sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #25970
Re: Hacket
In <4.2.0.58.20000808233159.03df8b00@xxxxxxxxxxxxxxxxxxxxxxxxxxxx> Daniel Stjernholm Andersen <dsa@xxxxxxxxxxxxx> writes:
>Der er ikke følsomme data på maskinen (langtfra), men er det korrekt at
>antage at vedkommende ikke har haft root-adgang? I så fald ville det vel
>være meget naturligt at "rydde op" i /var/log ?
Jep. Der findes også root-kit værktøjer, der "støvsuger" f.eks. wtmp
for entries lavet af angriberen.
>Helt klart, ipchains regler har der nu altid været, men jeg har altid kørt
>det med blacklisting i stedet for whitelisting. Bliver ting ikke meget mere
>omstændige, hvis man skal lave det med whitelisting?
Det synes jeg egentlig ikke. Næsten alt kan klares med et meget simpelt
regelsæt:
echo "0" >/proc/sys/net/ipv4/ip_forward
echo "56000 60999" >/proc/sys/net/ipv4/ip_local_port_range
ipchains -P input DENY
ipchains -F input
# Accept all on loopback interface
ipchains -A input -p all -i lo -j ACCEPT
# Accept data on open connections
ipchains -A input -p tcp ! -y -j ACCEPT
# Accept ftp data transfers (downloads)
ipchains -A input -p tcp -s 0/0 ftp-data -d 0/0 56000:65096 -y -j ACCEPT
# Accept DNS responses
ipchains -A input -p udp -s 0/0 domain -d 0/0 56000:65056 -j ACCEPT
# Accept ICMP (some types must be allowed through)
ipchains -A input -p icmp -j ACCEPT
En default policy og 5 regler - alt andet er hvis du har specielle
applikationer du vil bruge, eller selv kører en service mod Internet.
--
Henrik Storner | "Crackers thrive on code secrecy. Cockcroaches breed
<henrik@xxxxxxxxxx> | in the dark. It's time to let the sunlight in."
|
| Eric S. Raymond, re. the Frontpage backdoor
Follow ups
References
-
Re: Hacket
From: Henrik St�, 2000-08-08
-
Hacket
From: Daniel Stjernholm Andersen, 2000-08-08
-
Re: Hacket
From: Daniel Stjernholm Andersen, 2000-08-08