Artikel: "Trojaner rammer Linux maskiner for fuld kraft"

Nyheder om Open Source, Ubuntu, andre distributioner og meget mere.
Jimmyfj
Indlæg: 1712
Tilmeldt: 19. jul 2007, 19:35
Geografisk sted: Nordjylland

Re: Artikel: "Trojaner rammer Linux maskiner for fuld kraft

Indlægaf Jimmyfj » 5. sep 2012, 22:07

Faldt lige over denne artikel: http://www.basicconfig.com/security/setup_firewall_ubuntu_using_ufw

Her finder du en rigtig god forklaring, samt en bunke parametre til ufw du kan lege med.
"OM 100 ÅR ER ALTING GLEMT !"


Ubuntu - Dev-ed.
Linux User # 448500

laoshi
Redaktør
Indlæg: 5515
Tilmeldt: 26. apr 2008, 20:52
IRC nickname: laoshi
Geografisk sted: Vejle

Re: Artikel: "Trojaner rammer Linux maskiner for fuld kraft

Indlægaf laoshi » 5. sep 2012, 23:13

Kan lige supplere jimmys henvisning med at par andre gode forklaringer med eksempler:
https://help.ubuntu.com/community/UFW
https://wiki.ubuntu.com/UncomplicatedFirewall
og - om forskellen i ufw på deny og reject: http://stackoverflow.com/questions/4907173/ufw-linux-firewall-difference-between-reject-and-deny
"Von guten Mächten wunderbar geborgen
erwarten wir getrost was kommen mag.
Gott ist mit uns am Abend und am Morgen
Und ganz gewiss an jedem neuen Tag"

(Dietrich Bonhoeffer 1906-1945)

http://www.stromata.dk
https://wiki.ubuntu.com/FlemmingChristensen
https://launchpad.net/~laoshi

lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlægaf lath » 5. sep 2012, 23:37

Stra skrev:Spis nu brød til.

Den historie var oppe her for et par dage siden

http://www.version2.dk/artikel/advarsel-foerste-trojanske-virus-til-mac-os-og-linux-spottet-47337

og der er ikke meget fugl,s føde på den historie.


Ja den historie er ret så oppustet, og er vinklet lidt rigeligt "breaking nerws"-agtigt af journalisten efter min smag.
Der er ikke rigtig noget nyt under solen for at sige det mildt - de andre har sagt hvad der skal siges om den sag.

---

En ufw kommandoi et tidliger indlæg bruger firewallen inden i kernen, men det kan gøres meget mere effektivt:

Sig goddag til black hole routing.

Lyder "black hole" ondt sammen med "routing"?
Det er det også - for den der angriber din maskine.
Black hole routing eller null routing kræver stort set intet i system ressourcer, og er derfor rigtig effektivt til at jorde pakker fra og til en bestemt IP adresse eller IP adresse område.

Kommandoen er:

Kode: Vælg alt

route add -host 212.7.208.65 reject

Skal du udføre kommandoen 1 gang skal du huske sudo foran.
skal det være mere permanent sætter sætter du den ind i /etc/rc.local filen - uden sudo foran, da den kører med root rettigheder (sæt linien ind næst-nederst i den fil, på en ny linie lige før "exit 0" linien).

Du kan tjekke at overnævnte virker med:

Kode: Vælg alt

sudo ip route get 212.7.208.65

og svaret skulle så være:
RTNETLINK answers: Network is unreachable


Der er lukket - smidt i et sort hul!

Anekdote
Engang kom Kina til at lede trafikken til Google, Microsoft og andre store internet aktører ind til Kina.
Den slags blackhat adfærd kan backbone leverandørerne ikke lide, så de besluttede sig for i fællesskab at black hole route Kina - altså klippe internetforbindelsen for Kina. (Det var nok deres cyber war alarmberedskab der gik i gang, og det er NATO der giver ordren om black hole routing.)
- ca 9 minutter efter Kina var startet med at lede IP pakker der ikke var til dem ind i Kina havde revl og krat i Kina ingen internetforbindelse ud af og ind til Kina.
Det er >1,2 mia mennesker!

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags

laoshi
Redaktør
Indlæg: 5515
Tilmeldt: 26. apr 2008, 20:52
IRC nickname: laoshi
Geografisk sted: Vejle

Re: Artikel: "Trojaner rammer Linux maskiner for fuld kraft

Indlægaf laoshi » 6. sep 2012, 07:49

lath skrev:Kommandoen er:

Kode: Vælg alt

route add -host 212.7.208.65 reject


Skal du udføre kommandoen 1 gang skal du huske sudo foran.
skal det være mere permanent sætter sætter du den ind i /etc/rc.local filen - uden sudo foran, da den kører med root rettigheder (sæt linien ind næst-nederst i den fil, på en ny linie lige før "exit 0" linien).

Du kan tjekke at overnævnte virker med:

Kode: Vælg alt

sudo ip route get 212.7.208.65


og svaret skulle så være:
RTNETLINK answers: Network is unreachable



Der er lukket - smidt i et sort hul!


Vel ikke helt i et sort hul! Med 'reject' sender du et "connection refused"-svar tilbage til angriberen. Med 'deny' forsvinder henvendelsen i det sorte hul uden at der sendes svar tilbage - det ender med en 'time out'-fejl på angriberens side.

Som de konkluderer i artiklen på stackoverflow:
stackoverflow skrev:On the other hand, it is a bit more polite to let people know that you are rejecting their connections. A refused connection lets people know that it is most probably a permanent policy decision, rather than e.g. a short-term networking issue.


Men uanset om man bruger deny eller reject, så er det en god ide at blokere skumle IP'adresser ved hjælp af ufw.

Og jeg vil stadigvæk også anbefale wot-plugin til Firefox og Chromium, så man får en advarsel hvis man er ved at åbne en side som man bør holde sig fra.
"Von guten Mächten wunderbar geborgen
erwarten wir getrost was kommen mag.
Gott ist mit uns am Abend und am Morgen
Und ganz gewiss an jedem neuen Tag"

(Dietrich Bonhoeffer 1906-1945)

http://www.stromata.dk
https://wiki.ubuntu.com/FlemmingChristensen
https://launchpad.net/~laoshi

Brugeravatar
Toddvarg
Indlæg: 841
Tilmeldt: 19. maj 2007, 19:59
Geografisk sted: Vejle

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlægaf Toddvarg » 6. sep 2012, 12:36

laoshi skrev:Efter i ufw at have blokeret udgående trafik til 212.7.208.65 giver ping'en mig dette svar:
ping.png


Det må betyde at min ikke er blokkeret, kan det betyde at min firewall ikke fungere som den skal, da jeg får

Kode: Vælg alt

gundersen@gundersen-desktop:~$ ping 212.7.208.65
PING 212.7.208.65 (212.7.208.65) 56(84) bytes of data.
64 bytes from 212.7.208.65: icmp_req=1 ttl=52 time=31.9 ms


Og jeg har lagt ind alle kodene
Ting tager tid

med venlig hilsen
Tom Oddvar Gundersen

laoshi
Redaktør
Indlæg: 5515
Tilmeldt: 26. apr 2008, 20:52
IRC nickname: laoshi
Geografisk sted: Vejle

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlægaf laoshi » 6. sep 2012, 14:38

Toddvarg skrev:
laoshi skrev:Efter i ufw at have blokeret udgående trafik til 212.7.208.65 giver ping'en mig dette svar:
ping.png


Det må betyde at min ikke er blokkeret, kan det betyde at min firewall ikke fungere som den skal, da jeg får

Kode: Vælg alt

gundersen@gundersen-desktop:~$ ping 212.7.208.65
PING 212.7.208.65 (212.7.208.65) 56(84) bytes of data.
64 bytes from 212.7.208.65: icmp_req=1 ttl=52 time=31.9 ms


Og jeg har lagt ind alle kodene

Har du fulgt alle anvisningerne i rækkefølge?

1) Hvis du ikke har ufw installeret, så gør det med Softwarecenter eller

Kode: Vælg alt

sudo apt-get install ufw

2) Luk ufw op og aktiver den.
3) Bloker så udgående trafik til IP-adressen - enten i den grafiske flade ved at tilføje en regel, eller - lettere - med

Kode: Vælg alt

sudo ufw reject out to 212.7.208.65
"Von guten Mächten wunderbar geborgen
erwarten wir getrost was kommen mag.
Gott ist mit uns am Abend und am Morgen
Und ganz gewiss an jedem neuen Tag"

(Dietrich Bonhoeffer 1906-1945)

http://www.stromata.dk
https://wiki.ubuntu.com/FlemmingChristensen
https://launchpad.net/~laoshi

Brugeravatar
Toddvarg
Indlæg: 841
Tilmeldt: 19. maj 2007, 19:59
Geografisk sted: Vejle

Re: Trojaner rammer Linux maskiner for fuld kraft

Indlægaf Toddvarg » 6. sep 2012, 16:08

laoshi skrev:2) Luk ufw op og aktiver den.

Det er måske her hunden er begravet. Mener du at jeg skal aktivere den med firestarter eller lignende. Hvis jeg skriver ufw i terminal, får jeg kun:

Kode: Vælg alt

bruger@bruger-desktop:~$ ufw
ERROR: not enough args
Ting tager tid

med venlig hilsen
Tom Oddvar Gundersen

laoshi
Redaktør
Indlæg: 5515
Tilmeldt: 26. apr 2008, 20:52
IRC nickname: laoshi
Geografisk sted: Vejle

Re: Artikel: "Trojaner rammer Linux maskiner for fuld kraft

Indlægaf laoshi » 6. sep 2012, 16:44

Ja - brug enten GUI: lås op og aktiver
- eller simpelthen

Kode: Vælg alt

sudo ufw enable

Det skal kun gøres én gang for alle, så anvendes de regler som du bestemmer i ufw.
Kan se at det ikke fremgår tydeligt at mit første indlæg i tråden - er nu ændret så det fremgår klart.
Du kan læse mere om de kommandoer man kan bruge i ufw i de artikler som jimmyfj og jeg selv har linket til i tidligere poster her i tråden.
"Von guten Mächten wunderbar geborgen
erwarten wir getrost was kommen mag.
Gott ist mit uns am Abend und am Morgen
Und ganz gewiss an jedem neuen Tag"

(Dietrich Bonhoeffer 1906-1945)

http://www.stromata.dk
https://wiki.ubuntu.com/FlemmingChristensen
https://launchpad.net/~laoshi

Brugeravatar
Toddvarg
Indlæg: 841
Tilmeldt: 19. maj 2007, 19:59
Geografisk sted: Vejle

Re: Artikel: "Trojaner rammer Linux maskiner for fuld kraft

Indlægaf Toddvarg » 6. sep 2012, 17:39

laoshi skrev:Ja - brug enten GUI: lås op og aktiver
- eller simpelthen

Kode: Vælg alt

sudo ufw enable

Det skal kun gøres én gang for alle, så anvendes de regler som du bestemmer i ufw.
Kan se at det ikke fremgår tydeligt at mit første indlæg i tråden - er nu ændret så det fremgår klart.
Du kan læse mere om de kommandoer man kan bruge i ufw i de artikler som jimmyfj og jeg selv har linket til i tidligere poster her i tråden.

Tak, det var lige det der skulle til
Ting tager tid

med venlig hilsen
Tom Oddvar Gundersen

Tilbage til "Linux"

Hvem er online

Brugere der læser dette forum: [Crawler] og 0 gæster