Как защитить Ubuntu от обратной оболочки [закрыто]

Question 1

На Bloxfest 2016 Кевин Митник рассказал об обратном шелле. Как я могу защитить свою Ubuntu от этого типа проникновения?

Кевин Митник, самый известный в мире хакер, отвечает на вопросы аудитории на Bloxfest 2016 (2:05)

Question 2

Чтобы обратная оболочка смогла использоваться, Ваша сеть уже должна быть повреждена.

Так не устанавливают руткит, и Вы будете в порядке ;) Придерживайтесь репозиториев и, если действительно необходимый PPAs от панели запуска. Удостоверьтесь, что Вы устанавливаете, из безопасного источника. Не устанавливайте программное обеспечение, Вы не нуждаетесь, отключаете сервисы, Вы не нуждаетесь, совершенствуете свою систему. Следите за файлами журнала и следите за своими журналами от Вашего маршрутизатора. И выключите машину, когда Вы не используете ее (не сохраняйте ее на в течение ночи, например).
Простой ответ: Если Вы позволяете своей системе взламываться, Вы не собираетесь быть способными предотвратить обратную оболочку.
более тщательно продуманный ответ: Предотвратите создание исходящих соединений TCP, исключенный для доверяемых адресов способ сделать более трудным сделать, чтобы кто-то создал обратную оболочку. Но Вы серьезно ограничите свою систему: это также предотвратит просмотр Интернета, патчи, установленные по HTTP и если Вы используете его, обновление антивируса так в основном хорошо для сервера, паршиво для рабочего стола.

Это предотвратит что-либо кроме поисков DNS ( источник ):

iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -j REJECT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 5432 -j ACCEPT
iptables -A INPUT -p tcp --dport 8009 -j ACCEPT
iptables -A INPUT -p tcp --dport 8180 -j ACCEPT
iptables -A INPUT -p tcp --dport 21107 -j ACCEPT
iptables -A input -j REJECT

, Но порт 53...

$ grep Domain /etc/services 
domain      53/tcp              # Domain Name Server

будет все еще допускать обратную оболочку по этому порту, в основном лишающему возможности предотвратить его, не делая Вашу систему полностью неприменимой.

Так для возвращения к 1-й части: оставьте систему, как это в настоящее время, и не позволяйте злонамеренному пользователю получить доступ к Вашей системе. Затем Вы не должны волноваться об обратных оболочках.

Rinzwind · Accepted Answer · 7 December 2019 в 13:41

Чтобы обратная оболочка смогла использоваться, Ваша сеть уже должна быть повреждена.

Так не устанавливают руткит, и Вы будете в порядке ;) Придерживайтесь репозиториев и, если действительно необходимый PPAs от панели запуска. Удостоверьтесь, что Вы устанавливаете, из безопасного источника. Не устанавливайте программное обеспечение, Вы не нуждаетесь, отключаете сервисы, Вы не нуждаетесь, совершенствуете свою систему. Следите за файлами журнала и следите за своими журналами от Вашего маршрутизатора. И выключите машину, когда Вы не используете ее (не сохраняйте ее на в течение ночи, например).
Простой ответ: Если Вы позволяете своей системе взламываться, Вы не собираетесь быть способными предотвратить обратную оболочку.
более тщательно продуманный ответ: Предотвратите создание исходящих соединений TCP, исключенный для доверяемых адресов способ сделать более трудным сделать, чтобы кто-то создал обратную оболочку. Но Вы серьезно ограничите свою систему: это также предотвратит просмотр Интернета, патчи, установленные по HTTP и если Вы используете его, обновление антивируса так в основном хорошо для сервера, паршиво для рабочего стола.

Это предотвратит что-либо кроме поисков DNS ( источник ):

iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -j REJECT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 5432 -j ACCEPT
iptables -A INPUT -p tcp --dport 8009 -j ACCEPT
iptables -A INPUT -p tcp --dport 8180 -j ACCEPT
iptables -A INPUT -p tcp --dport 21107 -j ACCEPT
iptables -A input -j REJECT

, Но порт 53...

$ grep Domain /etc/services 
domain      53/tcp              # Domain Name Server

будет все еще допускать обратную оболочку по этому порту, в основном лишающему возможности предотвратить его, не делая Вашу систему полностью неприменимой.

Так для возвращения к 1-й части: оставьте систему, как это в настоящее время, и не позволяйте злонамеренному пользователю получить доступ к Вашей системе. Затем Вы не должны волноваться об обратных оболочках.

Как защитить Ubuntu от обратной оболочки [закрыто]

1 ответ

Другие вопросы по тегам:

Похожие вопросы: