← Back to team overview

sslug-teknik team mailing list archive

Re: Hacket

 

In <4.2.0.58.20000808233159.03df8b00@xxxxxxxxxxxxxxxxxxxxxxxxxxxx> Daniel Stjernholm Andersen <dsa@xxxxxxxxxxxxx> writes:

>Der er ikke følsomme data på maskinen (langtfra), men er det korrekt at 
>antage at vedkommende ikke har haft root-adgang? I så fald ville det vel 
>være meget naturligt at "rydde op" i /var/log ?

Jep. Der findes også root-kit værktøjer, der "støvsuger" f.eks.  wtmp
for entries lavet af angriberen.


>Helt klart, ipchains regler har der nu altid været, men jeg har altid kørt 
>det med blacklisting i stedet for whitelisting. Bliver ting ikke meget mere 
>omstændige, hvis man skal lave det med whitelisting?

Det synes jeg egentlig ikke. Næsten alt kan klares med et meget simpelt
regelsæt:

echo "0" >/proc/sys/net/ipv4/ip_forward
echo "56000 60999" >/proc/sys/net/ipv4/ip_local_port_range
ipchains -P input DENY
ipchains -F input
# Accept all on loopback interface
ipchains -A input -p all -i lo -j ACCEPT
# Accept data on open connections
ipchains -A input -p tcp ! -y -j ACCEPT
# Accept ftp data transfers (downloads)
ipchains -A input -p tcp -s 0/0 ftp-data -d 0/0 56000:65096 -y -j ACCEPT
# Accept DNS responses
ipchains -A input -p udp -s 0/0 domain -d 0/0 56000:65056 -j ACCEPT
# Accept ICMP (some types must be allowed through)
ipchains -A input -p icmp -j ACCEPT

En default policy og 5 regler - alt andet er hvis du har specielle
applikationer du vil bruge, eller selv kører en service mod Internet.
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor


Follow ups

References