mood-indigo.org - Das unabhängige Silicon Graphics User Forum
Off-Topic => OT Diskussionen => Thema gestartet von: Jerry am 29. September 2002, 01:42:02
-
'n Abend,
wer von Euch hat eigentlich seine Kiste(n) dank DSL Flat per dyndns erreichbar?
Meine Server-Mühle würde jetzt auf steinbruch.homeunix.net antworten, wenn denn schon was antwortendes drauf wäre (Firewall ist noch nicht so dicht, wie er sein könnte, aber die Maschine lauscht eh auf recht wenigen Ports...)
Sinnvolle Anwendung fehlt mir zwar noch, aber so 'ne quasi-Standleitung hat was...
Gruss
Jerry
(der sich wohl die halbe-Grundgebühr-Rückerstattung der 1&1 FairFlat abschminken kann ;) )
-
Ne Webcam und ab damit auf Deinen Server ;)
Ähm... ich will ja nichts sagen aber laut nmap habe ich Dich, besser Deine Kiste mit heruntergelassenen Hosen erwischt... ich will hier nicht die offenne Ports posten aber ich würde was dagegen tun. Sperre mit ipchains/table alles um mach es nach und nach wieder auf - ist mit recht sicher - wirst Du aber selbst wissen.
bye
Mats
-
> Also wirklich Mats, war das nun nötig.
nein aber ich dachte mir sowas fast... ich wollte nur darauf hinweisen, da es eben sehr gefährlich ist sowas zu tun, egal ob Content auf dem Rechner oder nicht.
Ich spreche aus Erfahrung - sowas kann der Todesstoss eines LANs sein. Ich wollte Jerry's SUN nicht "hacken" oder sonst was (das überlasse ich irgenwelchen Kiddis die mit der Begriff "Privatsphäre" nicht anfangen können). Zumindest sind Passwörter gesetzt.
Wie gesagt, Jerry Du wirst wissen was offen ist und was offen ist - ist wirklich gefährlich.
Ich würde "nmap" nicht als bösartig etc. bezeichnen, sondern eher als hilfreich. Einen Postscann kann ich nichts "war das unbedingt nötig" abfinden....
Deine "Aufregung", Christoph verstehe ich nicht ganz.
sei es drum
bye
Mats
-
Hi nochmal,
ähm, Mats, wäre nett, wenn Du mir mal 'ne mail schickst mit dem, was der NMAP bei Dir rausgeworfen hat. Ich war bislang der Meinung, daß zwar ziemlich viele Ports offen sind, das, was dahinter läuft, aber wenig Möglichkeiten für exploits übrig lässt. Und die meisten Ports, die bei Solaris per default mit irgendeinem listener belegt sind, hab ich sowieso deaktiviert (Port nicht zu, aber es lauscht halt keiner dran...)
Generell alles dichtmachen mag ich nicht, noch bin ich nicht paranoid ;)
Wenn grad jemand einen einigermaßen allumfassenden ipf-Ruleset hat: Nur her damit ;)
Gruss
Jerry
-
Hi,
Du bekommst gegen Nachmittag ne Mail von mir mit dem Ergebnis. Das andere ist dass nicht nur die Ports offen sind sondern auch die dazugehörigen Deamon rennen...
bye
Mats
-
Hacker-Cat hat zugeschlagen !
Aber mal ehrlich Jerry,
ich hätte die Adresse nur dann genannt,
wenn ich mir sicher wäre, daß da niemand was anrichten kann.
-
...es reicht? Warum zur Hölle werde ich als Hacker bez.?
Mir muss ehrlich mal jemand erklären warum "nmap" ein Hacker Tool ist oder besser warum dessen Nutzung als Angriff gewertet wird - irgendjemand hat hier ziehmich irreversible Vorstellungen... kann seind dass ich ich bin.
bye
Mats
-
Ich muß hier mal Partei für Mats ergreifen. Ich sehe einen Portscan als normales Mittel um einen Server auf Sicherheit zu checken. Ping of Death und diverse Attacken auf die Ports sind da eine andere Sache. Wer heute sich eine Zeitschrift für 5 Euro holt hat alle Tools, vom Portscanner bis zum Virenpröbchen, um damit mit Nullkenntnis Rechner außer Kraft zu setzten. Das Mats es hier öffentlich schreibt ist doch kein Akt, damit können Alle Forumleser direkt davon Profitieren und evtl. ihre Netze prüfen. Jerry hätte aus seinem Netzwerk heraus keinen Portscan machen können und Sites wie http://scan.sygate.com prüfen zwar die Ports, jedoch nur nach dem Können der eigenen Software.
Ich habe Bekannte die dachten mit einer Firewall das System dicht zu haben. Den Http Port weitergeleitet an einen lokalen Webserver. Alles hinter der Firewall. Dann wurde der Webserver gehackt. Jetzt waren die Typen hinter der Firewall und haben dort gemacht was sie wollten. Selbst wenn der Webserver eine alte Knutschkugel ohne wichtige Inhalte ist, wichtig ist was hängt jenseits der Firewall noch am Netz.
Es gibt so wenige priv. Rechner die wirklich Wasserdicht sind, meiner mit Sicherheit nicht, deshalb gibt es so viele Bekloppte die meinen einen privaten Rechner hacken zu müssen um Schaden anrichten zu können. Von der Mentalität her setzte ich so Typen mit Gullydeckelwerfern gleich. Destruktives Grundeinstellung und Feige.
Also ich sehe nichts Anrüchiges an den Hinweisen von Mats.
Davon ab ist das Problem bei DSL das Downstream und Upstream zwei absolut verschiedene Paar Schuhe sind. DSL ist Downstream eine Rakete und Upstream ein Trabbi (bißchen schneller als ISDN). Da bringt auch T.DSL 1500 nichts. Daher hingt der Vergleich mit einer Standleitung ein wenig. Ist die Traffic größer ist direkt Schicht im Schacht.
Außerdem wie Thomas in einem anderen Thread schon bemerkte wir lieben uns doch alle Oder?
Also große Gruppenumarmung an die Forumgemeinde. ;D ;D ;D
-
...war doch garnicht so gemeint !
nmap ist KEIN Hackertool !
-
> nmap ist KEIN Hackertool
gut, dann sind wir uns ja einig.
Ich bin kein Kiddi der es nötig hat irgendwelche Daten auszuspionieren... da stehe ich drüber ich zitiere:
- Access to computers - and anything which might teach you something about the way the world really works - should be unlimited and total. Always yield to the Hands-On Imperative!
- All information should be free.
- Mistrust authority - promote decentralization.
- Hackers should be judged by their hacking, not bogus criteria such as degrees, age, race, or position.
- You can create art and beauty on a computer.
- Computers can change your life for the better.
- Don't litter other people's data.
- Make public data available, protect private data.
bye
Mats
-
Für´n "Script-catty";D ;D bist du ja auch schon etwas zu alt !
-
...wenns nach Christoph geht flirte ich noch mit meiner Kindergärtnerin ;D aber mach mich nur alt - ist ok...
-
Du hast aber auch wirklich Schlechte Laune........
-
> Du hast aber auch wirklich Schlechte Laune........
zuerst ging es mich tierisch an dass ich wegen eines Portscann versucht wurde nieder zu machen, naja nicht "nieder" aber doch kritisiert, dann wurde ich teilweise mit einem Hacker gleichgestellt - aber schlechte Laune? Nö eigentlich nicht, habe ich die poste ich nicht, würde nicht gut gehen ;D
Das mit dem "alt" sein amüsiert micht nur, da Christoph eben meinte ich sei noch fast ein Kleinkind, Du begrüßt mich mit "Hallo junger Mann" am Telefon, Sparky, und nun bin ich "zu alt..." (wenn ihr Euch über meine Reife einig seit reden wir weiter) ;D ;D ;D
Ich sehe es ja ein - ich seid druch meinen jugendlichen Elan geblendet und vielleicht etwas eingeschüchtert ;D
Halten wir fest: Nicht alles so tierisch ernst nehme was von mir kommt, auch wenn ein ";D" fehlen sollte. Glaubt mir: Wenn ich sauer bin merkt man es, wobei "sauer" oder "schlecht gelaunt" relativ ist... Es gibt ein paar Themen da werde ich, nun sagen wir kontrovers. Ist aber bis jetzt noch nicht im mood vorgekommen (einmal in sonnenblen.de). Wer mich richtig "kontrovers" erleben will soll meine Postings in http://www.linux-community.de suchen ;D
Schwamm drüber - wir haben uns doch alle lieb *g*
schönen Abend noch
bye
Mats
-
Um den Thread mal wieder auf den von mir gedachten Pfad zurückzuholen:
Jetzt hab ich mich mal selbst geNMAPt... sieht doch gar nicht so schlecht aus?!?
Die laufenden Daemonen machen mir vergleichsweise wenig Sorgen, das ein oder andere lässt sich sicher noch einschränken. Bei SMB, SWAT und anderen Spielsachen sollte der Package-eigene Deny-Mechanismus dafür sorgen, dass von außen zwar der Port als vorhanden und offen erkannt wird, aber kein exploit möglich ist.
Was mich aber viel mehr ärgert: Ich hab jetzt wie ein Irrer mit IPF rumgespielt und stelle fest: Was immer ich eintrage, gilt für _geforwardete_ Verbindungen. Die lokale Maschine (= der Server) zeigt sich völlig unbeeindruckt. Da fehlt doch ein Zwischenstück, quasi noch ein virtuelles Netzwerkinterface.
Es kann doch nicht sein, daß ich als Firewall eine _zweite_ Box hinstellen muß? Wir arbeiten hier mit richtigen Rechnern und richtigen Betriebssystemen...
Tipps?
Danke und Gruss
Jerry
(macht grad einen crashkurs in Firewalling...)
-
>(macht grad einen crashkurs in Firewalling...)<
...da hat sich schon so mancher die Finger verbrannt.;D ;D
-
/etc/services und "ipchains" ist Dein Freund *g*
Wie wärs gleich mit nem "Honey Net" - hätte was ;D
> Firewall eine _zweite_ Box hinstellen muß?
nein, alle per ipchains dicht machen, alles killen in services was nicht genutzt wird. Danach einen accept für das interne LAN mit ipchains mit dem was gebraucht wird, z. B. nfs
bye
Mats
-
Hmm,
gar nicht gut, ich mach's nicht öffentlich aber ich habe einige bösartige Exploits gefunden... ist also doch nicht gar so harmlos.
bye
Mats
-
/etc/services und "ipchains" ist Dein Freund *g*
Ist's nicht. ipchains rennt nach allem, was ich finden konnte, nur auf Linux und macht auch nix anderes als ipfilter für Solaris. Egal wie ich ipf einstelle, die Zugriffe direkt auf die Kiste gehen durch, alles auf das Netz dahinter wird brav geblockt wie konfiguriert. Ich mach wohl irgenwas falsch...
Egal, hab erst mal services gekillt... trotzdem wird die Zahl der offenen Ports eher steigen, und z.T. soll das sogar so (z.B. kommen noch MySQL, Postgres und apache dazu...)
Trotzdem geht mir nicht auf, wie ich Zugriffe über das pppoe-Interface auf den Host blocken kann. Lt. config-Anleitung ist's kinderleicht, es zeigt bloss keinerlei Wirkung... (mehr als "block in on sppp0 all" kann ich ja nun wirklich nicht befehlen.... danach kann mein NAT-Netz nix mehr, die SUN weiterhin alles...)
*kratz?*
Gruss
Jerry
-
Wie wärs denn mal nach alter Windows-Manier mit einem Reboot ?
-
Wie wärs denn mal nach alter Windows-Manier mit einem Reboot ?
Wenn Du mir verrätst, was der bringen soll. Der kann auch nur das ipfboot script ausführen, und welchselbiges reloade ich hier schon bis zum Pickelkriegen...
Nee, nee, ein richtiges OS braucht nicht mehr in der Gegend rumbooten um sowas profanes wie einen Paketfilter zu aktivieren.
Gruss
Jerry
-
Moin,
Davon ab ist das Problem bei DSL das Downstream und Upstream zwei absolut verschiedene Paar Schuhe sind. DSL ist Downstream eine Rakete und Upstream ein Trabbi (bißchen schneller als ISDN). Da bringt auch T.DSL 1500 nichts. Daher hingt der Vergleich mit einer Standleitung ein wenig. Ist die Traffic größer ist direkt Schicht im Schacht.
Ich dachte immer synchronised DSL heißt synchronised weil Up- und Downstream gleich sind im Gegensatz zu "normalem" DSL ?! ???
Was ist T.DSL 1500 ?! ?!?
@Jerry
Was hat man denn für eine Verbindung wenn man einen Server hat ? Und was kostet sowas (über den Daumen) ? Anbieter ? ???
Ciao
vom Planeten der desinformierten blödsinnfrager
Elmar ;D
-
@Elmar
Upstream sind bei DSL 128 Kbit drin und Downstream 768 Kbit.
Hier der Text der Telekom:
Mit Übertragungsraten von bis zu 768 kbit/s vom Internet zum PC und bis zu 128 kbit/s vom PC ins Netz wird Ihr Internet-Anschluss zum Turbo.
http://www.telekom.de/dtag/home/portal/0,14925,11029,00.html
Und hier der Text zu T-Dsl 1500:
Mit T-DSL 15001 surfen Sie in maximal doppelter T-DSL Geschwindigkeit über den Datenhighway und laden z.B. Software, Musik oder Video-Dateien mit bis zu 1536 kBit/s auf Ihre Festplatte. Das ist ca. 24 mal so schnell wie bei einem herkömmlichen T-ISDN Anschluss mit bis zu 64 kBit/s. Auch beim Upstream erzielen Sie mit bis zu 192 kBit/s deutlich höhere Geschwindigkeiten.
http://www.telekom.de/dtag/ipl2/cda/mrp/0,15188,01401293151110000326611,00.html
Mit 128kbit und 192 kbit ist man nicht gerade Standleitungskunde. Forum kann man ja noch machen, aber bei viel Traffic und Datenvorlumen ist der DSL-Anschluss Upstream einfach zu langsam.
T-DSL 1500 wäre eine feine Sache, mir reichen meine 768 kbit downstream. Ist alles ohne Frage besser als ISDN.
-
@Jerry
...ein Reboot verschafft dem Operator die nötige Pause,
um Luft zu holen und Nachzudenken . ;D
-
@Jerry
Was hat man denn für eine Verbindung wenn man einen Server hat ? Und was kostet sowas (über den Daumen) ? Anbieter ? ???
Die puretec-Server sind mit 100Mbit am internen LAN des RZ angeschlossen, welches nach allem was ich rausfinden konnte am Backbone von Level3 hängt (und damit m.E. in der 622Mbit-Liga spielen müsste...) Ein Vergleich mit selbstgestrickten DSL-"Standleitungen" hinkt also...
Die dedizierten Server gibt's ab 49 EUR/Monat, in der Grundausstattung ist auch schon ein ordentlicher Batzen Traffic inclusive (50GB aktuell), einziges Manko: Um Administration und Backup musst Du Dich selbst kümmern (alternativ kriegst Du die Kisten zum gleichen Preis gemanagt, wobei mir nicht klar ist, ob Backup dann incl. ist; Nachteil ist dann aber, daß Du nur Deine eigene(n) Domains drauf hosten kannst -> nicht "untervermietbar")
Bei allen lowcost-Servern ist der Pferdefuß übrigens der Kostenhammer, der mit Extras kommt: Ein besseres config-Tool kostet mtl. mehr als der billigste Server (Software-Miete!), ein Backup im RZ ebenfalls, und wenn's gar über den Freitraffic geht, wird's richtig teuer (15 EUR für's 51. GB zum Beispiel...)
Andererseits würde sonst die Rechnung für die Anbieter auch kaum aufgehen... 49 EUR / Monat bezahlt auf die Dauer nicht mal die Hardware...
Gruss
Jerry