- Az EU szerint a ChatGPT még mindig nem felel meg a szabványoknak
- Kiderült, hogy hol veszik a legtöbb kínai EV-t
- Windows 11
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Windows 10
- DIGI kábel TV
- Linux - haladóknak
- Linux kezdőknek
- Router gondok
-
IT café
Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.
Új hozzászólás Aktív témák
-
bambano
titán
válasz urandom0 #34148 üzenetére
vajon hogyan lopja el a privát kulcsodat, ha azt soha, semmilyen körülmények között sem adod ki a kezedből? oké, a feltört rendszeren levő kulcsaidat ellophatja, de itt arról van szó, hogy aki távolról be akar jelentkezni a feltört gépre, azzal lesz baj. ha be akarsz jelentkezni a feltört gépre, akkor sem adod ki a sajátodról a saját privát kulcsodat.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
PMoon
junior tag
válasz urandom0 #34149 üzenetére
Folyamatosan online szokott lenni.
Igazából ~3éve használom és összesen ~50%-ban üzemelt megszakításokkal, de valahogy mostanában elmérgesedni látom a támadásokat és volt egy furcsaság is a Debian esetében, amikor egyik reggelre annyira megadta magát a gép, hogy még az nginx sem volt elérhető és az ssh sem.
Valami számomra nem értelmezhető hibát kaptam konzollal belépés után az sshd systemd status-ról. De sajnos akkor annyira pánikoltam, hogy nem mentettem semmit, hanem töröltem.
Most hagyom kicsit szenvedni a rendszert és pár nap után mentek minden log-ot és infót aztán átnézem őket. Lehet tanulságos lesz a későbbiekre vonatkozóan."... Ne ess pánikba! ... Mindig legyen nálad törölköző!"
-
-
PMoon
junior tag
Nekem is fura, de akkor miért tudtam ssh-val bejelentkezni??
Illetve a szolgáltató oldalán "running" volt a státusz.
Mindegy, most figyelni fogok mindenre és ha valami furcsaság van, kutakodni fogok.Mondjuk hibát nem látok az ngix esetében ami érdekes lenne, de az access tartalmaz érdekes kéréseket.
Illetve van fent egy phpmyadmin is, aminek szintén érdekes a log-ja. Folyamatos kéréseket látok, miközben nem is használom.[ Szerkesztve ]
"... Ne ess pánikba! ... Mindig legyen nálad törölköző!"
-
bambano
titán
válasz urandom0 #34153 üzenetére
ha rootként van bent, akkor ami azon a gépen van, az kuka, a komplett gép kompromittálódott.
nyilván hozzáfér az adott gépen levő privát kulcsodhoz is, ahogy leírtam az előző hsz-emben.ha nem követted el azt az orbitális hibát, hogy másolgatod a kulcsaidat mindenféle gépre, akkor ez nem olyan nagy probléma. ha ugyanazt a kulcspárt használtad egy rakás gépről, akkor bajban vagy
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
ja, ha mindenféle webes admin felületnek látszó hibahalmazt raksz fel a gépedre, akkor ne csodálkozz, hogy 20 percet se bír ki...
egyébként a dns szervert szokták még megborítani, ha van fent olyanod, szedd le vagy állítsd be rendesen.
lehet még olyan ok is a döglődésben, hogy a vps szolgáltató tűzfala már felfigyelt a gondjaidra, ezért lassítja a hozzáférést. velük is beszélned kellene.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
-
PMoon
junior tag
válasz bambano #34158 üzenetére
Nincs dns. A phpmyadmin-t is csak amolyan szórakozásként tettem fel, de ja... nagyon nem kéne.
Az egyik query-re 200 volt a response, azt megnéztem magam is és szórt ki valami adatokat. Ez bizony csúnya bug.
Szóval megy le a gépről.Elég elkeserítő amiket látok. IP alapján mongól, tajvani és kínai támadások ezek.
De mindenesetre tanulságos.
Még szerencse, hogy hobbi vps ez.Amúgy lehet hülyeség, de mintha azóta lenne ez a sok furcsaság, mióta a certbot-ot használtam a domain-ekhez.
[ Szerkesztve ]
"... Ne ess pánikba! ... Mindig legyen nálad törölköző!"
-
-
bambano
titán
"Ha van egy dinamikus DNS-ed, akkor jóhogy könnyebben megtalálnak": folyamatosan szkennelik a címtartományokat, mindenképpen megtalálnak, ha akarnak.
kb. akkor nem, ha kevés ip címről akarsz belépni, és minden másra minden tiltott.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
PMoon
junior tag
Nincs dinamikus dns-em. A domain szolgáltató dns-ét használom, ott van beállítva a domain-ekhez a vps ip.
De sokáig nem volt gond vele. Most viszont egy kis szünet után újrapakoltam a szervert és új certbot hitelesítést csináltam a https kapcsolathoz a domainek/subdomainek számára.
Nem tudom van-e összefüggés, de azóta elszabadult a pokol.Úgy döntöttem törlöm a teljes szervert a log-ok mentése után és másképp csinálom meg újra.
Nem pakolok ki mindent a webre/netre.
Nem tudom, de esetleg maradhatna a phpmyadmin ssh-tunnel-el?
Illetve jó volna valami whitelist alapján csak bizonyos ip tartományokra korlátozni a szolgáltatások elérését.[ Szerkesztve ]
"... Ne ess pánikba! ... Mindig legyen nálad törölköző!"
-
-
Érdekes, mindenesetre
"Nem tudom, de esetleg maradhatna a phpmyadmin ssh-tunnel-el?"
Én simán megoldanám, ha muszáj. Bár ha meg lehet oldani másképpen, amiket csinálsz azon keresztül, akkor nem.
@Sh4dow : Ha valaki bejut, akkor már mindegy@bambano : Na de a hacker is lusta, oda megy inkább, ahol van mit keresni Egy DNS bejegyzés szerintem tábortűz a sötét erdőben.
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
bambano
titán
-
nagyúr
Amit en csinalok a privat jatszos Hetzner gepemen:
- Tailscale install
- SSH 100%-ig tiltva Hetzner tuzfalon (tehat a gepig el sem jut a csomag)tailscale ssh-val be tudok menni, ha kell valami, ha meg valami miatt megdoglene a Tailscale (nem szokott), akkor meg arra az idore kinyitom a normal ssh-t
while (!sleep) sheep++;
-
-
-
-
Edorn
aktív tag
Hogy tudok almalinux-on kimenő kapcsolat log-ot nézni? Ahol azt is látom, mi indította a kapcsolatot?
A probléma: jelezték, hogy valami a szerverről (bot/vírus/stb) próbálkozik más szervereken. Erről van is log-om onnan, hogy mikor, melyik honlapra próbálkozott be. Azt kellene belőni első körben, hogy a szerveremen futó honlapok közül melyik kapott be valamit, azaz melyik próbálkozik. Vagy ha nem az egyik honlap, akkor mi indítja a kéréseket. (tűzfal van egyébként, víruskereső nem mutat "fertőzést", Fail2Ban üzemel)
AMD Ryzen 5 5600 3.50GHz AM4, SAPPHIRE RX580 4GB, EX2220 (1920x1080), crucial MX500 SSD, CRUCIAL 16GB Ballistix DDR4 3200MHz, MSI B450 GAMING PLUS | Tárhely, domain: https://nokturn.hu
-
-
urandom0
senior tag
De pontosan mit csinál az a bot? Más szerverek honlapjain próbálkozik 80-as vagy 443-as porton? Vagy SSH-t próbál feltörni? Vagy mit csinál?
Más szerverek felé irányuló kapcsolat indítható közvetlen a te szervereden futó bináristól, ezt a legkönnyebb észrevenni, nézegesd, hogy milyen processzek futnak a szerveren, milyen kapcsolatoknak nyitnak kifelé (lsof, netstat, ss, tcpdump, wireshark). Valamint állítsd be netfilter/iptables logot, és telepítsd az auditd-ot, és ahhoz is állíts be szabályt.
Indítható kapcsolat PHP-ból is, vagy bármilyen szerver oldali nyelvből. Ezt nem is tudom, hogy lehetne rendesen logolni, én a php-fpm log_leveljét állítanám maxra. Végső soron persze ez is az oprendszer szintjén fog kijönni.
Vagy ha más környezeted is van (Nodejs pl.), akkor annál is maxra kell állítani a log_level szintjét. -
Edorn
aktív tag
válasz urandom0 #34177 üzenetére
Igen, pont ezt szeretném valahogy belőni, hogy egyáltalán honnan indul a probléma. ss-t néztem, de ott kb pont el kellene kapni egy próbálkozást ráadásul a sok egyébként okés kapcsolódás rengetegében. De lsof-al és netstat-al is ugyanez lenne. De ha mondjuk óránként egyszer történik, akkor elég esélytelen. Ezért reménykedtem valami log-ban vagy egyéb megoldásban.
Két példa log, amit kaptam mint panasz:
2024-05-16 06:54:09
Url: ho###ff.ir/wp-content/themes/blossom-spa/wp-config-sample.php
Remote connection: xxx.xxx.xxx.xxx:39158
Headers: {
"Host": "ho###ff.ir",
"Connection": "Upgrade, HTTP2-Settings",
"Upgrade": "h2c",
"HTTP2-Settings": "AAEAAQAAAAIAAAAAAAMAAAPoAAQAYAAAAAYABAAA",
"Cookie": "[hidden]",
"sec-ch-ua": ""Chromium";v="110", "Not A(Brand";v="24", "Google Chrome";v="110"",
"sec-ch-ua-mobile": "?0",
"sec-ch-ua-platform": ""Windows"",
"Upgrade-Insecure-Requests": "1",
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.#.#.0 Safari/537.36",
"Accept": "*/*",
"Sec-Fetch-Site": "none",
"Sec-Fetch-Mode": "navigate",
"Sec-Fetch-User": "?1",
"Sec-Fetch-Dest": "document",
"Accept-Encoding": "gzip,deflate",
"Accept-Language": "eo;q=0.8,en-US;q=0.6,en;q=0.4",
"Accept-Charset": "ISO-8859-1,utf-8;q=0.7,*;q=0.3",
"Content-Length": "28",
"Content-Type": "application/x-www-form-urlencoded"
}
Post data: {
"IU": "die(pi()*42);"
}Másik:
2024-05-28 06:32:07
Url: www.hardcoretooling.com/wp-content/plugins/booking-package/lib/Sitehook.php
Remote connection: xxx.xxx.xxx.xxx:52530
Headers: {
"Host": "www.hardcoretooling.com",
"sec-ch-ua": ""Not_A Brand";v="8", "Chromium";v="120", "Google Chrome";v="120"",
"sec-ch-ua-mobile": "?0",
"sec-ch-ua-platform": ""macOS"",
"upgrade-insecure-requests": "1",
"user-agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36",
"accept": "*/*",
"sec-fetch-site": "none",
"sec-fetch-mode": "navigate",
"sec-fetch-user": "?1",
"sec-fetch-dest": "document",
"accept-encoding": "gzip,deflate",
"accept-language": "eo;q=0.8,en-US;q=0.6,en;q=0.4",
"accept-charset": "ISO-8859-1,utf-8;q=0.7,*;q=0.3",
"content-length": "28",
"content-type": "application/x-www-form-urlencoded",
"host": "www.hardcoretooling.com",
"cookie": "[hidden]",
"BN-Frontend": "captcha-https",
"X-Forwarded-Port": "443",
"X-Forwarded-Proto": "https",
"BN-Client-Port": "52006",
"X-Forwarded-For": "xxx.xxx.xxx.xxx"
}
Post data: {
"Rv": "die(pi()*42);"
}
xxx.xxx.xxx.xxx a szerverem ip-je...[ Szerkesztve ]
AMD Ryzen 5 5600 3.50GHz AM4, SAPPHIRE RX580 4GB, EX2220 (1920x1080), crucial MX500 SSD, CRUCIAL 16GB Ballistix DDR4 3200MHz, MSI B450 GAMING PLUS | Tárhely, domain: https://nokturn.hu
-
bambano
titán
nem szokás kimenő kapcsolatokat logolni egyik linuxon se.
szerintem nullázd le a gépedet, mert amekkora meló lenne kideríteni, hogy mi csinálta, az nem éri meg.
max. annyit érdemes, hogy azt a die utasítást megkeresni a php forrásokban, ha nincs nagyon obfuszkálva.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
urandom0
senior tag
Vagy wgettel, curllal indítanak kéréseket, vagy valami PHP script csinálja, de szerintem ez utóbbi. Ahogy írtam, ha az auditd fent és van rendesen be van konfigolva, az képes logolni a kimenő kapcsolatokat.
ausearch
programmal elég részletesen lehet keresgélni a logokban.
De a php-fpm logjait, és az httpd logjait is nézegesd, pl. ha sok 404-es hiba van bennük, az máris gyanús.Amit még elfelejtettem, hogy a cron logokat és a cron feladatokat is nézd át, minden usernél egyesével.
Új hozzászólás Aktív témák
- Milyen okostelefont vegyek?
- ubyegon2: Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- Királyi menetben érkeznek a G.Skill új DDR5 memóriái
- Milyen notebookot vegyek?
- Milyen billentyűzetet vegyek?
- LG C3: egy középkategóriás OLED tévé tesztje
- Az EU szerint a ChatGPT még mindig nem felel meg a szabványoknak
- Bambu Lab X1/X1C, P1P-P1S és A1 mini tulajok
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Anime filmek és sorozatok
- További aktív témák...
- Steam kulcsok - UTALÁS/REVOLUT
- AKCIÓ! - STEAM kulcsok / Punch Club, Oddworld: Soulstorm, Children of Morta, stb. - 2024.05.16.
- Számlás!Steam,EA,Epic és egyébb játékok Pc-re vagy XBox!
- Bontatlan - BATTLEFIELD 1 Collectors Edition - Játékszoftver nélkül
- Adobe Creative Cloud - 2024. 04. 05 - 2025. 04. 05-ig
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen