[01:39] ? [01:51] niestety nie [02:15] Voldenet, ze co nie? [02:15] aha, pytanie wyzej [02:15] nie ma tutaj nikogo [02:15] :/ [02:15] jestes botem wiec? [02:16] Voldenet, jesli moge zapytac czym sie zajmujesz? [02:16] sadzę marchew [02:16] zbieram marchew [02:16] wszystko z marchwią [02:17] to super :) ja tez zbieram, tylko nie marchew, ale mozna powiedziec ze jestesmy podobni :) [02:18] Voldenet, zrobilem strone ktora nagle jakos zaczela dynamicznie zyskiwac na popularnosci [02:18] nie wiem o co chodzi [02:18] patrze dzisiaj na analytics a tu 5200 wejsc wczoraj [02:18] gdzie przedwczoraj 20 nawet nie bylo dziennie [02:18] pewnie ktoś wrzucił na jakiś wypok, albo coś [02:19] no bo ludzie jeszcze to na fb lubia i udostepniaja, wiec raczej to nie boty [02:20] ale czy 5000 wejść to dużo? [02:21] nie, ale jak na nowo powstala strone gdzie nikt prawie o niej nie wiedzial to tak [02:21] nawet nie ma pr jeszcze [02:21] page rank, ani google tego jeszcze nie zaindeksowalo [02:22] a wlasnie, musze zmienic sitemap.xml [02:25] udalo mi sie dzisiaj skonczyc swietny system tlumaczen dla aplikacji zend framework 2, z takim jaki udalo mi sie zrobic sie jeszcze nie spotkalem [02:25] ale uparcie programowalem noc i dzien zeby do tego dojsc [02:31] hakuja mi strone [02:37] 'system tłumaczeń'? [02:46] czy jest mozliwe ze ktos na moim koncie shell moze umiescic cos? [02:53] Voldenet, rany, ktos nawrzucal jakichs smieci do mojego katalogu public [02:53] niedopatrzylem ze katalog nie jest chroniony jak trzeba [05:25] … [06:40] to smutne to było [12:42] czy mozliwe jest ze ktos wszedl na moje konto shell-owe? [12:43] jak komuś podałeś login i hasło to tak. [12:43] ewentualnie jak zrobiłeś jakiegoś backdoora nieświadomie (lub świadomie) [12:45] Dreadlish, moglo dojsc ze zrobilem ale nieswiadomie [12:45] teraz ustawilem katalog public na 555 [12:45] 755 raczej [12:45] problem jest taki ze ktos wczoran nawrzucal mnostwo plikow do folderu public [12:46] moze to byc jakas dziura w oprogramowaniu ktore tam masz [12:47] albo dziurawe wp [12:49] albo dziurawe httpd [12:49] albo dziurawe cokolwiek [12:50] mozliwosci setki [12:51] wlasnie zmienilem haslo usera, bo wczesniej bylo takie samo jak na twitter, moze ktos po prostu tamto haslo zlamal i uzyl do swobodnego przesylu plikow [12:52] eh [12:52] szukaj po logach [12:52] gdziekolwiek [13:01] zaczalem od listy zainstalowanych pakietow, ftp pakiet moze byc dziurawy [13:03] mozesz miec wiecej niz jedna dziure, bez logow ciezko bedzie potwierdzic co sie dokladnie stalo [13:04] dziecko oknem wylecialo [13:04] ;p [13:22] albo miales ftp z dostepem anonimowym [13:22] albo http z niezablokowanym PUT [13:22] milion mozliwosci [13:28] on ma httpd na windowsie [13:28] >.< [13:28] iis? [13:28] Ojezu. [13:28] Apache httpd 2.4.7 ((Win32) PHP/5.4.9) [13:29] to jeszcze wiecej mozliwosci [13:30] ale ma ipv6 [13:30] tunelowane [13:30] śmierdzi LAMPem [13:30] | 6to4: [13:30] |_ IPv4 address: 79.102.159.180 === Quintasan is now known as Doktorant_R4k === Doktorant_R4k is now known as Quintasan [14:37] a jesteś pewien, że kot po klawiaturze nie przebiegł? [14:56] mati75, przeciez na windowsie nie trzymam stron, to serwer do testow [14:56] serwer mam na ubuntu w berlinie [14:57] łubudubuntu [15:05] Ploy: ubuntu 8.04? [15:05] nie [15:06] pewnie jakieś ebury poszło [15:07] 13.04 [15:08] wersja bez supportu [15:29] rób updejt do 13.10... ew. poczekaj do 17stego [15:29] na LTS [15:42] Ploy: logi, muszą być logi [15:44] /var/log/auth.log [15:44] /var/log/daemon.log [15:45] jeden z dwóch [15:45] + access.log httpd [15:45] + miliard rzeczy [15:57] auth.log mam duzo typu Apr 7 11:27:31 simon-phoenix sshd[30571]: Failed password for root from 116.10.191.188 port 4827 ssh2 [15:59] dla przykladu ten probowal sie logowac z http://www.infosniper.net/index.php?ip_address=+116.10.191.188&map_source=1&overview_map=1&lang=1&map_type=1&zoom_level=7 [16:00] log ma 2933 linii tylko z dzisiaj i wczraj [16:02] widac jestem atakowany [16:02] pomozcie, co robic? [16:02] e, jak sie nie dostał to miej to w dupie [16:03] no ok, powinienem zmienic haslo na trudniejsze? [16:04] co robic? [16:04] to pewnie leci słownikiem. [16:04] jak nei masz hasła typowo słownikowego, to Ci sie nie dostanie :D [16:04] fail2ban [16:04] wyłącz autoryzacje hasłem [16:05] PasswordAuthorization no [16:05] poza tym [16:05] Apr 6 11:55:29 kimsyf sshd[24404]: Failed password for root from 113.108.211.131 port 59238 ssh2 [16:05] a, to nie to samo [16:05] myślałem, że ten sam host [16:07] Ploy: to co mówi nvll [16:07] blokuj porty [16:07] zmień port tej usługi znowu [16:07] po co zmieniać porty [16:07] fail2ban i jazda [16:08] jak umiesz to zapatchuj binarkę tak żeby pokazywała inną wersję niż masz [16:08] ew wyłączyć auth na roota z ssh [16:08] iptables i dropuj wszystko inne [16:08] Ploy: jak tylko ty korzystasz i masz staly adres ip to wytnij na firewallu [16:08] wszystko poza twoim ip na port 22 [16:08] ew. postaw vpna [16:09] Ploy: Pamiętaj że im więcej usług masz tam postawionych tym łatwiej komuś kombinować także musisz dbać [16:11] Ploy: ew naucz się jeszcze magii SELinux [16:11] nvll, to jak bede sie logowal jesli serwer mam 1500 km dalej? [16:11] to wytnij na firewallu wszystko poza twoim ip na port 22 [16:12] gdzie Twoje IP to ip komputera z którego się logujesz jeżeli to nie jest jasne [16:12] Quintasan, tylko ja mam dynamiczne IP [16:12] :/ [16:13] Nie wiem czy tak się da ale w takim razie zrób sobie dyndns [16:13] i na firewallu wytnij wszystko oprócz dyndns [16:13] nie to się tak nie da [16:13] No to trudno. [16:13] btw na brufeforce pomaga zmiana portu ssh [16:13] w 90% przypadkow [16:15] nvll lamanie metoda bruteforce przy silnym hasle trwalo by miesiace [16:15] zresztą [16:15] wyłącz autoryzacje hasłem [16:15] i loguj się po kluczu [16:15] najlepsze wyjście [16:27] http://postimg.org/image/lrn50s1nn/18ef9f5f/ [16:27] to jest z wczoraj [16:28] a tam nie bylo jeszcze chin [16:28] http://postimg.org/image/lrn50s1nn/ [16:29] pozostaje mi tylko zmienic halso root na ciezsze i sie modlic [16:30] nvll, teraz nie mam komputera z ubuntu desktop, wiec na linuksie pracuje zdalnie przez konsole tylko [16:31] Ploy: powinienes ustalic jak sie dostali. Poza tym mozesz miec rootkita [16:31] Ploy: ssh na 22 porcie masz? [16:31] tak [16:31] pewnie jakieś dziurawe apache [16:31] to co się dziwisz [16:31] ;d [16:32] apache na ubu 13.04 ma dziury? [16:32] Ploy: zmien port, zaladuj fail2ban i wytnij na firewallu http://www.nirsoft.net/countryip/cn.html [16:33] Marqin, tosz tu widac ile bylo zapytan, pol swiata musialbym wyciac http://postimg.org/image/lrn50s1nn/ [16:33] http://www.ipdeny.com/ipblocks/data/countries/ [16:33] Ploy: ustaw allow tylko dla swojego ip [16:33] ;D [16:33] Ploy: skonfiguruj apparmor dla vhostow: http://wiki.apparmor.net/index.php/Mod_apparmor [16:33] mati75: ma zmienne ;d [16:33] zrób logowanie po kluczu [16:33] Marqin: to jego problem [16:34] co do apacza [16:34] jeszcze ubuntu na serwerze [16:34] mozessz sprobowac zauwac cloudflare [16:34] ;d [16:34] mati75: masz cos do ubuntu-server? ;d [16:34] to jakby jeść własne gówno [16:34] :3 [16:34] *zaufac cloudflare [16:38] no juz coraz blizej jestem, PermitRootLogin yes zmienie na "no" i bede sie logowal z konta uzytkownika na root pozniej [16:40] rozwiązaniem twojego problemu jest fail2ban przede wszystkim, a nie permitrootlogin [16:40] Diabelko: PermitRootLogin yes jest dosc powasnym problemem [16:41] nie jest [16:41] w normalnym środowisku masz i tak zablokowanego roota i wszyscy admini lecą przez sudo >.> [16:41] <.< [16:42] rozwiązaniem problemu takich logowań jest fail2ban, a nie żadne sranie się w blokowanie rootów, to w ogóle inny wątek [16:42] jak nie dadzą rady się połączyć na roota, to potem będą słownikowo generować loginy [16:42] Niech stracę. [16:45] Diabelko, a jesli cos zle klikne i fail2ban zadziala to tez nie bede mogl sie zalogowac? [16:45] gjm: daj kwadrat [16:45] zasadniczo powinno się mieć grupę (np. wheel), która może robić sudo, a konto roota powinno mieć zablokowane logowanie przez hasło (+ awaryjne logowanie przez klucz bezpośrednio na roota, w przypadku padu usług pokroju kerberos, ldap) [16:45] jesli np klawisz zle klikne i blad w hasle [16:45] Diabelko: sudo be, wheel do su [16:45] to nie jest tak, że blokuje cię za pierwszym razem [16:45] wystarczy pama przestawić [16:45] Dreadlish: nie [16:46] Dreadlish: sudo podstawa przy normalnym środowisku. [16:46] Diabelko: no o tym mowie ze root przez ssh powinien byc zablokowany kompletnie [16:46] ja sie odzwyczaiłem [16:46] no nie powinien być [16:47] musisz mieć awaryjny wjazd na roota jak ci autoryzacja pada [16:47] nieprawda, awaryjny wjazd na roota nie musi byc przez SSH jako root [16:48] no możesz sobie stworzyć usera admin, który będzie mieć osobno wjazd przez sudo [16:48] ale też musiałby mieć zablokowane hasło żeby to miało sens [16:48] Diabelko: problemem tu jest SSH nie root sam w sobie [16:49] Diabelko: jak jest problem to z konsoli sie mozesz zalogowac [16:50] to polecam ci kiedyś zostać adminem i zapierdalać przez pół miasta do serwerowni (bo nikt nie kupi ci seriala ani kvma do jednego albo dwóch serwerów) bo musisz się zalogować na konsoli [16:50] panowie, w tej panice nie moge prawidlowo myslec [16:50] jeśli lubisz takie rzeczy, to śmiało, blokuj wjazd roota przez ssh xD [16:50] usuń konto [16:50] moj uzytkownik nie jest w sudoers, jak powinien wygladac moj plik /etc/sudoers [16:51] Diabelko: jestem adminem, mam iLO czy iDRAC do tego, nie musze nigdzie jezdic [16:51] Ploy: hint: visudo [16:51] nie edytuj ręcznie [16:51] ale iLO czy iDRAC to jest rozwiązanie problemu dla jakiegoś małego ułamka serwerów [16:51] nie wszystkie serwery mają dobrze rozwiązany mgmt czy oob [16:52] są też sytuacje kiedy nie możesz też tego podłączyć [16:52] no coz jak nie maja to trzeba uzywac innych. Wybacz ale nie bralbym sie za administracje serwera bez jakigos LOM [16:52] Dreadlish: Jaką tą stację z Hot Airem polecałeś? [16:52] gjm: jest jakaś taka chińska, zaraz Ci znajdę, jest nawet spoko. [16:52] gjm: 852! [16:53] >taka chińska [16:53] Dreadlish: zhaoxin? [16:53] no [16:53] zhaoxin/aoyue/wep/cokurwakolwiek [16:53] to samo [16:53] pt [16:53] o nią mi chodziło [16:53] pt też to samo. [16:54] pt droższe [16:54] Diabelko: LOM na serwerach HP, Della i IBMa dziala bez problemu [16:54] jacekn: welp, czase [16:54] aoyue najdroższe z tego zestawienia [16:54] bo oni sobie z tej chińszczyzny jakąś markę wyrobili [16:54] tak, one działają, ale czasem masz jakieś stare suny albo supermicro [16:54] suny tez maja, nawet takie z 2009 roku mialy z tego co pamietam [16:54] nie wszystko jest twoim wymarzonym środowiskiem jak wpadasz po kimś [16:55] a jak kupujesz serwery ktore nie sa przystosowane do serwerowni i nie maja LOMa to to jest problemem a nie to ze nie mozesz wylaczyc roota na SSH [16:55] ja nie biorę niczego innego niż Dell [16:55] Dreadlish: A Hot Air z grotówką? [16:55] Dreadlish: Dell C5 [16:55] czy tam C4 [16:55] nie pamiętam [16:55] gjm: no, ale to głównie dlatego że nie szanuję tego iLO strasznie [16:56] Dreadlish: ten Dell nie do Ciebie [17:01] Diabelko: jak jakiś heitzner na amd to on nigdy tego nie będzie miał [17:02] jacekn: tak czy siak upieram się przy logowaniu na roota przez klucz, który jest wrzucany przez jakiś skrypt (nota bene klucze wszystkich adminów) i passwd -l root, bo szybciej jest mi się zasshować niż logować przez te całe gówna jak mi padnie ldap [17:04] Diabelko: ja nie pozwalam, czesciowo dlatego ze niekture audyty bezpieczenstwa uznaja PermitRootLogin za fail i tyle. A LDAP nie powinien padac, nawet jak padnie to sie reperuje LDAPA a nie loguje na serwery bez [17:05] ale PermitRootLogin without-password jest znacznie lepsze [17:06] tylko jak sie upewnic ze wszyscy admini maja porzadne haslo na kluczu prywatnym? [17:06] nie no, pierwiastek gówna w ludziach jest akurat nie do pokonania w żaden sposób [17:07] wprowadzić dwustopniowe logowanie [17:07] jacekn: ewentualnie bardzo podobna sprawa, która na audytach wygląda lepiej, ale jest tym samym, to stworzenie osobnego usera, który będzie miec wjazd do sudo bez hasła i będzie mieć zablokowane hasło [17:08] no czasem to wystarczy zeby przejsc audyt. Kiedys mialem na takim userze haslo w 2 czesciach i potrzeba bylo jednego admina i jednego managera zeby sie dostac. Przez kilka lat nigdy nie bylo potrzeby [17:09] dobry setup LDAPA praktycznie nigdy nie pada [17:09] ja miałem kiedyś sytuację, że mi dyski padły i jedyne co mogłem, to zasshować się na roota, bo cała reszta była w dupie [17:10] i nscd nie pomogło i nic nie pomogło [17:10] szybko udało mi się ogarnąć w mdstacie że dyski sobie leżą i kwiczą ;_; [17:10] oba na raz ;_; [17:11] to masz jeden serwer LDAPa? Zrob replikacje i tyle, najlepiej kazdy w innej serwerowni i szansa ze oba padna w tym samym czasie jest bardzo mala [17:11] Diabelko, to dobre rozwiazanie dla mnie? moge postepowac zgodnie z tym ? https://www.digitalocean.com/community/articles/how-to-protect-ssh-with-fail2ban-on-ubuntu-12-04 [17:12] jacekn: nie no, to nie sprawa serwera LDAPa tylko, to sprawa tego, że root rządzi się trochę innymi prawami podczas logowania [17:12] jacekn: tak samo jak jest reserved space dla roota [17:12] Ploy: zainstaluj sobie jakiś normalny system na serwerze np. Debian [17:12] Diabelko: nadal nie rozumiem czemu nie mogles sie zalogowac jako nie root [17:12] Ploy: tak, fail2ban to dobre rozwiązanie dla ciebie. [17:13] Ploy: i jak Ci juz ktos polecil klucz SSH jest zamiast hasla tez poprawi bezpieczenstwo [17:13] mati75, lubie ubuntu :( nie chce zmieniac [17:14] Ploy: ubuntu to można mieć na desktopie, nie na serwerze [17:14] Ploy: nie sluchaj, 12.04 na serwerze wymiata [17:14] mati75, pomysle o tym, ale teraz nawet nie mam czasu na instalacje i konfiguracje nowego systemu [17:15] jacekn, ja mam 13.04 i jestem zadowolony [17:15] tylko obawiam sie o bezpieczenstwo [17:15] Ploy: no 13.04 to nie najlepszy wybor, LTS sie lepiej trzymaj na serwerze [17:15] Ploy: jak już ustaliliśmy, nie słuchaj mati75. [17:16] Diabelko: dlaczego nie? [17:16] ubuntu na serwerze ssie [17:17] tym bardziej jak ktoś instaluje wersje nie LTS [17:17] Diabelko, w tym linku co wyslalem jest opis, co powinienem wiedziec przed zainstalowaniem fail2ban? jesli np zainstaluje i nie skonfiguruje a cos sie stanie to jakie moga byc konsekwencje? [17:17] nie ssie, jest bardzo stabilne i dobrze wspierane, do tego 5 lat supportu [17:18] jacekn: 13.04? [17:18] mati75: 12.04 [17:18] jacekn: dobrze, czy nginx ma wsparcie? [17:18] NIE! [17:18] bo w ubuntu server może być tylko apache [17:19] no apache dziala i jest dobrze wspierany [17:19] dobrze [17:19] ale gdy ktoś nie używa apache? [17:19] to co wtedy? [17:19] apacze [17:19] po co apacze [17:20] nginx \o/ [17:20] mati75: to jaka dystrubucja ma support do nginxa? [17:20] Dreadlish: w ubuntu nie istnieje [17:20] a w debianie jest [17:20] jacekn: np. Debian, CentOS [17:20] i to chyba nawet nie najstarszy [17:21] do Ubuntu 14.04 wprowadzili nginx, w wersji core [17:21] czyli bez dodatkowych modułów [17:21] taki psikus [17:21] no [17:22] i do tego stara wersja [17:22] mati75: po pierwsze Debian i CentOS nie wspieraja wcale nginxa, jest po prostu dostepny. Tak samo jak w Ubuntu 12.04: http://pastebin.ubuntu.com/7217955/ [17:23] jacekn: nie ucz ojca dzieci robić, ok? [17:23] 1.1 [17:23] wat [17:23] :D [17:23] y [17:24] w debianie stable jest nawet 1.2 [17:24] https://packages.debian.org/source/stable/nginx [17:24] w oldstable jest nowszy jak w ubuntu [17:24] w testingu i unstable jest 1.4.7 [17:24] w experimentalu 1.5.3 iirc. [17:24] Dreadlish: w experimental 1.5 [17:25] Dreadlish, bantime = 600 na ile ustawic to i czy to w sekundach? [17:25] lrn2man [17:26] mati75: no tak masz debiana z maja 2013, wiadomo ze bedzie nowsza wersja jak w ubuntu [17:27] jacekn: nie, w Debianie są na bieżąco nowe wersje [17:27] jacekn: masz repo backports [17:28] w ubuntu to tylko xorg i kernele do niego dodają [17:28] mati75: OK racja. I na produkcji z backports lecisz? [17:29] nawet w centosie aktualizują [17:29] jacekn: tak [17:29] następny zajebisty pomysł w ubuntu [17:29] nowe wersje kernela [17:29] poprawią coś tam i jeb nowa wersja abi [17:30] nagle po pół roku masz 15 zainstalowanych wersji [17:30] bo nie można się jednego numerka trzymać [17:30] bo po co [17:30] mati75: no coz inne srodowisko zupelnie musisz miec, backports w produkcji to nie jest cos na co tym sie odwazyl jesli nawet wersja nginxa sie tam zmienia [17:31] jacekn: nginx jako proxy dla apache [17:31] nginx z wersji na wersje nie zmienia się jakoś zbytnio drastycznie [17:32] w trusty bedzie troche nowszy nginx to moze hejterzy apacza beda szczesliwsi ;) [17:32] jacekn: i w starej wersji [17:32] apacz srapacz [17:32] smoleńsk [17:32] ... [17:33] jacekn: jak chcesz mieć nginx po bożemu to i tak musisz sam kompilować. [17:33] A apacza nie ;p [17:33] nie rozumiem jak można krzyczeć na ubuntu a korzystać z backports na produkcji [17:33] Diabelko: no nie? :D [17:34] dokladnie :) [17:34] Na produkcję nadaje się tylko gentoo hardened ;/ [17:34] ja czekam na nowego centosa [17:34] scentos [17:34] wtedy wszystko na niego migruję i elo [17:34] Diabelko: nie chcesz może 5.x? [17:34] Będzie wspierany jeszcze przez jakieś 500 lat [17:34] <; [17:34] cóż, bardzo dobrze [17:35] TheNumb: ++ [17:35] i do tego backporty zeby byl nowy nginx i na CentOS 5 do 2025 mozesz jechac! [17:35] mati75: czuję się postinkrementowany. [17:38] Diabelko, bantime = 600 to jest ban na 10 minut tak? [17:38] Ploy: tak [17:39] tak [17:39] eg. port=30000 zmieniam w /etc/fail2ban/filter.d/sshd.conf? [17:40] jak zmieniłeś port w sshd to po co Ci wtedy fail2ban? [17:40] jeszcze nie zmienilem [17:40] pytam co i jak [17:40] bo fail2ban jeszcze nie uzywalem [17:41] on ma fajny manual. [17:41] polecam [17:41] tak [17:41] polecam, żaneta kaleta [18:03] Dreadlish, [apache] [18:03] enabled = false [18:03] port = http,https [18:03] filter = apache-auth [18:03] logpath = /var/log/apache*/*error.log [18:03] maxretry = 6 [18:03] powinienem tu cos zmienic+ [18:03] ? [18:05] i tu? [php-url-fopen] [18:05] enabled = false [18:05] port = http,https [18:05] filter = php-url-fopen [18:05] logpath = /var/www/*/logs/access_log [18:05] Dreadlish, prosze pomoz [18:06] [vsftpd] [18:06] mowimy o pliku jail.local [18:12] ja pieprze [18:12] potrafisz manuala używać? [18:12] tam jest wszystko opisane [18:13] * Ashiren w sumie nigdy nie uzywal manuali, wszystko googlal albo --help [18:22] Dreadlish, juz mam, po prostu tak jestem zestresowany ze najpierw pytam pozniej czytam [18:22] to najpierw przeczytaj [18:22] nic Ci nie zrobiło wjazdu [18:22] po prostu srasz gaciami jak gówno w przeręblu [18:24] Dreadlish: wyrażaj się, kurfa [18:24] :< [18:24] Zaraz wpadnie BJ i znowu będzie zamiatał [18:27] TheNumb: no i? [18:27] Dreadlish: i będzie buba [18:27] no to niech wpadnie ta dmuchająca robota [18:29] BlessJah: [18:29] :kotki [18:29] :< [18:30] put kotki over there [18:31] :kotki [18:31] :< [18:31] Dreadlish, ok zrobione z fail2ban [18:31] przepraszam za panike, uspokoilem sie juz [18:32] irssi na ubuntu server to dobry pomysl czy kolejna dziura? [18:32] yyy ale jak irssi? [18:32] w sensie, że proxy irssi czy co? [18:33] Bo jak sam klient podłączony to raczej bezpieczny. [18:44] TheNumb, no instaluje na serwerze irssi, loguje sie z konsoli u siebie i z konsoli na serwerze loguje sie na freenode [18:44] eee [18:44] to klikaj [18:44] bedzie dopsz [18:44] znc sobie postaw [18:44] no właśnie === hsildaerD is now known as Dreadlish === keithjarret is now known as garr === jacekows1i is now known as jacekowski === lubotu3` is now known as lubotu3 [22:30] czy mozecie okreslic dlaczego wzyscy mnie atakuja?