Fórum | MyPower.CZ | Obnovitelné zdroje energie - energetická soběstačnost | Poslední návštěva: sob lis 26, 2022 8:19 pm


METRIXOVÝ ŠKODIČ

Funkce www rozhraní, návody, tipy, rozšíření, praktické zkušenosti, routování, vzdálený přístup, lokální přístup, zabezpečení
Další

METRIXOVÝ ŠKODIČ

Příspěvekod Frenky » úte dub 01, 2014 6:37 pm

Ahoj komunito
Nevím co jsem komu provedl, ale mojí veřejnou adresu navštívil nejaký škodič a neustále mi v mých krabičkách škodí.
Píšu sem, protože si tak nějak nevím rady a taky proto abych vás všechny tak trochu varoval.
Nejsem v PC zabezpečení příliš dobrý a potřebuji poradit jak si mám mou veřejnou adresu ochránit před nenechavími chapadly metrixového škodiče.

:oops: :oops: Popis činnosti škodiče :oops: :oops:
Nevím kdo to je a nechci být sprostý, ale nas... mě do běla
1) Nějakým zatím mně neznámým způsobem dokáže zablokovat arduino (microlog) tak, že přestane reagovat a neodesílá potom data a tváří se jak kus šutru. (kolikrát nepomůže ani restart).
Přepíná samozřejmně relé sem a tam (tady si mohl přepínat co chtěl, nebylo na nich nic připojené, ale sralo mě to, protože jsem nemohl spát, tak jsem mu je pro jistotu odpojil úplně)
2) Protože se mi dostal i do SDS (neměl jsem tam vyměněné heslo), tak přeprogramoval vestavěná relé a začal škodit i tímto způsobem. Škodil i přes uživatelskou stránku a přepínal stochasticky všechna relé.
v tomto případě se mi podařilo ho zastavit změnou hesla a zaheslováním uživatelské stránky.
3) Arduino na vyčítání studeru
Tady samozřejmně taky řádil s relátky a snažil se něčím uškodit, ale zase jako obvykle není na nich krom dálkového restartu nic připojené.
Tady jsem mu odstavil webovou stranku s relé, aby neměl čím cvakat.
No a na webovou stranku arduina jsem mu napsal text jak ho mám rád a ať si jde hrát zase s něčím jiným a jinam.

Potřebuji poradit jak mám škodiče vystrnadit od sebe a mých hraček. V routeru mám udělaný pouze NAT překlad portů a neumím to lépe zabezpečit. Pro začátek by stačilo kdyby někdo mohl poradit jak odchytit škodičovu adresu. Třeba bych ho chytnul u sousedů na chodbě a dal mu pár facek.

PORAĎTE PROSÍM

Dík Frenky
24x Solární panel JINKO SOLAR 225 Pmpp=225W, 2x Regulátor STUDER VT-80, 2x Střídač Studer XTM 4000-48, BSP, RCC, AKU 48V LFP200Ah, 2x AKU DURATHON E4815. Řizení a dohled, SDS, vlastní vyčítání arduinem DUE v krabičce (ARMOSY), export dat do RPi s databází a html stránkou.
http//95.85.214.80, http://forum.mypower.cz/viewtopic.php?f=3&t=4809
Uživatelský avatar
Frenky
podporuje fórum
 
Příspěvky: 786
Registrován: pon led 21, 2013 6:36 pm
Bydliště: Doubravička

Re: METRIXOVÝ ŠKODIČ

Příspěvekod mypower.cz » úte dub 01, 2014 6:48 pm

Takovym zpusobem, jakym si zajistil pristup k ulogu z venku, takovym zpusobem ho zrus. Zrejme mas z venku portforwarding. Zrus ho na routeru. predpokladam ze doma nemas 10 verejnych IP, tudiz ulog je jiste na lokalni siti a nekdo mu musel pristup zvenku zprostredkovat. Tak tento postup udelat obracene.
Uživatelský avatar
mypower.cz
R.I.P.
 
Příspěvky: 4935
Registrován: pát bře 04, 2011 11:36 am

Re: METRIXOVÝ ŠKODIČ

Příspěvekod Frenky » úte dub 01, 2014 6:53 pm

Vykonáno jest porforwarding zrušen, tak snad alespoň mikrolog bude v bezpečí :mrgreen:
Dík
24x Solární panel JINKO SOLAR 225 Pmpp=225W, 2x Regulátor STUDER VT-80, 2x Střídač Studer XTM 4000-48, BSP, RCC, AKU 48V LFP200Ah, 2x AKU DURATHON E4815. Řizení a dohled, SDS, vlastní vyčítání arduinem DUE v krabičce (ARMOSY), export dat do RPi s databází a html stránkou.
http//95.85.214.80, http://forum.mypower.cz/viewtopic.php?f=3&t=4809
Uživatelský avatar
Frenky
podporuje fórum
 
Příspěvky: 786
Registrován: pon led 21, 2013 6:36 pm
Bydliště: Doubravička

Re: METRIXOVÝ ŠKODIČ

Příspěvekod vata » úte dub 01, 2014 10:04 pm

Zdravím, vystavovat tahle zařízení zvenku není vůbec dobrý nápad... Nemusí zrovna cvakat relátkama (to je už vážně zle, podle toho, co tím ovládáte), stačí, aby Vám je zahltil požadavkama. Zařízení bezpečně zavřít v lokální síti schované za firewallem. Na SDS zakázat ovládání relé jinak než z SDS-C a samozřejmě (!) změnit výchozí hesla... Člověk nemusí být paranoidní, aby si představil, co nějaký puberťák hrající si na hackera, mohl způsobit za škodu, kdyby se dostal na regulátor nebo na SDS s Valcem... Jednoduché přesměrování portů nepomůže, každou chvilku někdo ze světa dělá port scan a kouká, co je vevnitř. Zakázat všechno kromě 80, a tu směrovat jen na nějakou nekritickou prezentaci.
Inteligentní ostrov - www.vati.cz
Uživatelský avatar
vata
 
Příspěvky: 1403
Registrován: pon zář 12, 2011 10:32 am

Re: METRIXOVÝ ŠKODIČ

Příspěvekod PavelR » úte dub 01, 2014 10:37 pm

V sitich se vyznam pouze v zakladnim nastavovani atp. Proto mam dotaz. Kdyz takto nekdo smejdi po siti je nejaka realna moznost takovato zarizeni zabezpecit aby slo z venku menit paramtery bezpecne?
Neco ve stylu komplikovaneho jmena a hesla nebo nejak povolit pouze mac adresy zarizeni kterymi k tomu clovek pristupuje (napr notebook nekde venku, tablet ... ) ???
?
PavelR
 
Příspěvky: 2735
Registrován: ned led 29, 2012 3:59 pm


Re: METRIXOVÝ ŠKODIČ

Příspěvekod vata » úte dub 01, 2014 10:55 pm

nebo i něco jednoduššího může rychle pomoci, jako třeba PPTP.
Inteligentní ostrov - www.vati.cz
Uživatelský avatar
vata
 
Příspěvky: 1403
Registrován: pon zář 12, 2011 10:32 am

Re: METRIXOVÝ ŠKODIČ

Příspěvekod PavelR » úte dub 01, 2014 10:56 pm

Jo tak. no jedna strana vpn by bezela v pc kde chci prohlizet a druha? v routeru?
Pokud tomu dobre rozumim tak by arduino, sds .... byly pouze v mistni siti a nebyly by videt z venku a tim vpn by se tato vnitrni sit prenesla na vzdalene pc?
A predpokladam ze nebourat se do vpn je asi obtizne.
?
PavelR
 
Příspěvky: 2735
Registrován: ned led 29, 2012 3:59 pm


Re: METRIXOVÝ ŠKODIČ

Příspěvekod vata » úte dub 01, 2014 11:04 pm

První věcí je všechno maximálně zabezpečit tak, aby to opravdu nebylo přístupné zvenku - nepovolit žádný provoz zvenku na kritická zařízení v síti. V routerech běžících na linuxu (třeba Mikrotik) se nastaví vpn, člověk odkudkoliv se do něj přihlásí a tím se virtuálně ocitne ve vnitřní síti a může cokoliv.
Nabourat se do PPTP lze, když se chce. Nabourat se do openVPN s klientským i serverovým certifikátem dá podstatně hůř.
Inteligentní ostrov - www.vati.cz
Uživatelský avatar
vata
 
Příspěvky: 1403
Registrován: pon zář 12, 2011 10:32 am

Re: METRIXOVÝ ŠKODIČ

Příspěvekod mypower.cz » úte dub 01, 2014 11:13 pm

Ad bezpecnost.. kuprikladu ja jsem tak paranoidni, ze ani SSH u me na mych serverech neni z venku videt.

Kód: Vybrat vše
[root@ntb]# nmap server5

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:07 CEST
Nmap scan report for server5 (77.92.192.83)
Host is up (0.031s latency).
Not shown: 998 filtered ports
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https



Kód: Vybrat vše
[root@ntb]# nmap server4

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:08 CEST
Nmap scan report for server4 (109.205.73.88)
Host is up (0.019s latency).
Not shown: 996 filtered ports
PORT    STATE SERVICE
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
443/tcp open  https



25 a 110 - tomu se nevyhnu, chci li aby fungovala posta a pop3. Slovnikove utoky resim pres fail2ban.

Kód: Vybrat vše
[root@ntb]# nmap server4 -p 22

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:10 CEST
Nmap scan report for server4 (109.205.73.88)
Host is up (0.016s latency).
PORT   STATE    SERVICE
22/tcp filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 0.35 seconds


Kód: Vybrat vše
[root@ntb]# nmap server5 -p 22

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:10 CEST
Nmap scan report for server5 (77.92.192.83)
Host is up (0.017s latency).
PORT   STATE    SERVICE
22/tcp filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 0.53 seconds


Schvalne.. jak na sve servery lezu ?

Odpoved: Vé Pé eN... A to jeste k tomu na uplne nestandardnim portu nez je bezne.

Nejhorsi je ale moment, kdy se na server potrebuju dostat a nemam po ruce svou Vé Pé eN.. Pak mám jeste ale zadni vrata, ale to si necham pro sebe :D

EDIT: jeste vyhody VPN, komprese + moznost jaks taks komunikovat i na rozpadavajici se siti. Odezvy jsou sice hrozne, ale pakety chodi spravne.
Uživatelský avatar
mypower.cz
R.I.P.
 
Příspěvky: 4935
Registrován: pát bře 04, 2011 11:36 am

Re: METRIXOVÝ ŠKODIČ

Příspěvekod camel1cz » úte dub 01, 2014 11:20 pm

Mne se osvedcila filtrace IP. Mam dve duveryhodna pripojeni na net, ktera smi SSH. Kdyz jsem fyzicky jinde, tak VPN na jednu z duveryhodnych lokaci. Nouzove se da i z mobilu :-)

Pristup na VPN bezici primo v housingu se mi neosvedcil.
3,78 kWp [12 x AUO 315 W mono]
5 kVA Axpert King [PIP-5048MK]
18 kWh [5x Pylontech US3000]
?
camel1cz
 
Příspěvky: 733
Registrován: pon bře 21, 2011 11:12 pm

Re: METRIXOVÝ ŠKODIČ

Příspěvekod solárník » úte dub 01, 2014 11:23 pm

Minimálně dát nestandardní porty. Většina blbků leze jen na standardní. VPN je jistější ale složitější.

Bohužel třeba u veřejného web serveru je to nepoužitelné. Už mne tak vytáčeli, byl to každou hodinu někdo, že po dvou špatných requestech jdou okamžitě na blacklist a mají smolíka. A když to náhodou nebylo úmyslně, můžou mi zkusit napsat a já je odbloknu. Od té doby je celkem klid a blacklist utěšeně roste :)

Arduino je bohužel profláklá knihovna od které má každý zdroják. Není problém si v něm zamatrixovat :)
?
solárník
 
Příspěvky: 1526
Registrován: pát bře 15, 2013 7:53 pm

Re: METRIXOVÝ ŠKODIČ

Příspěvekod camel1cz » úte dub 01, 2014 11:28 pm

Jojo, blacklist na mailserveru ma tisice zaznamu a to po mesici ty IP delistuje.
Internet je krutej saigon :-)

Btw. fail2ban se mi taky neosvedcil, vzdycky se najde sklerotik co usmikne celou firmu a pak je z toho servicecall a vysvetlovani
3,78 kWp [12 x AUO 315 W mono]
5 kVA Axpert King [PIP-5048MK]
18 kWh [5x Pylontech US3000]
?
camel1cz
 
Příspěvky: 733
Registrován: pon bře 21, 2011 11:12 pm

Re: METRIXOVÝ ŠKODIČ

Příspěvekod JJ_SZJVSCH » stř dub 02, 2014 1:31 pm

mypower.cz píše:
Kód: Vybrat vše
[root@ntb]# nmap server4

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:08 CEST
Nmap scan report for server4 (109.205.73.88)
Host is up (0.019s latency).
Not shown: 996 filtered ports
PORT    STATE SERVICE
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
443/tcp open  https


110 open pop3 - to snad ne ;) když už tedy používáš tento předpotopní protokol, tak radši 995 pop3s a i tak zakázat auth plain a dát pouze apop
mypower.cz píše:
Kód: Vybrat vše
[root@ntb]# nmap server4 -p 22
Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:10 CEST
Nmap scan report for server4 (109.205.73.88)
Host is up (0.016s latency).
PORT   STATE    SERVICE
22/tcp filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 0.35 seconds

Jde to líp - služba není vidět ani filtered (a bez toho abys toho démona vypnul a nebo neposlouchal na daném rozhraní).
Důvod je jednoduchý, útočník když má filtered tak ví že tam ta služba je, tzn. pokud se mu podaří přes wordpress/php.system dostat na konzoli (je najednou localhost :!: ), tak si může promluvit s daným démonem.
camel píše:Mne se osvedcila filtrace IP. Mam dve duveryhodna pripojeni na net, ktera smi SSH. Kdyz jsem fyzicky jinde, tak VPN na jednu z duveryhodnych lokaci. Nouzove se da i z mobilu

To záleží na tom jak to máš. Pokud tam máš fail2ban na 1 pokus blacklist, tak z toho mobilu nebo nouzově od kamaráda nesmíš chybně zadat heslo.
solárník píše:Arduino je bohužel profláklá knihovna od které má každý zdroják. Není problém si v něm zamatrixovat :)

No ale to je právě super. Pokud chybu najdeš tak dáš info komunitě a oprava je ihned. Jako admin z důvodů lenosti používám apt-get update / upgrade. A ne jako malýměkký - kterému trvá vydání opravy klidně měsíc.
camel1cz píše:Btw. fail2ban se mi taky neosvedcil

100% souhlas. Používám jen pro sshd.
Ostatní démoni by si filtraci měli dělat ve vlastní režii. V tuto chvíli mě pálí dovecot, zatím používám distribuční verzi ale asi mi nezbyde než si to dodělat.

Obecně doporučuji co nejméně démonů naslouchající na veřejce a pokud už musí, tak by měli mít co nejmenší paměťové nároky a nastavené omezení na max. child procesy. A u indiána používat mod_evasive - na běžný provoz stačí základní instalace.

Jinak sshd obecně na nějakým vysokým portu, používat klíče nebo otp, plainpass zakázát.
?
JJ_SZJVSCH
 
Příspěvky: 34
Registrován: stř úno 20, 2013 2:12 pm

Re: METRIXOVÝ ŠKODIČ

Příspěvekod mypower.cz » stř dub 02, 2014 1:41 pm

JJ_SZJVSCH píše:110 open pop3 - to snad ne ;) když už tedy používáš tento předpotopní protokol, tak radši 995 pop3s a i tak zakázat auth plain a dát pouze apop


Hned jak to zas budu potrebovat, tak ti predam pani ucetni v jedne firme a das ji na dalku vedet, jak si tam ma naklikat pop3s ju ? :D To je leckdy nemozne .. :D I kdyz neni to vylouceno, ze se to nekomu povede ..

Uz jsem postu na svych serverech zminimalizoval ukoncenim meho podnikani spise zamereneho tehdy na poskytovani hostingovych sluzeb. Tedy ted vlastne na svych serverech mam postu jen pro sve ucely. Snad uz jediny kdo se na mypower.cz prihlasuje je matej, diky matej zavinac mypower.cz, coz bylo kdysi zrizeno a me se tehda kvuli jednomu mailu nechtelo studovat pop3s na serveru i kdyz je mi jasne ze to je trivialni (podesate urcite ano :) to je jistota, to uz pak jde samo) Tudiz jestli matej tento mail nepouziva, tak pak nemam duvod mit ani 110 otevrene z venci a muzu to vse zabednit za svou Vé pé eN :D a sam se na svuj pop3 prihlasovat odkudkoliv z Vé Pé eN, pricemz posta bude furt na 10.10.0.1 at budu kdekoliv, trebas v azerbajdžánu... Navic pro prijem posty muzu pouzit v nejvetsi nouzi treba telnet :D tedy samozrejme pres Vé Pé eN.
Uživatelský avatar
mypower.cz
R.I.P.
 
Příspěvky: 4935
Registrován: pát bře 04, 2011 11:36 am

Re: METRIXOVÝ ŠKODIČ

Příspěvekod JJ_SZJVSCH » stř dub 02, 2014 2:01 pm

mypower.cz píše:Hned jak to zas budu potrebovat, tak ti predam pani ucetni v jedne firme a das ji na dalku vedet, jak si tam ma naklikat pop3s ju ? :D To je leckdy nemozne .. :D I kdyz neni to vylouceno, ze se to nekomu povede ..


Já ti obsluhovat tvoje zákazníky nebudu :D
Řešení určitě znáš, jmenuje se Teamviewer, to snad paní účetní spustí :lol:
V dnešní době neznám windowzího klienta který neumí pop3s.

mypower.cz píše:...nechtelo studovat pop3s na serveru i kdyz je mi jasne ze to je trivialni (podesate urcite ano :)

Sám sis odpověděl ;)
pop3s není nic jiného než pop3 zabalená v SSL. Kdysi jsem jí do qmailu instaloval přes stunnel.
?
JJ_SZJVSCH
 
Příspěvky: 34
Registrován: stř úno 20, 2013 2:12 pm

Re: METRIXOVÝ ŠKODIČ

Příspěvekod mypower.cz » stř dub 02, 2014 2:06 pm

No jasne ze znam.. Zkousel jsem ruuuuzna reseni. Rekl bych ze kdyz mi jich ted 10 vyjmenujes, tak az to 11te jsem nezkousel :) 11te se jmenuje prijet tam a nastavit to. No zkratka dnes uz resit 110ku zvenku prakticky nemusim, takze problem je vyresen.
Uživatelský avatar
mypower.cz
R.I.P.
 
Příspěvky: 4935
Registrován: pát bře 04, 2011 11:36 am

METRIXOVÝ ŠKODIČ II

Příspěvekod Frenky » ned srp 31, 2014 2:11 pm

!!! POZOR KOMUNITO !!!

Metrixový škodič opět řádí.

Dnes jsem měl "nedopatřením" :oops: otevřený port do TRISTARU (Před časem jsem něco řešil dálkově s kamarádem) a ŠKODIČ mi přeprogramoval TRISTARA. Naštěstí žádné fyzické škody nenadělal. Bacha na něj.

Nenechávejte na routerech otevřené porty (NAT), nebo se budete bavit lovením chyb, ku.va, proč mi to zase nechodí jako já. Do Tristaru jsem se dostal až přes sériový port.
24x Solární panel JINKO SOLAR 225 Pmpp=225W, 2x Regulátor STUDER VT-80, 2x Střídač Studer XTM 4000-48, BSP, RCC, AKU 48V LFP200Ah, 2x AKU DURATHON E4815. Řizení a dohled, SDS, vlastní vyčítání arduinem DUE v krabičce (ARMOSY), export dat do RPi s databází a html stránkou.
http//95.85.214.80, http://forum.mypower.cz/viewtopic.php?f=3&t=4809
Uživatelský avatar
Frenky
podporuje fórum
 
Příspěvky: 786
Registrován: pon led 21, 2013 6:36 pm
Bydliště: Doubravička

Re: METRIXOVÝ ŠKODIČ

Příspěvekod JML... » ned srp 31, 2014 10:17 pm

Pokud si uz pustite internet po nejakych portech do domaci site pomoci routeru za 2 stovky, tak se samozrejme stane co zde popisujete. Doporucuji uz neco chytrejsiho co umi politiky provozu a rozpoznavani paketu, pak lze mit otevrene porty pro sluzby a skodicuv scan vasi ip nema sanci cokoli rozpoznat. Bezne mam tak 6 scanu do hodiny, icmp pakety pro preteceni bufferu, udp syn icmp syn-ack flood apod. router to zamaskuje a utocnik to vzdava pro mrtvost na portech bez odezvy i kdyz je na nich provoz. Umi to i obranu proti vytezovani, nastavi se povoleny trafik za ms a je mrtvo, po prekroceni lze dat na black list ip4 ipv6.
Investicí do FVE chci ušetřit, né okrádat národ na odpustcích za výkup a nějaký barevný bonus!
2.8kWp + Vertex/InfiniSolar 3kW + 100Ah 48V LiFeYPO + A20mikroserver = moje FVE
Uživatelský avatar
JML...
 
Příspěvky: 156
Registrován: úte lis 06, 2012 12:33 pm

Další

Zpět na WWW rozhraní

Kdo je online

Uživatelé procházející toto fórum: CC [Bot] a 0 návštevníků

Reputation System ©'