LINUX.ORG.RU

блокировка 22го порта


0

1

привет.

есть подозрение, что злоумышленник нарушил безопасность сервера таким образом, что рут не может сменить свой пароль. при этом, доступ по ssh остается доступным злоумышленнику.

вопрос в том, что я, попросил провайдера заблокировать 22ой порт, до завтрашнего дня с надеждой, что таким образом это помешает злоумышленнику скопировать данные с сервера(сервер выделенный). вопрос в том, имеют ли подобные конторы возможность выполнить блокировку 22го порта? (или какого-либо другого) ибо в ответ мне сообщили о том, что такой возможности нет.

благодарен.

★★★

Технически возможность как правило есть. Другое дело, что как правило они не обязаны этого делать по SLA. Кроме того, закрытие 22 порта - не панацея.

router ★★★★★ ()

Смотря что считать возможностью. Бывает, что настройку оборудования выполнили командированный специалист и уехал, и никто из местных что-либо менять не будет.

Вобще не понятно к чему данный вопрос. Если вам здесь бы ответили «ДА, такая возможность всегда есть», то что, мнение ЛОРа послужило бы аргументов в споре с провайдером?

mky ★★★★★ ()
Ответ на: комментарий от mky

Если вам здесь бы ответили «ДА, такая возможность всегда есть», то что, мнение ЛОРа послужило бы аргументов в споре с провайдером?

да, ибо даже я насколько мегабезграмотен в данном вопросе, я понимаю что неможет быть такого, чтоб провайдер не мог заблокировать 22ой порт.

niXman ★★★ ()
Ответ на: комментарий от niXman

SLA Если коротко: когда ты заключал договор, вряд ли тебе обещали блокировку портов по запросу

router ★★★★★ ()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от niXman

Если провайдер не обязан что-либо делать по договору, он и не будет это делать.

У провайдера есть разделение труда, и, работа с клиентами, это, грубо говоря менеджер с какой-то программой управления, в которой есть некие ограниченный возможности. Если в этой программе нет кнопочки «отключить порта», значит нет такой возможности. Вызывать админа, чтобы он лез в конфиг маршрутизатора и что-то там менял лишний раз никто не будет.

И, в 1999 году я встречал админа в одной крупной огранизации, который не знал как на Cisco закрыть определённый порт для опредлённого ip-адреса. Умел только полностью закрывать определённый ip-адрес и утвержал, что ничего другого Cisco делать не умеет, спорить с ним было бесполезно.

mky ★★★★★ ()

Запретить логин через ssh руту, текущим пользователям сменить пароли.
Проверить какие порты кто слушает, так же повесить снифалку на пару дней, хотя бы.
Для начала так.
А по теме - провайдер, если это не было в договорённости, ничего делать не должен и скорее всего не будет.
Тем более тот, кто это может сделать, как правило, далеко от обезьянок в саппорте.

Spirit_of_Stallman ★★★ ()
Последнее исправление: Spirit_of_Stallman (всего исправлений: 1)
Ответ на: комментарий от Spirit_of_Stallman

странность в том, что я сам не могу сейчас войти как рут. при этом, мне все еще позволен доступ к isp-manager. из него, я не могу выключить сервер, только перегружать. и вообще, из него я мало что могу. служба поддержки похоже ушла спать...

niXman ★★★ ()
Ответ на: комментарий от niXman

Ну.. если злоумышленник есть, и от отобрал чистого рута, но остался пользователь с рутом из судоэрса, без возможности что-то менять - я бы по ssh бутал сервер каждые 2 минуты, скажем, скриптом. Тогда с сервака ничего не слить (ну или не по ssh, то бегом бы накатал кнопалку в isp-управлялке, если она через http).
Но это уже крайне дурные способы. Я уверен вы чего-то недосмотрели или мало назойничали в саппорт :)

Spirit_of_Stallman ★★★ ()
Ответ на: комментарий от niXman

а простого юзеря с sudo нема? на будущее: завести такого юзеря. закрыть вход руту по паролю, оставить только по ключу. был бы kvm, можно было бы в single user загрузить, но и там на линуксах пароль нужен. rescue системы (бут через bootp) я так понимаю тоже нет? назойничать суппорту.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)

Попробуй потушить ssh демона вообще, или веб-админка не настолько крута?

pekmop1024 ★★★★★ ()
Ответ на: комментарий от router

Ну, это было более чем очевидно.
Я же написал что способ просто мусор, сгенеренный на лету, что бы применил, если бы было жарко, и мне бы требовалось время на более серьёзные меры :)
Есть же большая вероятность что вору тоже нужно будет время на мимикрию под новую ситуацию.

Spirit_of_Stallman ★★★ ()
Ответ на: комментарий от Spirit_of_Stallman

в общем, перегружать сервер до тех пор пока служба поддержки не проснется, я бы не выдержал. удалил /boot и послал в перезагрузку. уснул на века.

печальная ситуация. вот думаю, способна ли тамошняя служба поддержки, провести тщательный анализ ситуации и предоставить отчет. или, возможно, существуют подобные конторы?

niXman ★★★ ()
Ответ на: комментарий от niXman

удалил /boot …

жестоко. стоп, если у тебя был доступ к ФС и похоже что с правами рут, то что тебе помешало поправить /etc/shadow?

beastie ★★★★★ ()
Ответ на: комментарий от niXman

ладно теперь знаешь.

первое правило админа: прежде чем тыцнуть «энтер», сесть попой на свои ручки и подумать.

теперь без суппорта уже никуда. бекап то надеюсь хоть есть (так на всякий случай)?

расследования проводить и отчёты писать никто не будет. взлом виртуальных хостингов дело обычное и никому не интересное.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

бекап то надеюсь хоть есть (так на всякий случай)?

да, основные особоважные данные не потеряны.

взлом виртуальных хостингов

нет, это выделенный сервер. тут дело принципа. сервер используется для разработки/тестирования коммерческого ооочень дорогого проекта. причину/способ взлома знать нужно. как и возможную потенциальную «поддержку» со стороны какого-либо из разработчиков.

существуют ли конторы, способные произвести подобный анализ? или, возможно, существует оочень бородатый дяденька, который заинтересован поиметь денежку?

niXman ★★★ ()
Ответ на: комментарий от niXman

Интересный у тебя работодатель, экономящий на нормальных админах.

X10Dead ★★★★★ ()
Последнее исправление: X10Dead (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.