[Internet] Attacchi esterni

[dome_linux]

salve a tutti
sono nuovo. Ho installato ubuntu 10.04 e stò subendo tantissimi attacchi e tentativi di intrusione. Firestarter pare che li blocchi tutti, però non sono sicuro.
Volendo imparare il php ho configurato lamp . Non sò però se solo per il locale o no.
Intanto ricevo attacchi 1 al minuto.
Aiuto.................

[fortran77]

Attacchi di che tipo?
Più informazioni please: hai tentativi di connessione su qualche porta? Quale porta? Ricevi degli attacchi  dos? ddos?
Hai configurato cosa e come.

Ok che chiedi aiuto, ma qui nessuno ha la sfera magica.

[dome_linux]

Si ci sono.
sto tentando di copiare il log sulla scrivania ma una volta salvato non li fa vedere.
ecco un esempio in continuo aumento.
Time:Feb 15 19:56:37 Direction: Sconosciuto In:ppp0 Out: Port:137 Source:12.69.254.10 Destination:81.81.215.73 Length:78 TOS:0x00 Protocol:UDP Service:Samba (SMB)
Time:Feb 15 19:56:42 Direction: Sconosciuto In:ppp0 Out: Port:445 Source:200.161.38.50 Destination:81.81.215.73 Length:48 TOS:0x00 Protocol:TCP Service:Microsoft-ds
Time:Feb 15 19:56:45 Direction: Sconosciuto In:ppp0 Out: Port:445 Source:200.161.38.50 Destination:81.81.215.73 Length:48 TOS:0x00 Protocol:TCP Service:Microsoft-ds

[fortran77]

Sono connessioni per il firesharing di windows (oppure samba, porte 137 e 445).
Hai un server samba installato? Se non hai un server samba che gira ci possono provare quanto vogliono, ma non hanno niente a cui connettersi.
Hai provato a fare uno whois su quegli indirizzi ip?

[dome_linux]

intendi dire vedere l'host?
molte volte firestarter mi chiede l' uscita forzata ma senza mostrare nulla.
La lista è in aumento. Ora c' è anche SSH.
Come faccio a capire se ho samba installato?
guarda ci sono anche utenti sconosciuti.e al lista è infinita.
Time:Feb 15 19:56:37 Direction: Sconosciuto In:ppp0 Out: Port:137 Source:12.69.254.10 Destination:81.81.215.73 Length:78 TOS:0x00 Protocol:UDP Service:Samba (SMB)
Time:Feb 15 19:56:42 Direction: Sconosciuto In:ppp0 Out: Port:445 Source:200.161.38.50

[fortran77]

Beh, tanto per iniziare lo hai mai installato?

per vedere quali server hai in ascolto lancia

Codice: Seleziona tutto

sudo netstat -l

successivamente posta qui l'output

Con "fare lo whois" intendevo usare il comando "whois" (leggi il man), oppure affidarsi ad uno dei tanti servizi whois online per sapere a chi corrisponde un certo indirizzo ip. Nei log c'è un undirizzo "Source" dal quale proviene il tentativo di connessione...

P.S. per favore non continuare ad aggiungere righe su righe. Rendere il post illeggibile non ti aiuterà a risolvere il problema. Taglia per favore un po' di quel marasma di log.

[dome_linux]

Si. la sorgente. ho provato a vedere il nome dell' host ma molte volte non riesco.
Ho anche network traffic monitor che mi ha segnalato uno "slot temporaneo aperto".
Connessioni internet attive (solo server)
Proto Recv-Q Send-Q Indirizzo locale        Indirizzo esterno       Stato      
tcp        0      0 localhost:ipp           *:*                     LISTEN    
tcp        0      0 *:5800                  *:*                     LISTEN    
tcp        0      0 localhost:mysql         *:*                     LISTEN    
tcp        0      0 *:5900                  *:*                     LISTEN    
tcp6       0      0 [::]:pop3               [::]                  LISTEN    
tcp6       0      0 [::]:imap2              [::]                  LISTEN    
tcp6       0      0 [::]:ftp                [::]                  LISTEN    
tcp6       0      0 localhost:ipp           [::]                  LISTEN    
tcp6       0      0 [::]:6522               [::]                  LISTEN    
udp        0      0 *:mdns                  *:*                                
udp        0      0 *:35613                 *:*                                
Socket in dominio UNIX attivi (solo server)
Proto RefCnt Flags       Type       State         I-Node   Percorso

[fortran77]

Ora, tutta la lista dei socket aperti non centra nulla con la rete, per cui i tuoi server in ascolto sono solo questi:

tcp        0      0 localhost:ipp           *:*                     LISTEN    
tcp        0      0 *:5800                  *:*                     LISTEN    
tcp        0      0 localhost:mysql         *:*                     LISTEN    
tcp        0      0 *:5900                  *:*                     LISTEN    
tcp6       0      0 [::]:pop3               [::]                  LISTEN    
tcp6       0      0 [::]:imap2              [::]                  LISTEN    
tcp6       0      0 [::]:ftp                [::]                  LISTEN    
tcp6       0      0 localhost:ipp           [::]                  LISTEN    
tcp6       0      0 [::]:6522               [::]                  LISTEN    
udp        0      0 *:mdns                  *:*                              
udp        0      0 *:35613                 *:*                                

Hai cups o chi per egli che ascolta su localhost, e pure mysql sempre in ascolto locale (per cui niente problem). Hai un server vnc (porte 5800 e 5900) che tu hai installato penso sapendo quello che fai.
Hai un servizio mdns che ci sta anche e poi quella porta aperta sulla udp 35613 che non ho la minima idea di cosa corrisponda.
Hai infine un sacco di roba in ascolto esclusivamente su ipv6, tipo un server di posta, un server ftp e un boh sulla 6522. Come mai sono in ascolto solo su ipv6?

Un altro modo molto veloce per vedere a quale programma corrisponde cosa è il seguente comando:

Codice: Seleziona tutto

sudo lsof  | grep "LISTEN"

Non posso dirti esattamente se una cosa è sospetta o meno. Sei te che amministri il sistema e dovresti sapere cosa hai installato e perché.
In ogni caso che tipo di connessione hai? Adsl? Hai un ip fisso?
Perché spesso capita di connettersi con un indirizzo ip di un altro utente precedente che era sotto attacco per altri motivi. Magari riavviare il router (e quindi cambiare indirizzo ip dinamico) risolve il problema.
In ogni caso se blocchi con il firewall non dovresti avere problemi.

Con il comando

Codice: Seleziona tutto

netstat nav|grep -v unix

(il grep -v l'ho aggiunto per eliminare i socket dalla lista), dovresti vedere le connessione attive sul momento.
Non ti spaventare perché se hai firefox aperto con diverse pagine ne vedrai un bel po. Chiudi firefox e tutti i programmi eccetto il terminale per qualche minuto (in modo che le connessioni attive vadano in timeout) per vedere quello che rimane.

qua  ci sono un po' di informazioni su come controllare i servizi di rete:
http://guide.debianizzati.org/index.php ... i_e_demoni

[dome_linux]

uso una chiavetta internet.
Ti dico in anticipo che alcune cose sono nuove.
Vorrei solo lasciare apache-mysql-php-joomla per poter imparare il php.
Quello che hai scritto (Hai un server vnc (porte 5800 e 5900) che tu hai installato penso sapendo quello che fai.
Hai un servizio mdns che ci sta anche e poi quella porta aperta sulla udp 35613 che non ho la minima idea di cosa corrisponda.
Hai infine un sacco di roba in ascolto esclusivamente su ipv6, tipo un server di posta, un server ftp e un boh sulla 6522. Come mai sono in ascolto solo su ipv6?))))))
queste possiamo chiuderle tutte.
Puoi dirmi come?
ecco il terminal

lsof: WARNING: can't stat() fuse.gvfs-fuse-daemon file system /home/utente/.gvfs
     Output information may be incomplete.
couriertc 1357       root    3u     IPv6       5427          0t0        TCP *:imap2 (LISTEN)
couriertc 1371       root    3u     IPv6       5439          0t0        TCP *:pop3 (LISTEN)
mysqld    1381      mysql   10u     IPv4       5787          0t0        TCP localhost:mysql (LISTEN)
cupsd     1419       root    6u     IPv6       5702          0t0        TCP localhost:ipp (LISTEN)
cupsd     1419       root    7u     IPv4       5703          0t0        TCP localhost:ipp (LISTEN)
proftpd   1507    proftpd    1u     IPv6       6114          0t0        TCP *:ftp (LISTEN)
ica       2269     utente   20u     IPv4      10228          0t0        TCP *:5800 (LISTEN)
ica       2393     utente   15u     IPv4      10472          0t0        TCP *:5900 (LISTEN)

Connessioni internet attive (senza server)
Proto Recv-Q Send-Q Indirizzo locale        Indirizzo esterno       Stato      
tcp        0      0 151.83.119.108:44654    vostok.canonical.co:www TIME_WAIT  
tcp        1      0 151.80.36.120:43758     74.125.232.124:www      CLOSE_WAIT
tcp        1      0 151.80.36.120:43767     74.125.232.124:www      CLOSE_WAIT
tcp        1      0 151.80.36.120:43766     74.125.232.124:www      CLOSE_WAIT
tcp        1      0 151.80.36.120:43768     74.125.232.124:www      CLOSE_WAIT
tcp        1      0 151.80.36.120:49635     74.125.232.122:www      CLOSE_WAIT
tcp        1      0 151.80.36.120:40040     rhea.shiny.it:www       CLOSE_WAIT
tcp        0      0 151.83.119.108:44653    vostok.canonical.co:www TIME_WAIT  
Socket in dominio UNIX attivi (senza server)
Proto RefCnt Flags       Type       State         I-Node   Percorso

[fortran77]

Con un firewall che blocca tutto il traffico in entrata.
Puoi farlo dall'interfaccia grafica di firestarter immagino, ma non so come funziona, oppure con due semplici righe di comando che ti posto qui sotto.

Codice: Seleziona tutto

#pulisco regole preesistenti
iptables -F
iptables -F -t mangle
iptables -F -t nat
iptables -X
iptables -X -t mangle
iptables -X -t nat
#imposto policy di default
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#due regole giusto per accettare connessioni da localhost (se stessi) e i ping dalla rete (opzionale)
iptables -A INPUT -p icmp -j ACCEPT  #Riga per i ping opzionale
iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP

Basta aggiungerle al file /etc/rc.local (prima della riga "exit 0") per eseguirle automaticamente all'avvio. Ovviamente ricordati di disattivare altre interfacce del firewall sennò le regole vengono sovrascritte...

Se vuoi proprio rimuovere alcuni programmi puoi
1) Disinstallarli da synaptics (prima scopri a quale pacchetto corrisponde il comando, la guida che ti ho linkato prima lo spiega in fondo).
2) Eliminare il servizio relativo dall'avvio. Per fare questo consulta lo wiki di ubuntu su come configurare il boot. Ci sono diverse utility per selezionare i servizi avviati al boot e io di grafiche non ne conosco nemmeno una. Se ti dico come faccio io rischio solo di complicarti la vita.

P.S. scusa avevo scritto una cavolata nello script e l'ho  corretta.

[dome_linux]

ok...
leggerò attentamente tutto.
Quindi con il firewall attivo stò tranquillo. Neanche se qualcuno prova ad effettuare upload dal mio pc o aprire porte temporanee per entrare.Non vorrei dire assurdità.

[superlex]

Prova dentro /etc/rc.d ..

[dome_linux]

trovato...pensavo fosse in una cartella intivece stava in fondo...
Scritto e salvato.
Quindi riepiloghiamo: per apache-mysql-php è ok ?
Il resto è stato chiuso?
Leggerò attentamente le pagine che mi hai consigliato.
Quindi nessuno entra e niente può uscire Verò?
non possono nemmeno rintracciare eventuali pagamenti online vero?

[fortran77]

trovato...pensavo fosse in una cartella intivece stava in fondo...
Scritto e salvato.
Quindi riepiloghiamo: per apache-mysql-php è ok ?
Il resto è stato chiuso?

Con cosa? Con le mie regole che ti ho postato?
Hai chiuso tutto dall'esterno. Compresi apache e compagnia. (del resto ti metti a fare hosting di un sito con una connessione dialup via cellulare?)
Puoi accedere a tutto dall'interno, ovvero se provi a connetterti localmente (dal tuo pc, indirizzo 127.0.0.1, localhost) dovresti accederci.

Quindi nessuno entra e niente può uscire Verò?

Entrare, non uscire. Se blocchi in uscita non vai più su internet nemmeno te.

non possono nemmeno rintracciare eventuali pagamenti online vero?

?? Quali pagamenti online? Ma non si parlava di tentativi di connessione (nemmeno attacchi veri e propri, se vogliamo essere precisi)?? Mi sono perso qualcosa nel frattempo?

[dome_linux]

faccio così.
formatto ubuntu 10.04 e lo riporto allo stato di origine,non ho dati o altro, lo sto provando.
magari con la 10.10
e starò più attento a quello che farò.
Per pagamenti intendevo dire se è possibile intercettare non sò l' acquisto di un biglietto di treno per esempio e rubare i numeri di cc altro.
a questo mi riferivo.
comunque grazie tante.
mi farò risentire dopo con la nuova versione.così evito di fare casini.

[fortran77]

Beh, il modo migliore per rintracciare i pagamenti fatti con la tua carta di credito penso sia quello di contattare la tua banca...
Comunque giusto per chiarire:
1) Si tratta ti TENTATIVI di connessione, non mi pare si tratti di intrusioni vere e proprie.
2) Se c'è stata un'intrusione sono ben altre le cose da guardare (diciamo che diventa molto complesso, bisogna avere una certa esperienza).
3) Anche se ci fosse stata un'intrusione scusa, ma tu tieni i dati della tua carta di credito salvati sul tuo pc?

[dome_linux]

Ci siamo. PS. LA 10.10 A ME NON SI INSTALLA. ARRIVA A UN CERTO PUNTO E SI BLOCCA. L' HO SCARICATA DIRETTAMENTE DAL SITO UFFICIALE
no. non tengo i dati sul pc. ma mi ero PREOCCUPATO che potessero eventualmente rintracciarli in caso di qualche pagamento.
Comunque. HO REINSTALLATO LA 10.04 E L' HO AGGIORNATA.
Appena mi connetto ho gli stessi tentativi di intrusione.
Vi spiego, la mia preoccupazione, da nuovo utente, erano tutti quei bollini rossi di firestarter.
Provenendo da windows e avendo norton, tutte queste cose non le vedevo.andavo a controllare io la cronologia e venivo avvertito solo per un tentativo reale e pericoloso.
Firestarter mi avverte sempre( e vero che posso disabilitare gli avvertimenti, però non saprei nulla.)
L' importante è che il suo lavoro lo faccia bene.
Un' altra preoccupazione è stato installare apache-mysql-php-joomla pensando di aver configurato il tutto dando accesso al "server" a chiunque".Mentre invece è tutto in locale.
.sto imparando ora.mi dareste il link per i comandi da terminale- dovrei impararli.grazie
scusate per la confusione,sono stato un pò apprensivo.
grazie mille a tutti

[fortran77]

Per imparare i comandi da terminale ci sono tantissime guide e howto su internet. Cerca un po' su google.
Potrei anche darti qualche link, ma non farei altro che googolare e riportarti i primi risultati di qualche ricerca tipo "linux bash howto". (bash è il nome della shell di linux)

[dome_linux]

Grazie tante per tutto.