METRIXOVÝ ŠKODIČ

[Frenky]

Ahoj komunito
Nevím co jsem komu provedl, ale mojí veřejnou adresu navštívil nejaký škodič a neustále mi v mých krabičkách škodí.
Píšu sem, protože si tak nějak nevím rady a taky proto abych vás všechny tak trochu varoval.
Nejsem v PC zabezpečení příliš dobrý a potřebuji poradit jak si mám mou veřejnou adresu ochránit před nenechavími chapadly metrixového škodiče.

Popis činnosti škodiče
Nevím kdo to je a nechci být sprostý, ale nas... mě do běla
1) Nějakým zatím mně neznámým způsobem dokáže zablokovat arduino (microlog) tak, že přestane reagovat a neodesílá potom data a tváří se jak kus šutru. (kolikrát nepomůže ani restart).
Přepíná samozřejmně relé sem a tam (tady si mohl přepínat co chtěl, nebylo na nich nic připojené, ale sralo mě to, protože jsem nemohl spát, tak jsem mu je pro jistotu odpojil úplně)
2) Protože se mi dostal i do SDS (neměl jsem tam vyměněné heslo), tak přeprogramoval vestavěná relé a začal škodit i tímto způsobem. Škodil i přes uživatelskou stránku a přepínal stochasticky všechna relé.
v tomto případě se mi podařilo ho zastavit změnou hesla a zaheslováním uživatelské stránky.
3) Arduino na vyčítání studeru
Tady samozřejmně taky řádil s relátky a snažil se něčím uškodit, ale zase jako obvykle není na nich krom dálkového restartu nic připojené.
Tady jsem mu odstavil webovou stranku s relé, aby neměl čím cvakat.
No a na webovou stranku arduina jsem mu napsal text jak ho mám rád a ať si jde hrát zase s něčím jiným a jinam.

Potřebuji poradit jak mám škodiče vystrnadit od sebe a mých hraček. V routeru mám udělaný pouze NAT překlad portů a neumím to lépe zabezpečit. Pro začátek by stačilo kdyby někdo mohl poradit jak odchytit škodičovu adresu. Třeba bych ho chytnul u sousedů na chodbě a dal mu pár facek.

PORAĎTE PROSÍM

Dík Frenky

[mypower.cz]

Takovym zpusobem, jakym si zajistil pristup k ulogu z venku, takovym zpusobem ho zrus. Zrejme mas z venku portforwarding. Zrus ho na routeru. predpokladam ze doma nemas 10 verejnych IP, tudiz ulog je jiste na lokalni siti a nekdo mu musel pristup zvenku zprostredkovat. Tak tento postup udelat obracene.

[Frenky]

Vykonáno jest porforwarding zrušen, tak snad alespoň mikrolog bude v bezpečí
Dík

[vata]

Zdravím, vystavovat tahle zařízení zvenku není vůbec dobrý nápad... Nemusí zrovna cvakat relátkama (to je už vážně zle, podle toho, co tím ovládáte), stačí, aby Vám je zahltil požadavkama. Zařízení bezpečně zavřít v lokální síti schované za firewallem. Na SDS zakázat ovládání relé jinak než z SDS-C a samozřejmě (!) změnit výchozí hesla... Člověk nemusí být paranoidní, aby si představil, co nějaký puberťák hrající si na hackera, mohl způsobit za škodu, kdyby se dostal na regulátor nebo na SDS s Valcem... Jednoduché přesměrování portů nepomůže, každou chvilku někdo ze světa dělá port scan a kouká, co je vevnitř. Zakázat všechno kromě 80, a tu směrovat jen na nějakou nekritickou prezentaci.

[PavelR]

V sitich se vyznam pouze v zakladnim nastavovani atp. Proto mam dotaz. Kdyz takto nekdo smejdi po siti je nejaka realna moznost takovato zarizeni zabezpecit aby slo z venku menit paramtery bezpecne?
Neco ve stylu komplikovaneho jmena a hesla nebo nejak povolit pouze mac adresy zarizeni kterymi k tomu clovek pristupuje (napr notebook nekde venku, tablet ... ) ???

[mypower.cz]

Vé Pé eN

[vata]

nebo i něco jednoduššího může rychle pomoci, jako třeba PPTP.

[PavelR]

Jo tak. no jedna strana vpn by bezela v pc kde chci prohlizet a druha? v routeru?
Pokud tomu dobre rozumim tak by arduino, sds .... byly pouze v mistni siti a nebyly by videt z venku a tim vpn by se tato vnitrni sit prenesla na vzdalene pc?
A predpokladam ze nebourat se do vpn je asi obtizne.

[mypower.cz]

http://www.root.cz/clanky/openvpn-vpn-jednoduse/

http://www.root.cz/clanky/openvpn-vpn-jednoduse-2/

http://cs.wikipedia.org/wiki/OpenVPN

[vata]

První věcí je všechno maximálně zabezpečit tak, aby to opravdu nebylo přístupné zvenku - nepovolit žádný provoz zvenku na kritická zařízení v síti. V routerech běžících na linuxu (třeba Mikrotik) se nastaví vpn, člověk odkudkoliv se do něj přihlásí a tím se virtuálně ocitne ve vnitřní síti a může cokoliv.
Nabourat se do PPTP lze, když se chce. Nabourat se do openVPN s klientským i serverovým certifikátem dá podstatně hůř.

[mypower.cz]

Ad bezpecnost.. kuprikladu ja jsem tak paranoidni, ze ani SSH u me na mych serverech neni z venku videt.

Kód: Vybrat vše

[root@ntb]# nmap server5

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:07 CEST
Nmap scan report for server5 (77.92.192.83)
Host is up (0.031s latency).
Not shown: 998 filtered ports
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https

Kód: Vybrat vše

[root@ntb]# nmap server4

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:08 CEST
Nmap scan report for server4 (109.205.73.88)
Host is up (0.019s latency).
Not shown: 996 filtered ports
PORT    STATE SERVICE
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
443/tcp open  https

25 a 110 - tomu se nevyhnu, chci li aby fungovala posta a pop3. Slovnikove utoky resim pres fail2ban.

Kód: Vybrat vše

[root@ntb]# nmap server4 -p 22

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:10 CEST
Nmap scan report for server4 (109.205.73.88)
Host is up (0.016s latency).
PORT   STATE    SERVICE
22/tcp filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 0.35 seconds

Kód: Vybrat vše

[root@ntb]# nmap server5 -p 22

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:10 CEST
Nmap scan report for server5 (77.92.192.83)
Host is up (0.017s latency).
PORT   STATE    SERVICE
22/tcp filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 0.53 seconds

Schvalne.. jak na sve servery lezu ?

Odpoved: Vé Pé eN... A to jeste k tomu na uplne nestandardnim portu nez je bezne.

Nejhorsi je ale moment, kdy se na server potrebuju dostat a nemam po ruce svou Vé Pé eN.. Pak mám jeste ale zadni vrata, ale to si necham pro sebe

EDIT: jeste vyhody VPN, komprese + moznost jaks taks komunikovat i na rozpadavajici se siti. Odezvy jsou sice hrozne, ale pakety chodi spravne.

[camel1cz]

Mne se osvedcila filtrace IP. Mam dve duveryhodna pripojeni na net, ktera smi SSH. Kdyz jsem fyzicky jinde, tak VPN na jednu z duveryhodnych lokaci. Nouzove se da i z mobilu

Pristup na VPN bezici primo v housingu se mi neosvedcil.

[solárník]

Minimálně dát nestandardní porty. Většina blbků leze jen na standardní. VPN je jistější ale složitější.

Bohužel třeba u veřejného web serveru je to nepoužitelné. Už mne tak vytáčeli, byl to každou hodinu někdo, že po dvou špatných requestech jdou okamžitě na blacklist a mají smolíka. A když to náhodou nebylo úmyslně, můžou mi zkusit napsat a já je odbloknu. Od té doby je celkem klid a blacklist utěšeně roste

Arduino je bohužel profláklá knihovna od které má každý zdroják. Není problém si v něm zamatrixovat

[camel1cz]

Jojo, blacklist na mailserveru ma tisice zaznamu a to po mesici ty IP delistuje.
Internet je krutej saigon

Btw. fail2ban se mi taky neosvedcil, vzdycky se najde sklerotik co usmikne celou firmu a pak je z toho servicecall a vysvetlovani

[JJ_SZJVSCH]

Kód: Vybrat vše

[root@ntb]# nmap server4

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:08 CEST
Nmap scan report for server4 (109.205.73.88)
Host is up (0.019s latency).
Not shown: 996 filtered ports
PORT    STATE SERVICE
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
443/tcp open  https

110 open pop3 - to snad ne když už tedy používáš tento předpotopní protokol, tak radši 995 pop3s a i tak zakázat auth plain a dát pouze apop

Kód: Vybrat vše

[root@ntb]# nmap server4 -p 22
Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-02 00:10 CEST
Nmap scan report for server4 (109.205.73.88)
Host is up (0.016s latency).
PORT   STATE    SERVICE
22/tcp filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 0.35 seconds

Jde to líp - služba není vidět ani filtered (a bez toho abys toho démona vypnul a nebo neposlouchal na daném rozhraní).
Důvod je jednoduchý, útočník když má filtered tak ví že tam ta služba je, tzn. pokud se mu podaří přes wordpress/php.system dostat na konzoli (je najednou localhost ), tak si může promluvit s daným démonem.

Mne se osvedcila filtrace IP. Mam dve duveryhodna pripojeni na net, ktera smi SSH. Kdyz jsem fyzicky jinde, tak VPN na jednu z duveryhodnych lokaci. Nouzove se da i z mobilu

To záleží na tom jak to máš. Pokud tam máš fail2ban na 1 pokus blacklist, tak z toho mobilu nebo nouzově od kamaráda nesmíš chybně zadat heslo.

Arduino je bohužel profláklá knihovna od které má každý zdroják. Není problém si v něm zamatrixovat

No ale to je právě super. Pokud chybu najdeš tak dáš info komunitě a oprava je ihned. Jako admin z důvodů lenosti používám apt-get update / upgrade. A ne jako malýměkký - kterému trvá vydání opravy klidně měsíc.

Btw. fail2ban se mi taky neosvedcil

100% souhlas. Používám jen pro sshd.
Ostatní démoni by si filtraci měli dělat ve vlastní režii. V tuto chvíli mě pálí dovecot, zatím používám distribuční verzi ale asi mi nezbyde než si to dodělat.

Obecně doporučuji co nejméně démonů naslouchající na veřejce a pokud už musí, tak by měli mít co nejmenší paměťové nároky a nastavené omezení na max. child procesy. A u indiána používat mod_evasive - na běžný provoz stačí základní instalace.

Jinak sshd obecně na nějakým vysokým portu, používat klíče nebo otp, plainpass zakázát.

[mypower.cz]

110 open pop3 - to snad ne když už tedy používáš tento předpotopní protokol, tak radši 995 pop3s a i tak zakázat auth plain a dát pouze apop

Hned jak to zas budu potrebovat, tak ti predam pani ucetni v jedne firme a das ji na dalku vedet, jak si tam ma naklikat pop3s ju ? To je leckdy nemozne .. I kdyz neni to vylouceno, ze se to nekomu povede ..

Uz jsem postu na svych serverech zminimalizoval ukoncenim meho podnikani spise zamereneho tehdy na poskytovani hostingovych sluzeb. Tedy ted vlastne na svych serverech mam postu jen pro sve ucely. Snad uz jediny kdo se na mypower.cz prihlasuje je matej, diky matej zavinac mypower.cz, coz bylo kdysi zrizeno a me se tehda kvuli jednomu mailu nechtelo studovat pop3s na serveru i kdyz je mi jasne ze to je trivialni (podesate urcite ano to je jistota, to uz pak jde samo) Tudiz jestli matej tento mail nepouziva, tak pak nemam duvod mit ani 110 otevrene z venci a muzu to vse zabednit za svou Vé pé eN a sam se na svuj pop3 prihlasovat odkudkoliv z Vé Pé eN, pricemz posta bude furt na 10.10.0.1 at budu kdekoliv, trebas v azerbajdžánu... Navic pro prijem posty muzu pouzit v nejvetsi nouzi treba telnet tedy samozrejme pres Vé Pé eN.

[JJ_SZJVSCH]

Hned jak to zas budu potrebovat, tak ti predam pani ucetni v jedne firme a das ji na dalku vedet, jak si tam ma naklikat pop3s ju ? To je leckdy nemozne .. I kdyz neni to vylouceno, ze se to nekomu povede ..

Já ti obsluhovat tvoje zákazníky nebudu
Řešení určitě znáš, jmenuje se Teamviewer, to snad paní účetní spustí
V dnešní době neznám windowzího klienta který neumí pop3s.

...nechtelo studovat pop3s na serveru i kdyz je mi jasne ze to je trivialni (podesate urcite ano

Sám sis odpověděl
pop3s není nic jiného než pop3 zabalená v SSL. Kdysi jsem jí do qmailu instaloval přes stunnel.

[mypower.cz]

No jasne ze znam.. Zkousel jsem ruuuuzna reseni. Rekl bych ze kdyz mi jich ted 10 vyjmenujes, tak az to 11te jsem nezkousel 11te se jmenuje prijet tam a nastavit to. No zkratka dnes uz resit 110ku zvenku prakticky nemusim, takze problem je vyresen.

[Frenky]

!!! POZOR KOMUNITO !!!

Metrixový škodič opět řádí.

Dnes jsem měl "nedopatřením" otevřený port do TRISTARU (Před časem jsem něco řešil dálkově s kamarádem) a ŠKODIČ mi přeprogramoval TRISTARA. Naštěstí žádné fyzické škody nenadělal. Bacha na něj.

Nenechávejte na routerech otevřené porty (NAT), nebo se budete bavit lovením chyb, ku.va, proč mi to zase nechodí jako já. Do Tristaru jsem se dostal až přes sériový port.

[JML...]

Pokud si uz pustite internet po nejakych portech do domaci site pomoci routeru za 2 stovky, tak se samozrejme stane co zde popisujete. Doporucuji uz neco chytrejsiho co umi politiky provozu a rozpoznavani paketu, pak lze mit otevrene porty pro sluzby a skodicuv scan vasi ip nema sanci cokoli rozpoznat. Bezne mam tak 6 scanu do hodiny, icmp pakety pro preteceni bufferu, udp syn icmp syn-ack flood apod. router to zamaskuje a utocnik to vzdava pro mrtvost na portech bez odezvy i kdyz je na nich provoz. Umi to i obranu proti vytezovani, nastavi se povoleny trafik za ms a je mrtvo, po prekroceni lze dat na black list ip4 ipv6.