Artikel: "Trojaner rammer Linux maskiner for fuld kraft"

[Jimmyfj]

Faldt lige over denne artikel: http://www.basicconfig.com/security/setup_firewall_ubuntu_using_ufw

Her finder du en rigtig god forklaring, samt en bunke parametre til ufw du kan lege med.

[laoshi]

Kan lige supplere jimmys henvisning med at par andre gode forklaringer med eksempler:
https://help.ubuntu.com/community/UFW
https://wiki.ubuntu.com/UncomplicatedFirewall
og - om forskellen i ufw på deny og reject: http://stackoverflow.com/questions/4907173/ufw-linux-firewall-difference-between-reject-and-deny

[lath]

Spis nu brød til.

Den historie var oppe her for et par dage siden

http://www.version2.dk/artikel/advarsel-foerste-trojanske-virus-til-mac-os-og-linux-spottet-47337

og der er ikke meget fugl,s føde på den historie.

Ja den historie er ret så oppustet, og er vinklet lidt rigeligt "breaking nerws"-agtigt af journalisten efter min smag.
Der er ikke rigtig noget nyt under solen for at sige det mildt - de andre har sagt hvad der skal siges om den sag.

---

En ufw kommandoi et tidliger indlæg bruger firewallen inden i kernen, men det kan gøres meget mere effektivt:

Sig goddag til black hole routing.

Lyder "black hole" ondt sammen med "routing"?
Det er det også - for den der angriber din maskine.
Black hole routing eller null routing kræver stort set intet i system ressourcer, og er derfor rigtig effektivt til at jorde pakker fra og til en bestemt IP adresse eller IP adresse område.

Kommandoen er:

Kode: Vælg alt

route add -host 212.7.208.65 reject

Skal du udføre kommandoen 1 gang skal du huske sudo foran.
skal det være mere permanent sætter sætter du den ind i /etc/rc.local filen - uden sudo foran, da den kører med root rettigheder (sæt linien ind næst-nederst i den fil, på en ny linie lige før "exit 0" linien).

Du kan tjekke at overnævnte virker med:

Kode: Vælg alt

sudo ip route get 212.7.208.65

og svaret skulle så være:

RTNETLINK answers: Network is unreachable

Der er lukket - smidt i et sort hul!

Anekdote
Engang kom Kina til at lede trafikken til Google, Microsoft og andre store internet aktører ind til Kina.
Den slags blackhat adfærd kan backbone leverandørerne ikke lide, så de besluttede sig for i fællesskab at black hole route Kina - altså klippe internetforbindelsen for Kina. (Det var nok deres cyber war alarmberedskab der gik i gang, og det er NATO der giver ordren om black hole routing.)
- ca 9 minutter efter Kina var startet med at lede IP pakker der ikke var til dem ind i Kina havde revl og krat i Kina ingen internetforbindelse ud af og ind til Kina.
Det er >1,2 mia mennesker!

/Lars

[laoshi]

Kommandoen er:

Kode: Vælg alt

route add -host 212.7.208.65 reject

Skal du udføre kommandoen 1 gang skal du huske sudo foran.
skal det være mere permanent sætter sætter du den ind i /etc/rc.local filen - uden sudo foran, da den kører med root rettigheder (sæt linien ind næst-nederst i den fil, på en ny linie lige før "exit 0" linien).

Du kan tjekke at overnævnte virker med:

Kode: Vælg alt

sudo ip route get 212.7.208.65

og svaret skulle så være:

RTNETLINK answers: Network is unreachable

Der er lukket - smidt i et sort hul!

Vel ikke helt i et sort hul! Med 'reject' sender du et "connection refused"-svar tilbage til angriberen. Med 'deny' forsvinder henvendelsen i det sorte hul uden at der sendes svar tilbage - det ender med en 'time out'-fejl på angriberens side.

Som de konkluderer i artiklen på stackoverflow:

On the other hand, it is a bit more polite to let people know that you are rejecting their connections. A refused connection lets people know that it is most probably a permanent policy decision, rather than e.g. a short-term networking issue.

Men uanset om man bruger deny eller reject, så er det en god ide at blokere skumle IP'adresser ved hjælp af ufw.

Og jeg vil stadigvæk også anbefale wot-plugin til Firefox og Chromium, så man får en advarsel hvis man er ved at åbne en side som man bør holde sig fra.

[Toddvarg]

Efter i ufw at have blokeret udgående trafik til 212.7.208.65 giver ping'en mig dette svar:

ping.png

Det må betyde at min ikke er blokkeret, kan det betyde at min firewall ikke fungere som den skal, da jeg får

Kode: Vælg alt

gundersen@gundersen-desktop:~$ ping 212.7.208.65
PING 212.7.208.65 (212.7.208.65) 56(84) bytes of data.
64 bytes from 212.7.208.65: icmp_req=1 ttl=52 time=31.9 ms

Og jeg har lagt ind alle kodene

[laoshi]

Efter i ufw at have blokeret udgående trafik til 212.7.208.65 giver ping'en mig dette svar:

ping.png

Det må betyde at min ikke er blokkeret, kan det betyde at min firewall ikke fungere som den skal, da jeg får

Kode: Vælg alt

gundersen@gundersen-desktop:~$ ping 212.7.208.65
PING 212.7.208.65 (212.7.208.65) 56(84) bytes of data.
64 bytes from 212.7.208.65: icmp_req=1 ttl=52 time=31.9 ms

Og jeg har lagt ind alle kodene

Har du fulgt alle anvisningerne i rækkefølge?

1) Hvis du ikke har ufw installeret, så gør det med Softwarecenter eller

Kode: Vælg alt

sudo apt-get install ufw

2) Luk ufw op og aktiver den.
3) Bloker så udgående trafik til IP-adressen - enten i den grafiske flade ved at tilføje en regel, eller - lettere - med

Kode: Vælg alt

sudo ufw reject out to 212.7.208.65

[Toddvarg]

2) Luk ufw op og aktiver den.

Det er måske her hunden er begravet. Mener du at jeg skal aktivere den med firestarter eller lignende. Hvis jeg skriver ufw i terminal, får jeg kun:

Kode: Vælg alt

bruger@bruger-desktop:~$ ufw
ERROR: not enough args

[laoshi]

Ja - brug enten GUI: lås op og aktiver
- eller simpelthen

Kode: Vælg alt

sudo ufw enable

Det skal kun gøres én gang for alle, så anvendes de regler som du bestemmer i ufw.
Kan se at det ikke fremgår tydeligt at mit første indlæg i tråden - er nu ændret så det fremgår klart.
Du kan læse mere om de kommandoer man kan bruge i ufw i de artikler som jimmyfj og jeg selv har linket til i tidligere poster her i tråden.

[Toddvarg]

Ja - brug enten GUI: lås op og aktiver
- eller simpelthen

Kode: Vælg alt

sudo ufw enable

Det skal kun gøres én gang for alle, så anvendes de regler som du bestemmer i ufw.
Kan se at det ikke fremgår tydeligt at mit første indlæg i tråden - er nu ændret så det fremgår klart.
Du kan læse mere om de kommandoer man kan bruge i ufw i de artikler som jimmyfj og jeg selv har linket til i tidligere poster her i tråden.

Tak, det var lige det der skulle til