Freesco, NND, CDN, EOS :: Wyświetl temat - Trojan pscan2 na NND

: [/] [] ()

iptables -t filter -A INPUT -i eth0 -p tcp -d 192.168.1.1 --dport http -m string --string "/default.ida?" -j DROP
iptables -t filter -A INPUT -i eth0 -p tcp -d 192.168.1.1 --dport http -m string --string ".exe?/c+dir?" -j DROP
iptables -t filter -A INPUT -i eth0 -p tcp -d 192.168.1.1 --dport http -m string --string ".exe?/c+tftp" -j DROP

Autor:	milupo [ piątek, 2 grudnia 2005, 20:12 ]
Tytuł:	Trojan pscan2 na NND - jak się go pozbyc
Witam, Mam najnowsza dystrybucje NND i wlasnie wczoraj dostal sie trojan pscan2 Katalog team2 zostal utorzony w /home/imap pscan2 zajmowal prawie 100% czasu procesora. Mialem uruchomione http, mysql, php, ssh i ftp. Mial juz kiedys ktos problem z czyms takim? Jak polatac system zeby nie doszlo do czegos takiego ponownie? Z gory dzieki za info

Autor:	Maciek [ piątek, 2 grudnia 2005, 21:57 ]
Tytuł:
1. Nie dawać userom shella (AllowUsers w sshd_config). 2. Jesli ftp nie jest potrzebny, nie otwierać go na świat. 3. Samemu dobierać userom hasła typu A.dw3.ghP. 4. Unikac zakładania userów o nazwach: admin, ftpuser, webmaster, test, administrator. 5. Zainstalowac jakiś IDS, chocby portsentry, to odsieje sporą część głupków. Padłeś ofiarą głupawego script-kiddie, który u ciebie założył maszynke do atakowania następnych naiwniaków. Włamanie było ewidentnie twoją winą, bo miałeś łatwe słownikowe hasło przynajmniej na jednym użytkowniku. Jesli na roocie to było to się kwalifikujesz do porządnego mordobicia

Autor:	przemek_nnd [ piątek, 2 grudnia 2005, 23:40 ]
Tytuł:
Zastanawiam się czy nie da się załozyć regułki na iptables aby odrzucał pakiety wysyłane przez tego trojana tak jak np n code red lub nimda : [/] [] () iptables -t filter -A INPUT -i eth0 -p tcp -d 192.168.1.1 --dport http -m string --string "/default.ida?" -j DROP iptables -t filter -A INPUT -i eth0 -p tcp -d 192.168.1.1 --dport http -m string --string ".exe?/c+dir?" -j DROP iptables -t filter -A INPUT -i eth0 -p tcp -d 192.168.1.1 --dport http -m string --string ".exe?/c+tftp" -j DROP GeSHi © Codebox Plus ale tutaj musi wypowiedzieć się większy fachura ode mnie

Autor:	milupo [ sobota, 3 grudnia 2005, 12:06 ]
Tytuł:
1. Co do userow to kilku ma shella ale to nie userzy z sieci ale zaufane osoby 2. Niestety ftp jest potrzebny (jak mozna najlepiej go skonfigurowac) 3. Wszystkie konta mialy hasla linuowe typu bk4q2...itd 4. Co do niektorych userow to loginy byly oczywiste (np. admin) ale haslo bylo naprawde skomplikowane (przypadkowy ciag liter i cyfr) 5. Co to jest IDS ? To ze to byla moja wina to sie domyslam ale chcialbym wiedziec jak to sie stalo ( hasla jak pisalem nie sa ze slownika) 6. Na szczescie nie bylo to na roocie wiec pewnie nie dostane . Bylo to na koncie imap'a Teraz juz na szczescie wrocilo wszystko do normy. Procesy sa w normie ilosc polaczen tez... ale czy nie zostaly jakies dziury w systemie ? Jak mozna to sprawdzic i ewentualnie zalatac. Jesli ktos bedzie mial propozycje lub zasugeruje cos sensownego to z gory jestem wdzieczny

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Trojan pscan2 na NND - jak się go pozbyc http://forum.freesco.pl/viewtopic.php?f=22&t=10110	Strona 1 z 1

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/