Автор Тема: Безопасность в ALT Linux и вопросы про вирусы и антивирусы. Взлом и атаки.  (Прочитано 107483 раз)

Оффлайн HaxHaxWin

  • Давно тут
  • **
  • Сообщений: 40
Re: Безопасность из коробки
« Ответ #15 : 24.09.2008 16:59:32 »
А-аа выручайте срочно

20=10100

колбасит мя

Оффлайн speccyfan

  • Завсегдатай
  • *
  • Сообщений: 522
  • CCNA
    • speccyfan (Примеры различных конфигураций сетевых сервисов)
Re: Безопасность из коробки
« Ответ #16 : 24.09.2008 17:03:54 »
20=10100
верно, а в чем дело? :)
With best regards, Yury Konovalov aka 2:453/53

Оффлайн HaxHaxWin

  • Давно тут
  • **
  • Сообщений: 40
Re: Безопасность из коробки
« Ответ #17 : 24.09.2008 17:27:50 »
32-16-8-4-2-1
или уже не так?

Оффлайн speccyfan

  • Завсегдатай
  • *
  • Сообщений: 522
  • CCNA
    • speccyfan (Примеры различных конфигураций сетевых сервисов)
Re: Безопасность из коробки
« Ответ #18 : 24.09.2008 17:45:43 »
32-16-8-4-2-1
или уже не так?
Ну, так, а в чем дело? Че за флуд?
With best regards, Yury Konovalov aka 2:453/53

Оффлайн bormant

  • Завсегдатай
  • *
  • Сообщений: 358
Re: Безопасность из коробки
« Ответ #19 : 24.09.2008 17:48:09 »
20(dec)=16+4=24+22=10100(bin) (номера степеней 2-ки с-но 43210)
20(hex)=32(dec)=25=100000(bin)
не про это?
« Последнее редактирование: 24.09.2008 17:51:57 от bormant »

Оффлайн HaxHaxWin

  • Давно тут
  • **
  • Сообщений: 40
Re: Безопасность из коробки
« Ответ #20 : 24.09.2008 18:08:02 »
Ха, отпустило
спс bormant

speccyfan: а ты не кусайся!
Вопрос есть вопрос

Оффлайн vvk

  • alt linux team
  • ***
  • Сообщений: 124
    • Email
Re: Безопасность из коробки
« Ответ #21 : 24.09.2008 20:23:09 »
Вместо sarg лучше юзать lightsquid.
irc.freenode.net #altlinux
http://spo.tyumen.ru/

Оффлайн Rider

  • /usr/sbin/control
  • *******
  • Сообщений: 1 136
Re: Безопасность из коробки
« Ответ #22 : 24.09.2008 21:59:09 »
К сожалению, сейчас уже не в школе.
Но суть расскажу, а более детально и на фактах при следующей атаке с фиксацией и скриншотами, если получится.
Итак, по порядку.
Как известно, школы подключаются в Интернет через шлюз (допустим, 10.55.1.20). У каждого компа в сети соответствующий IP-адрес, начиная от 10.55.1.21 до 10.55.1.46, т. е. маска подсети 255.255.255.224 (27 IP-адресов на школу). Обычно 2 DNS-сервера: 10.0.1.1 и 10.0.1.2 (Москва).
Наш регион (Омская область - 55) обслуживается через Новосибирск (Сибирьтелеком , если не ошибаюсь, код региона - 54). Так вот атаки идут на школьные компьютеры с 54 и 55 регионов, т. е. на региональном уровне, причем напрямую с других школьных компьютеров.
Во время работы (в данном случае в Юниоре) иногда появляется окно с сообщением, что пользователь с таким-то IP-адресом (например, 10.54.1.138) желает получить удаленный доступ к этому компьютеру. И два варианта ответа: "разрешить соединение" или "отклонить" (точную формулировку не могу вспомнить). И еще что-то про то, разрешить ли управление мышью и клавиатурой (галочка ставится/снимается). Я так понимаю, что в случае разрешения соединения, компьютер попадает в распоряжение удаленного пользователя.
Вот такие-то "пироги". Странно да?

Это запрос на получение управления рабочим столом. Ничего страшного нет, можно просто на каждом компе отключить эту функцию в настройках.

Второй вариант - пропускать все эти машины в интернет через учительский компьютер (превратив его в некий роутер). Это если нет возможности поставить отдельный роутер, естественно.


Оффлайн klark973

  • Завсегдатай
  • *
  • Сообщений: 662
  • Неспящий саппорт
Re: Безопасность из коробки
« Ответ #23 : 24.09.2008 23:32:28 »
Я не написал реальный адрес шлюза, только условный.
Реальный, например, 10.55.0.225
т. е. маска подсети 255.255.255.224
При маске 255.255.255.224 указанный шлюз 10.55.0.225 вполне реален. Тогда компы будут иметь IP-адреса с 10.55.0.226 по 10.55.0.254. А то Вы такую нереальную задачку сначала задали. :)

Во время работы (в данном случае в Юниоре) иногда появляется окно с сообщением, что пользователь с таким-то IP-адресом (например, 10.54.1.138) желает получить удаленный доступ к этому компьютеру.
...
Я так понимаю, что в случае разрешения соединения, компьютер попадает в распоряжение удаленного пользователя.
Это зависит от сообщения на экране. Но опасения не напрасны, если речь идёт действительно об IP-адресе из другой подсети Вашего провайдера.

как можно получить доступ к компьютеру в Линуксе в режиме пользователя?
Удалённый? Несанкционированный? Принцип везде одинаковый. Не ломаемых программ не бывает... практически.

Обычно 2 DNS-сервера: 10.0.1.1 и 10.0.1.2 (Москва).
Сможете показать вывод traceroute до Ваших DNS-серверов? Неужели за каждым "DNS-ответом" провайдер лезет в Москву? Слишком сомнительно, чтобы в это поверить. ???

с 54 и 55 регионов
Может провайдеру и удобней так подсети нумеровать, но не стоит понимать буквально... как в случае с "надписью БЫК на клетке с тигром". ;) Тем более выше написали, что природа фейковых адресов Вам понятна.

Возможно это частично объясняет причину попытки "нелегальных коннектов". ;) Подчёркиваю: возможно, но не обязательно!
Вот про это забудьте! Враньё!!! >:( Судя по описанному выше, запрос идёт действительно из другой подсети.

20 как адрес сети вполне возможно.
Если впереди идут, например, 2 сети /252 и /240 в произвольном порядке.
:-\

Предлагаю этот вопрос замять до момента узревания вывода ifconfig :)
Поддерживаю! Как вариант, можем через ЛС обсудить. А ещё лучше - при личной встрече с большим кол-вом пива. Тогда мы ещё и не таких сетей напридумываем! :-X

Ребята, это не нормально, но это действительность. Не знаю как в других регионах, а у нас в Красноярском крае, те же СТК предлагают именно такой способ подключения.
Именно это стало причиной кошмарного распространения всякой вирусни в школах, где компьютерами занимаются либо учителя информатики/математики, либо вообще секретарь!!!
Беззаконие на региональном уровне в купе с проблемами дискредитированной безопасностью винды и безграмотностью народа. Согласно ЗАКОНУ О СВЯЗИ провайдер обязан обеспечить БЕЗОПАСНОСТЬ КАНАЛА СВЯЗИ. На деле - люди юзают только лимитированные по трафику тарифы из-за слишком дорогой цены анлима, а при тарифе 300р/мес вся эта вирусня сжирает весь трафик за пару дней. Т.е. ещё и обдиралово. Причём, в большей степени это касается простых граждан. С ситуацией в Красноярске хорошо знаком, но это действительно ненормально. Однако, так везде, кроме Москвы. ???

Отдельные D-Link 624+ с точкой доступа или ADSL (модем+роутер+точка доступа в одном "флаконе", модель пока не скажу, но тоже D-Link). Затем от роутера/модема кабель идет в хаб и дальше в сетку. В некоторых школах (в целях безопасности ;D) только на учительском Интернет.
Давайте сначала рассмотрим конкретно Вашу ситуацию. У Вас D-Link 624+? Кто им управляет? Связь - ADSL? Модем работает в режиме роутера или бриджа? Настройки в модем Вы можете сами забивать? DNS-сервера Вы туда вписывали или на каждом компе их прописываете?

Это запрос на получение управления рабочим столом. Ничего страшного нет, можно просто на каждом компе отключить эту функцию в настройках.
Предлагаю дождаться точных данных от Storke, не спешить с выводами. Если запросы приходят действительно из другой подсети, стоит разобраться... Если же из внутренней, вопрос к альтовцам: кто(что) может инициировать такой запрос из локальной сети?
To moan or to solve -- that is the question!

Оффлайн SantaClausRpm

  • Давно тут
  • **
  • Сообщений: 43
Re: Безопасность из коробки
« Ответ #24 : 24.09.2008 23:45:25 »
Как известно, школы подключаются в Интернет через шлюз (допустим, 10.55.1.20). У каждого компа в сети соответствующий IP-адрес, начиная от 10.55.1.21 до 10.55.1.46, т. е. маска подсети 255.255.255.224 (27 IP-адресов на школу).

Логично предположить следующее:
/27 это маска CIDR (или 255.255.255.224), где всего адресов, пригодных для использования - 30 штук.

Других масок не бывает в природе. "Рядом" стоящие маски - /26 (всего 64 IP адреса) и /28 (16 IP адресов).
Что по условиям задачи не подходит.

При таком раскладе никак не выходит диапазон 10.55.1.20 -- 10.55.1.46 для одной подсети.
Адрес сети нигде в исходном сообщении не описан.
Для начала нужны реальные адреса, я бы предпочел точно знать сеть и маску.
Т.е. то, что сообщили "связисты", провайдеры или кто там у вас этим ведает.

И, для дальнейшего продвижения, все что выводится по

ifconfig -a
netstat -r
In FOSS we trust

Оффлайн SantaClausRpm

  • Давно тут
  • **
  • Сообщений: 43
Re: Безопасность из коробки
« Ответ #25 : 24.09.2008 23:50:33 »
У меня регулярно появляется надпись о том, что кто-то хочет "сконнектиться" (обычно школьные компьютеры из нашего и соседнего региона, узнаю по IP-адресу).

Можно подробнее, не у всех альт-линух стоит. Что значит "надпись о том, что кто-то хочет "сконнектиться"", где появляется, на рабочем столе?

Могу предположить, что это "Desktop Sharing"  в KDE (вопрос к тем, кто знаком с альт-линукс) ?
Но, там ,имхо, пароль нужен.
« Последнее редактирование: 25.09.2008 00:30:53 от SantaClausRpm »
In FOSS we trust

Оффлайн SantaClausRpm

  • Давно тут
  • **
  • Сообщений: 43
Re: Безопасность из коробки
« Ответ #26 : 24.09.2008 23:56:23 »
маска /5 говорит лишь о том,

А что это за маска и откуда взялась?
Тогда уже лучше брать /2 маску, больше выйдет.
In FOSS we trust

Оффлайн Rider

  • /usr/sbin/control
  • *******
  • Сообщений: 1 136
Re: Безопасность из коробки
« Ответ #27 : 25.09.2008 00:46:40 »
У меня регулярно появляется надпись о том, что кто-то хочет "сконнектиться" (обычно школьные компьютеры из нашего и соседнего региона, узнаю по IP-адресу).

Можно подробнее, не у всех альт-линух стоит. Что значит "надпись о том, что кто-то хочет "сконнектиться"", где появляется, на рабочем столе?

Могу предположить, что это "Desktop Sharing"  в KDE (вопрос к тем, кто знаком с альт-линукс) ?
Но, там ,имхо, пароль нужен.

Это действительно оно, и там нужно подтверждение от владельца рабочего стола на подсоединение.

Оффлайн firewolf

  • Завсегдатай
  • *
  • Сообщений: 63
  • werewolf
    • Email
Re: Безопасность из коробки
« Ответ #28 : 25.09.2008 05:12:20 »
тогда может проше удалить (отключить) нафиг неиспользуемые пакеты (службы)
живи сам и дай жить другим

Оффлайн Const

  • Глобальный модератор
  • *****
  • Сообщений: 2 653
  • Даже у плохого модератора есть свои плюсы…
Re: Безопасность из коробки
« Ответ #29 : 25.09.2008 07:12:11 »
маска /5 говорит лишь о том,

А что это за маска и откуда взялась?
Тогда уже лучше брать /2 маску, больше выйдет.
Это сокращённая форма записи маски. /5 говорит о том, что маска содержит 27 единиц и 5 нулей, то есть 255.255.255.224.
Соответственно маска /2 (255.255.255.252) даст не больше, а меньше :)