Sida 1 av 1
Iptabels regler borta, hackad?
Postat: 09 apr 2009, 18:04
av massamull
hejsan märkte idag att alla mina iptables regler var borta tyckte det var märkligt.
Och sedan så råkade jag kolla historik i terminalen genom att tycka på uppåt-pil
såg att någon hade varit inne i var/urs/php vilket jag inte har varit.
Jag kör med automatika upgrades av både säkerhets och vanliga updates kan detta har rört till de eller har jag blivit hackad?
mitt lösen är 7 tecken med små-stora boktsäver och siffor.
Vad tycker ni jag ska göra?
Re: Iptabels regler borta, hackad?
Postat: 09 apr 2009, 18:09
av andol
Givet att jag på allvar misstänkte dylikt fuffens så skulle jag inledningsvis
1) boota upp servern med lämplig Live-CD
2) montera in relevanta partioner
3) undersöka loggfiler
Re: Iptabels regler borta, hackad?
Postat: 09 apr 2009, 18:11
av massamull
Vart hittar jag dom loggarna? och söker jag igenom dom bäst?
Re: Iptabels regler borta, hackad?
Postat: 09 apr 2009, 18:14
av andol
DunderJonas skrev:Vart hittar jag dom loggarna? och söker jag igenom dom bäst?
Överlag hamnar loggar under /var/log
Antar att det riktigt uppenbara stället att titta på är /var/log/auth.log
Sen finns det säkert här någon som kan tipsa dig om lämplig verktyg för att autoanalysera loggar.
Re: Iptabels regler borta, hackad?
Postat: 09 apr 2009, 18:38
av massamull
vad menas med detta? kan det vara något. den kommer upp med jämna mellanrum i loggen
Kod: Markera allt
Mar 31 06:43:18 Media-Dator sudo: root : TTY=unknown ; PWD=/ ; USER=admin ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/use_http_proxy
Mar 31 06:43:19 Media-Dator sudo: root : TTY=unknown ; PWD=/ ; USER=admin ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/host
Mar 31 06:43:19 Media-Dator sudo: root : TTY=unknown ; PWD=/ ; USER=admin ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/port
Mar 31 07:02:23 Media-Dator su[8386]: Successful su for mythtv by root
Mar 31 07:02:23 Media-Dator su[8386]: + ??? root:mythtv
Re: Iptabels regler borta, hackad?
Postat: 09 apr 2009, 20:07
av andol
Tja, just det där ser iofs mest ut som rutinkörning av någon form utav schemalagda aktiviteter (cron) eller dylikt.
Kanske en dum fråga, men det var inte bara så att iptables-reglerna försvann i samband med en omstart utav datorn? :)
Du kan inte återge lite mer exakt vilka okända kommandon i historiken? Istället för att bläddra uppåt så borde du kunna titta direkt i ~/.bash_history
Rör sig om Mediadator alltså? Får jag fråga varför/om den ens är åtkomstbar från publika Internet?
Re: Iptabels regler borta, hackad?
Postat: 09 apr 2009, 21:09
av massamull
Jo jag har googlat lite och jag tror att iptables reglerna bara försvann igenom omstart varför gör dom de? och hur förhindrar jag de?
Japp det är en media dator som används av folk igenom att kunna lägga till filer i en utdelad katalog så man slipper använda dvd/ eller usbminnen.
den fungerar även som en torrent neddladdare genom att bara släppa en torrentfil i den utdelade katalogen (samba konfad) så laddas den automatiskt ner och lägger sig när den är klar i den utdelade katalogen.
Re: Iptabels regler borta, hackad?
Postat: 09 apr 2009, 21:13
av andol
DunderJonas skrev:Jo jag har googlat lite och jag tror att iptables reglerna bara försvann igenom omstart varför gör dom de? och hur förhindrar jag de?
https://help.ubuntu.com/community/Iptab ... %20startup
alt.
https://help.ubuntu.com/community/Iptab ... orkManager
(Beroende på hurtillvida du använder NetworkManager eller ej.)
Re: Iptabels regler borta, hackad?
Postat: 09 apr 2009, 21:15
av massamull
Men varför tas dom bort? jag har inte behövt detta innan?
Tack för länken ändå
Re: Iptabels regler borta, hackad?
Postat: 11 apr 2009, 12:06
av maths57
Vad använder du för program för att ställa in brandväggen?
Re: Iptabels regler borta, hackad?
Postat: 11 apr 2009, 12:22
av massamull
Jag lägger in det manuellt i iptables bara.
Dom bör väl inte försvinna då?
Re: Iptabels regler borta, hackad?
Postat: 11 apr 2009, 12:32
av maths57
Jo, om du startar om. Du måste spara dina inställningar för att de ska bli permanenta. Jag har gjort en anteckning om det där. Ska se om jag kan hitta den.
Re: Iptabels regler borta, hackad?
Postat: 11 apr 2009, 12:37
av maths57
1. Skapa brandväggreglerna.
2. Spara reglerna till en fil.
3. Därefter måste man redigera filen /etc/network/interfaces. Det här är en fil som systemet läser in vid starten av datorn. Där letar man upp en rad som kan se ut så här
Efter den raden skriver man
Kod: Markera allt
pre-up iptables-restore < /etc/iptables.up.rules
Re: Iptabels regler borta, hackad?
Postat: 11 apr 2009, 12:40
av massamull
Tackar ska testa de sedan
har inte haft tid att testa dom andra guiderna ännu men jag börjar med din.