|
 Все новости от 30 января 2003 г.
Незащищенный сервер — магнит для хакеров
Компания PSINet Europe, чтобы оценить масштабы хакерской деятельности в интернете, установила общедоступный сервер-«куклу» — и обнаружила, что за первые 24 часа он подвергся атакам злоумышленников 467 раз.
PSINet Europe проводила испытание на незащищенном сервере, установленном в ее интернет-центре в Амстердаме. В продолжение трех недель сервер, на котором не содержалось данных и у которого не было установок public profile, атаковали ежедневно в среднем по 626 раз.
Значительное число атак исходило из сетей широкополосного или кабельного доступа. Чем шире полоса пропускания канала, тем быстрее атакующие могут выявлять цель и тем дешевле обходятся атаки. Эксперимент показал, что «широкополосные каналы не только ускоряют загрузку для конечных пользователей, но и позволяют хакерам атаковать более широкую целевую аудиторию при помощи более богатого набора инструментов».
Другие находки PSINet:
 Подавляющее большинство атак исходило из США и Западной Европы, а не из стран бывшего Восточного блока, как принято считать.
В Европе источники атак чаще всего размещаются в Германии, Италии, Нидерландах и Великобритании, тогда как страны, которые чаще всего связывают со злоумышленниками — Россия, Болгария и Румыния, — вообще не засветились.
Стивен Скотт (Stephen Scott), управляющий PSINet Europe в Великобритании, сказал: «По идее, наш сервер-кукла находился в идеальной изоляции за стенами вычислительного центра, где его не должны были подцеплять, сканировать или атаковать. Вместо этого в первый же день после инсталляции мы зафиксировали почти 500 попыток проникновения».
Результаты теста PSINet Europe подтверждаются цифрами, полученными от Gartner Group, которая сообщила, что 90% брешей в защите связано с некорректной конфигурацией и неправильным администрированием сетей.  В продолжение темы:
|
 |
 | se
30 Jan 2003 6:25 PM |
У меня два провайдера - от одного атаки идут каждые 10-15 секунд,
от другого - раз в 10-15 минут. По опыту только что установленный сервер ничинают ломать на 20 секунде. Меня взламывали 3 раза за полгода, причем я устанавливал и настраивал все как пишут в соответствующих книжках и устанавливал все свежие
патчи. Вообще, хакерские атаки - это мой самый большой кошмар.
Будь моя воля, я бы для всех пользователей интернета ввел цифровые сертификаты открытых ключей и закрыл (зашифровал) весь трафик. Так, чтобы хакеры просто не могли бы цепляться к моим серверам. |
|
| Irsi - irsi extranet.ru
30 Jan 2003 7:03 PM |
| 2se: ой какой ужас... А фаервол не пробовали? ;) |
|
| Anti-MS
30 Jan 2003 7:54 PM |
2se
Может стоит серьезно подумать а для тебя ли это занятие, или стоит заняться чем-нибудь что лучше получается?
На моем веку еще не разу не случалось чтобы кто-то сломал мои сервера. Причем не все из них я загораживаю файрволами (лениво). И не за всеми из них я слежу чтобы патчи накладывать. Я уже не говорю про разные IDS это вообще только для особо важных ящиков.
Просто надо изначально все настраивать так чтобы при малейшей дырке, которую еще не раз найдут сервер не становился решетом. |
|
| DemonZla
31 Jan 2003 8:52 AM |
Anti-MS, se...
ребята, у вас просто разные ОС :)))
А вобще, не хакеры а крякеры... хакерам эти сервера уже не интересны т.к. там нету ничего нового из технологий... тем более если нет защиты, то и ломать то нечего :))
Вы бы ещё поставили сервак с доступом к root по телнету и в приглашении написали пароль рута.... и ещё после этого жаловались что вас "взламывают"... :))
Незащищённый сервер - магнит для хрюнкеров :)) |
|
| se
31 Jan 2003 9:51 AM |
| 2Anti-MS, Irsi - Это, пацаны, Вы не догадываетесь, что Вас ломают. Я тоже думал, что у меня все OK, пока не стал специально следить за трафиком. А firewall пробывал... |
|
| Deaddy
31 Jan 2003 11:15 AM |
То, что ломают - это норма. Лишь бы не взломали ;-)
У меня все логи забиты попытками взлома (да как и у всех здесь присутствующих, по-моему). Как только не пробуют влезть... Сукины дети... |
|
| Matros
31 Jan 2003 11:28 AM |
| Se: Или ты занимаешься не своим делом, или же у тебя на сервере 9х винда стоит... |
|
| se
31 Jan 2003 11:51 AM |
2Matros - что занчит не своим делом... Беру ОС (к сожалению Windows 2000), читаю и выполняю все рекомендации по установке и безопасности для интернет - центров (Microsoft Internet Data Center). Все настраиваю чисто, потом подключаюсь к сети и через какое-то время (месяц - два), просматривая логи, вижу - взломали. Администрирование - это что искуссто? Мне с бубеном прыгать вокруг сервера и кричать заклинания? Или просто выполнять все рекомендации из соответствующих руководств по операционке? Нет. Что-то криво в самом подходе TCP/IP и в операционках. Нужно сделать так, чтобы купил ОС, инсталировал и забыл. И не было возможности хакерам повалить мою систему. А пока во всем интернете КРИВИЗНА... (и нечего пенять на кривые руки админов).
|
|
| Simon
31 Jan 2003 12:02 PM |
| По моему, администрирование - это действительно искусство. Здесь одними рекомендациями не обойтись. Здесь нужно чутье, интуиция, и "драйв". Это постоянное соревнование с хакерами и ...с пользователями, которые по незнанию, порой, могут нанести не меньший ущерб ;-) Очень много зависит от того, КАК относиться к своему делу. Конечно, система, которую "поставил и забыл" - мечта админа, но не превратится ли это в простой механический труд - скучный и однообразный? |
|
| glassy
31 Jan 2003 12:05 PM |
| а что там с диал-апами? Я же и апач бывает запускаю... и по DCC файлы даю... |
|
| Misha
31 Jan 2003 12:24 PM |
| Вы когда на улицу выходите - бронежелет надеваете? А шлем, чтоб по голове не дали? Нет. Потому что на улице хулиганов отлавливают и сажают. Почему в интернете не сажают? Убытку от них не меньше. Так нет же! Из этих недобитых "хакеров" героев делают! Не герои они, а обычное хамло и мразь. Когда начнут их сажать, тогда и вопрос защиты будет не более актуален, чем надевание средневековых доспехов перед выходом на улицу. |
|
| se
31 Jan 2003 12:28 PM |
| 2Simon. Искусство - это конечно красиво звучит. Но представьте себе телефонную станцию, в которой чтобы соединиться с кем-то нужно обладать "чутьем, интуицией и драйвом", а не просто набрать телефонный номер... Администрирование не должно быть искусстовом. Там, где это искусство - это значит кривое программное обеспечение. По поводу скучности и однообразности, то конечно, если занимаешься только администрированием, то может быть и да.. А если обслуживаешь кучу клиентов, которые сразу начинают верещать, если что то случится с твоми сервером, то я предпочел бы скучать... |
|
| se
31 Jan 2003 12:37 PM |
| 2Misha - полностью согласен. Причем, я вычисляю хакеров, которые мне особо досаждают, отсылаю логи их провайдерам. А мне отвечают, что для них это "недостаточная информация"... Вот именно - хамло и мразь... (Хотя мои друзия - сами хакеры, ... хорошие в жизни ребята...) |
|
| V Zakone
31 Jan 2003 12:44 PM |
2se: "Все настраиваю чисто, потом подключаюсь к сети и через какое-то время (месяц - два), просматривая логи, вижу - взломали." Ну, учитывая, что Critical Updates для win2k выходять чуть ли не каждые две недели, тебе ещё повезло, что месяц-два держалось.
А вообще меня, в бытность мою админом тоже один раз ломали, но только из-за моего собственного раздолбайства... |
|
| V Zakone
31 Jan 2003 1:00 PM |
| и как уже кто-то сказал - не надо путать хакеров и крякеров. Хакер - это исследователь, высококлассный специалист... а крякер, в лучше случае просто использует кем-то написанные expoits... зайдите на ту же асталависту - там все эти exploits лежат в открытом доступе, скомпилил и вперед - большого ума не нужно... |
|
| Anti-MS
31 Jan 2003 1:04 PM |
2Misha
Вы когда машину паркуете ключи в зажигании оставляете? Или дверь в квартиру когда на работу уходите?
Я бы на месте работодателя выгнал бы админа если бы продакшин остановился бы из-за этого червя.
2se
"Это, пацаны, Вы не догадываетесь, что Вас ломают. Я тоже думал, что у меня все OK, пока не стал специально следить за трафиком."
Это просто смешно. Тебе еще действительно либо бросать админить либо еще учиться и учиться.
|
|
| Simon
31 Jan 2003 2:30 PM |
| 2se - Назовите мне хотя бы один пример "прммого", а не кривого программного обемпечения ;-) Пока такого просто быть не может - поэтому в любой лицензии Вы прочтете, что пакет продается "as is", и разработчик НИКАКИХ гарантий не дает. Следовательно, он и сам понимает, что где-нибудь что-нибудь кривое и всплывет. А пока это так, то без чутья и интуюции, видимо, не обойтись. |
|
| Qrot
31 Jan 2003 2:36 PM |
| я кое-чего не понимаю. вот у меня машинка с реальным адресом, в логах ессно скан и попытки атак присутствуют, но не сказать что бы сплошняком шли. максимум было где то раз 10 за день.. и полгода где то адрес не менялся, ftp открыт наружу, http иногда. так что ж сделать надо что бы через 20 минут уже _сломали_?!! |
|
| se
31 Jan 2003 2:38 PM |
| 2AntiMega$$$ - Ваш пример с припаркованной машиной следует дополнить - Вокруг машины одновременно вьются десятка два ворюг, которые свинчивают все, что только можно, не задумываясь бьют стекла и курочат Вашу машину. При этом полиция на Ваши крики говорит - "сами виноваты - это у Вас руки кривые, водить машину Вам не дано - вам нужно подумать о другом занятии, а Вашему работодателю выгнать Вас с работы". "А то, что Вы кричите - так это просто смешно..." |
|
| DemonZla
31 Jan 2003 2:44 PM |
Мда... сажать... а как доказать то, что именно этот чел сделал сию бяку... по логам? так может не он в это время за компом сидел... следящие жучки понатыкать по всем квартирам? тогда коекто сможет узнать про всю вашу жизнь даже если вы не хакер... и применить знания так, что вам мало не покажется...
тут двояко, либо всем свобода, но жди напасти, либо все защищены, но тогда никакой свободы, полицейское государство...
А в мире тем временем прикольная ситуация: запрещают шифровать, т.к. вдруг этим террористы воспользуются, а нешмфрованное крякеры перехватывают и пользуют в своих целях... вот вам и защита... с одной стороны терроризм, а с другой недостаточная защита систем... хехе... попались...
Хотя честно говоря, если ты админ, то обязан знать всё что происходит в твоей системе... все её сильные и слабые стороны... иначе ты будешь не админ, а шаман.... хехехе... |
|
| se
31 Jan 2003 3:23 PM |
| 2DemonZla: - Чтобы доказать - нужно каждому перед заходом в сеть получить удостоверяющий его сертификат. И предъявлять его при подключении к каждому сайту. Весь трафик TCP/IP - шифровать своими ключами из сертификата. И это будет "приличный" интернет, в котором каждый знает с кем имеет дело. А тех кто не хочет представляться (господа хрякеры) и на порог приличного дома не пустят. Пусть они ломают сайты друг другу... |
|
| Vovka
31 Jan 2003 3:55 PM |
| to se: Уважаемый, да Вам учиться надо, изучайте особенности опер системы, которую используете, а так можно все свалить на техногенную катастрофу и на крякеров |
|
| Maverik
31 Jan 2003 5:47 PM |
2 se
> Но представьте себе телефонную станцию, в которой чтобы
> соединиться с кем-то нужно обладать "чутьем, интуицией и
> драйвом", а не просто набрать телефонный номер...
Дык, хакеры -- это вчерашние фрикеры. И могу зуб больной отдать, что сейчас АТС пытается ломать не меньше людей, чем сервера. Только когда весь рынок телефонных услуг представлен исключительно AT&T, то это чревато национальной катастрофой и крупными антимонопольными процессами.
Надеюсь, аналогия понятна? |
|
| Armen - armenusarminco.com
1 Feb 2003 1:44 AM |
2se
gmm Странно это как-то звучит :(
Кстати, а как Вы узнаете, что Вас атакуют? поделитесь опытом! :)
Можно и на майл! |
|
| Рога и Копыта
1 Feb 2003 2:06 AM |
Anti-Ms,
а, пппожалуйста, нам адресочек одного из ваших серверов с непропатченым apache, ппппожалуйста. |
|
| se
1 Feb 2003 10:33 AM |
2Vovka & others: Многие просто не представляют маштабы взломов в интернет. Несколько лет назад я беседовал с одним хакером. Он взломал несколько десятков миллионов компьютеров. У него база данных о взломанных компьютерах была несколько Гигабайт. А критические патчи на Windows выходят по несколько штук в неделю и заделывают дыры в совершенно разных местах. Тут хоть учись, хоть молись, чтобы тебя не успели взломать, пока ты не пропатчил систему. Нет, ребята, менять нужно что-то в самом интернете и закрывать весь трафик TCP/IP. Вспомните, какая была беда с вирусами в MS-DOS и как вирусы сошли на нет в WIndows NT и 2000 (кроме разве что остались макровирусы в doc и e-mail, но это уже другая песня). А сейчас в Microsoft.net все exe файлы подписывают цифровой подписью и приделать туда какой-то вирус практически невозможно...
Менять нужно интернет...
|
|
| Anti-MS
1 Feb 2003 2:30 PM |
2se
не интернет а винду свою меняйте. это точно давно ее пора на свалку.
2Рога и Копыта
Дырявых апачей у меня естественно нет. Если находят дыру в апаче то я иду и везде ее заделываю сразу. А вот PHP или еще там что иногда бывает висят какое-то время дырявые. Но это на серверах которые впринципе мне все равно сломают их или нет, я формально их уже не поддерживаю.
А давать адресса мне не позволяет корпоративная политика и сдравый смысл ;)
Одно дело еще найти что на таком-то сервере в php дыра а совсем другое повесить табличку что хакерам сюда. |
|
| Deaddy
2 Feb 2003 8:10 PM |
2 se
Несколько десятков миллионов компов - это сильно сказано.
Пусть по минуте на комп, получается - 19 с мелочью лет на 10 миллионов компов. Или под взломом подразумевается запуск вируса? Тогда вашему хакеру надо бы оторвать кое-что. Детородные органы, например. И в тюрягу - лет на 200.
А вообще-то вы мне напоминаете ребят из детсада, которые хвастаются друг перед другом: "А мой старший брат - каратист, он придет и твоего папу побьет."
;-) |
|
| Deaddy
2 Feb 2003 8:15 PM |
2 Qrot:
Взломы - это вообще загадка природы. Есть у меня 2 компа "отладочных", с практически одинаковым набором серверов, ну там хттп фтп и т.п. Адреса соседние - х.х.х.8 и х.х.х.9.
Так вот - один у меня вечный страдалец - лезут раз по 300-400 в сутки, на второй никто почти внимания не обращает. Так, 2-3 попытки влезть в IIS (хотя чего там лезть - апач у меня и там и везде), пара-тройка других атак и все...
Загадка природы... |
|
| DemonZla
3 Feb 2003 8:49 AM |
se, насчёт сертификатов и т.д.
я уже говорил про полицейское государство?
Так вот, с таким интернетом, который вам хочется полицейским станет весь мир... как грится мечта любого диктатора.... |
|
| Проходивший мимо
3 Feb 2003 4:58 PM |
2 DemonZla:
Точно :) Осталось только ещё придумать какие-нибудь
"правА на пользование компьютером" (по аналогии с автомобильными), для получения которых надо сдать зачёт в соответствующей организации, а вместе с правами выдадут личный цифровой сертификат по которому и будут потом отлавливать (тем более, что соответствующие подразделения в большистве технически продвинутых стран уже существуют). Причем права сдавать по категориям:
A - beginner
B - trivial user
C - advanced user
...
L - windows administrator
M - linux administrator
N - solaris administrator
...
"Весёлая" получается картинка...
Что-то в стиле "The Right to Read" by Richard Stallman
А то и похлеще...
PS: А слабо кому-нибудь написать на эту тему рассказик в стиле
"The Right to Read" ?.. ;)
|
|
| vIv
3 Feb 2003 6:53 PM |
злобные хацкеры страшны зело....
ну так, блин, заплати, - пусть тебе сделают неубиваемый сервак. флэшку в пузо, штырёк в "R/O".
а теперь посмотрим, как "это" заломают ;) |
|
| vIv
3 Feb 2003 6:58 PM |
2se:
Не передёргивайте. ИНет и гос-во - это две разных среды. Хотите средств контроля (полицаев, оплачиваемых налогами) - идите в какую-нить отдельную сетку. Там вам за денюжку будет выделено внимание спец. админов, за ней приглядывающих.
В ИНете есть только _техническая_ возможность и цепочка договоров между отдельными сетями. Вы считаете, что вам нанесли ущерб? Договор со _своим_ провом есть? - подайте заявление в милицию, - следствие по цепочке договоров дойдёт куда надо. |
|
| vIv
3 Feb 2003 7:00 PM |
ага... сертификат.
иди в какой-нить интранет - будет там тебе сертификат. И (обрати внимание!) ни один пакет к тебе не придёт без заведомой авторизации.
Только, боюсь, н ебудет такой интранет огромным, как ИНет. |
|
| vIv
3 Feb 2003 7:02 PM |
пров на любой свой интерфейс может ткнуть мальцем в нужном направлении. за любую секунду любого дня.
если нет, - то трафик породил он, и он сам за него отвечает |
|
| vIv
3 Feb 2003 7:05 PM |
кстати, да. менять надо интернет. давно пора переезжать на IPv6
тока лениво....
ой, что это я? мы же о страшных мегаксакепах, которые за свои 12 лет десятки миллионов хостов в клочья рвуть 8-) |
|
|
