Έλεγχος για rotation log αρχείου

George Notaras gnot at g-loaded.eu
Wed Sep 16 20:44:42 EEST 2009


Christos Ricudis wrote:
> 
> Em eides poy otan h erwthsh diatypwnetai ws "Epanalambanomenes
> palindromikes eksanagkasmenes talantwseis sta8erou platous katalhgoun se
> stigmiaia anekselegkth eksarsh neyrofysiologikhs drasthriothtas poy
> akolou8eitai apo ragdaia ptwsh toy metabolismou, mhpws ftaiei to platos
> ths talantwshs?" h *swsth* apanthsh einai "stamata na malakizesai" ?
> 
> De xreiazesai tipote poy moiazei me thn "tail -f", kai profanws de
> xreiazetai na kaneis matsakwnies prospa8wntas na kaneis detect kanena
> rotation. Diabase to man page tou syslog.conf :
> 
>   Named Pipes
>       This version of syslogd(8) has support  for  logging  output   to 
> named  pipes
>       (fifos).  A fifo or named pipe can be used as a destination for
> log messages by
>       prepending a pipe symbol (‘‘|’’) to the name of the file.  This 
> is  handy  for
>       debugging.   Note  that  the  fifo  must  be created with the
> mkfifo(1) command
>       before syslogd(8) is started.
> 
> Opote me th mknod dhmiourgeis ena named pipe (p.x. /tmp/named-pipe), kai
> sto syslogd.conf sou bazeis apla ena :
> 
> auth.notice                  /var/log/messages.|/tmp/named-pipe
> 
> (den eimai sigouros gia to .notice).
> 
> Kai meta esy to mono poy exeis na kaneis einai na anoikseis to
> /tmp/named-pipe apo thn allh akrh kai na mazeyeis log entries.

Στην αρχή μου φάνηκε λίγο extreme ιδέα (αν και εξαιρετική). Τώρα νομίζω
ότι όσο περνάει η ώρα μου αρέσει όλο και περισσότερο...

Δηλαδή τόσες ώρες που προσπαθούσα να ανιχνεύσω το rotation με fd.seek()
και fd.tell() πάνε χαμένες :(

> Oson afora twra to *kyrio* sou problhma :
> 
> O *makran* pio eykolos tropos gia na glytwneis mia kai kalh apo tis
> bruteforce SSH blakeies, einai *apla na allakseis listening port ston
> ssh daemon*. Den exw dei pote na xtypane opoudhpote allou ektos apo to
> 22, opote poly apla katargw to 22 kai bazw ton sshd na akouei sto 2200.
> 
> Bebaia ayto proypo8etei oti 8a 8ymasai na kaneis p.x. ssh -p 2200 ... h
> scp -P 2200 ..., alla aksizei ton kopo.
> 

Δεν θα διαφωνήσω καθόλου για το πορτ του sshd. Αλλά το πρόβλημά μου
είναι το email. Διαβάστε λίγο παρακάτω και πείτε μου αν θα πρέπει να
συνεχίσω να κάνω όσα περιγράφω...

Σε γενικές γραμμές, δυο-τρεις φορές την εβδομάδα παρατηρούνται μαζικά
connections από άλλους email servers για να στείλουν email προς
ανύπαρκτες διευθύνσεις του στυλ: johndoe at example.org ή
asdfgh09 at example.org (όπου "example.org" ένα domain που εξυπηρετείται
από τον τοπικό smtpd).

Αν και πραγματικά δεν μπορώ να καταλάβω με βάση ποια λογική
αποστέλλονται αυτά τα emails αφού το <user> τμήμα της διεύθυνσης email
είναι μάλλον τυχαίο, εντούτοις, όταν συμβαίνει, δημιουργεί σοβαρό
πρόβλημα. Πιθανολογώ ότι υπάρχουν κάποια compromised accounts σε
διάφορους email servers, τα οποία χρησιμοποιούνται από infected Windows
hosts για να στείλουν email προσπαθώντας να εντοπίσουν valid email
διευθύνσεις.

Παρακάτω εξηγώ πώς χρησιμοποιώ το blacklisting για να μειώσω τις
συνδέσεις όταν συμβαίνουν τα παραπάνω attacks. Ας πάρουμε το παράδειγμα:

10000 smtp servers προσπαθούν σχεδόν ταυτόχρονα να παραδώσουν έναν
ακανόνιστο αριθμό από email σε διευθύνσεις του τύπου asdas231 at example.org

Παρατήρησα ότι όταν η IP ενός remote smtpd έχει μπει στην τοπική
blacklist, οπότε και αυτός παίρνει response 554 (σε postfix) αντί για
550 σε κάθε προσπάθεια να στείλει email σε ανύπαρκτο recipient, τότε ο
remote server σταματάει τις περαιτέρω προσπάθειες αποστολής. Έτσι, αν
ήταν να στείλει 10 μηνύματα, τελικά συνεχίζει να στέλνει μέχρι να φάει
το πρώτο 554 response. Δηλαδή όσο πιο γρήγορα μπει στην blacklist τόσο
καλύτερα.

Το πρόβλημα είναι ότι ένας blacklisted smtpd δεν μπορεί να στείλει ούτε
legitimate email για όσο χρόνο η IP του βρισκεται στο blacklist.

Η χρήση τέτοιου είδους blacklist είναι λίγο ρίσκο. θα ήθελα την άποψή σας.



More information about the Linux-greek-users mailing list