''SSHD'', и запрет доступа с IP-адресов, откуда производятся неудачные попытки входа в систему.<br /> <br /> Это делает скрипт ''DenyHosts'' – он блокирует адреса, помещая их в '''/etc/hosts.deny'''. ''Fail2ban'' также запускается по анализу записей из журналов, но действует через обновление правил брандмауэра в ''Iptables''.</div>

Crazy Rebel