-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.
DISCLAIMER
Prima di cominciare vorrei ricordarvi che tutto quello che è riportato qua sotto è di solo scopo
informativo,quindi se provocate danni ad altre persone o a voi stessi, io non sono responsabile!!
-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.
Salve ragazzi,oggi vi spiegherò come tenere a bada i lamer dalla porpia linux box.
Perchè dico i lamer?
Risposta facile,il metodo che vi insegnerò è un po rozzo,insomma,diciamo che ha un livello di
sicurezza basso.
Ma se volete passare nottate a chiaccherare su irc senza che il solito lamerozzo caghi il caxxo,
bhe...puà + che andare bene.
Devo soltanto preannunciarvi che tutti i comandi e le istruzioni sono da intendersi eseguiti
da root.
Bene,incominciamo.
Prima di tutto cercherei di evitare connessioni verso i servizi del nostro sistema.
I principali servizi remoti,sono gestiti in un file di nome inetd.conf
Questo file risiede nella directory /etc ,quindi utilizzeremo il nostro editor preferito,e
editeremo il file inetd.conf .
Ci dovrebbe apparire una cosa del genere:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
#
# inetd.conf This file describes the services that will be available
# through the INETD TCP/IP super server. To re-configure
# the running INETD process, edit this file, then send the
# INETD process a SIGHUP signal.
#
# Version: @(#)/etc/inetd.conf 3.10 05/27/93
#
# Authors: Original taken from BSD UNIX 4.3/TAHOE.
# Fred N. van Kempen,
#
# Modified for Debian Linux by Ian A. Murdock
#
# Modified for RHS Linux by Marc Ewing
#
#
#
# Echo, discard, daytime, and chargen are used primarily for testing.
#
# To re-read this file after changes, just do a 'killall -HUP inetd'
#
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#discard stream tcp nowait root internal
#discard dgram udp wait root internal
#daytime stream tcp nowait root internal
#daytime dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
#time stream tcp nowait root internal
#time dgram udp wait root internal
#
# These are standard services.
#
#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
#
# Shell, login, exec, comsat and talk are BSD protocols.
#
#shell stream tcp nowait root /usr/sbin/tcpd in.rshd
#login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
#comsat dgram udp wait root /usr/sbin/tcpd in.comsat
#talk dgram udp wait root /usr/sbin/tcpd in.talkd
#ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd
#dtalk stream tcp waut nobody /usr/sbin/tcpd in.dtalkd
#
# Pop and imap mail services et al
#
#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
#imap stream tcp nowait root /usr/sbin/tcpd imapd
#
# The Internet UUCP service.
#
#uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l
#
# Tftp service is provided primarily for booting. Most sites
# run this only on machines acting as "boot servers." Do not uncomment
# this unless you *need* it.
#
#tftp dgram udp wait root /usr/sbin/tcpd in.tftpd
#bootps dgram udp wait root /usr/sbin/tcpd bootpd
#
# Finger, systat and netstat give out user information which may be
# valuable to potential "system crackers." Many sites choose to disable
# some or all of these services to improve security.
#
#finger stream tcp nowait root /usr/sbin/tcpd in.fingerd
#cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd
#systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx
#netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet
#
# Authentication
#
#auth stream tcp nowait nobody /usr/sbin/in.identd in.identd
-l -e -o
#
# End of inetd.conf
linuxconf stream tcp wait root /bin/linuxconf linuxconf --http
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Per disabilitare i servizi attivi da remoto,non bisogna fare altro che mettere il simbolo # ,
davanti alle righe in cui non ci sono.
(Guardare l'esempio che ho riportato sopra)
Piccolo esempio pratico:
------------------------------------------------------------------------------------------------
Prima la stringa è così:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
Mettendo il cancelletto,e quindi disabilitandolo diventa così:
#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
------------------------------------------------------------------------------------------------
Facendo così disabiliteremo il servizio di telnet,e quindi chiuderemo la nostra porta 23 .
Quindi mettere il # x ogni riga in cui non c'è.
Ah quasi dimenticavo,per rendere subito operative le modifiche fatte,bisogna mandare un SIGHUP
al demone inetd con il comando:
killall -HUP inetd
Pultroppo come dicevo prima l'inetd.conf non gestisce tutti i servizi,quindi x sapere quale sono
le altre porte aperte,dobbiamo usare un portscanner.
Un portscanner buono e facile da usare?
Beh...io vi consiglio il mitico Nmap.
Andare su http://www.insecure.org/nmap x scaricarlo.
Dopo averlo scaricato,diamo il seguente comando:
nmap -sS -P0 -O localhost
Con questo comando faremo uno stealth scan, senza ping e con un fingerprint per vedere se riesce
a notificare il nostro OS(Sistema Operativo).
A questo punto vi dovrebbe apparire una cosa del genere:
------------------------------------------------------------------------------------------------
[root@localhost /root]# cd nmap-2.54BETA22
[root@localhost nmap-2.54BETA22]# ./nmap -sS -P0 -O localhost
Interesting ports on localhost (127.0.0.1):
(The 1531 ports scanned but not shown below are in state: closed)
Port State Service
98/tcp open linuxconf
111/tcp open sunrpc
515/tcp open printer
935/tcp open unknown
956/tcp open unknown
961/tcp open unknown
966/tcp open unknown
1024/tcp open kdm
1025/tcp open listen
1032/tcp open iad3
6000/tcp open X11
Remote operating system guess: Linux 2.1.122 - 2.2.16
Uptime 0.001 days (since Sat May 12 14:36:19 2001)
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
------------------------------------------------------------------------------------------------
Ci sono vari modi x disabilitare questi servizi,ma dato che questo articolo è rivolto contro i
lamer, basterà un buon firewall per evitarli.
Il firewall che richiamerò in causa è il famigiarato ipchains.
Basta andare su un qualsiasi motore di ricerca per scaricarlo,comunque si può trovare anche su
http://www.packetstorm.securify.com .
Dopo esserci installato il firewall,dovremo creare delle rules.
Ma cosa sono le rules?
Le rules non sono altro che un'insieme di comandi che servono a rendere utilizzabile il firewall.
Ecco i comandi che useremo noi:
------------------------------------------------------------------------------------------------
1)ipchains -A input -p ICMP --icmp-type echo-request -j ACCEPT
2)ipchains -A input -p ICMP --icmp-type echo-reply -j ACCEPT
3)ipchains -A input -p ICMP -j DENY
4)ipchains -A input -p TCP --destination-port 0:1023 -j DENY
ipchains -A input -p UDP --destination-port 0:1023 -j DENY
5)ipchains -A input -p TCP -y --destination-port 1024:65535 -j DENY
6)ipchains -A input -s 127.0.0.0/24 --interface ! lo -j DENY
------------------------------------------------------------------------------------------------
Iniziamo con la spiegazione:
------------------------------------------------------------------------------------------------
1)Questo comando serve ad accettare solo i pacchetti echo-request
2)Comando simile al primo,infatti questo accetta i pacchetti echo-reply
3)Non accetta nessun ICMP... tranne i due tipi specificati prima
4)Rifiuta ogni pacchetto tcp e udp verso le porte comprese tra 0 e la 1023
5)Rifiuta ogni pacchetto tcp con flag syn settato verso le porte comprese tra 1024 e 65535
6)Comando che contro lo spoofing,ma servirà a poco....
------------------------------------------------------------------------------------------------
Ora uno pensa: "Ma che devo dare sempre tutti questi comandi x attivare il firewall?"
No cari miei,ci creeremo un bello script in bash,che faccia automaticamente tutti questi comandi.
Richiamiamo da terminale il nostro editor preferito,e creeiamo un file di nome /sbin/firewall.sh:
------------------------------------------------------------------------------------------------
#!/bin/sh
ipchains -F
ipchains -A input -p ICMP --icmp-type echo-request -j ACCEPT
ipchains -A input -p ICMP --icmp-type echo-reply -j ACCEPT
ipchains -A input -p ICMP -j DENY
ipchains -A input -p TCP --destination-port 0:1023 -j DENY
ipchains -A input -p UDP --destination-port 0:1023 -j DENY
ipchains -A input -p TCP -y --destination-port 1024:65535 -j DENY
echo "Firewall Script caricato con successo"
------------------------------------------------------------------------------------------------
Bene,adesso dovremo rendere eseguibile il nostro shell script,e lo faremo con il seguente
comando:
chmod +x /sbin/firewall.sh
Adesso facendo ./firewall.sh (nella dir /sbin) dovrebbe eseguirsi lo script senza nessun
problema.
Se l'esito è positivo,saremo lontani dai nuke,portescan e forse dagli smurf dei nostri amichetti
lameri.
Però non possimo stare sempre a eseguire la rules manualmente ad ogni avvio di linux,quindi
faremo in modo che ad ogni avvoi di linux parta lo script.
Se il nostro run livel di default è il 3 faremo un link nella dir
/etc/rc.d/rc3.d/
esempio:
ln -d /sbin/firewall.sh /etc/rc.d/rc3.d/S58firewall
se il runlevel è invece il 5:
ln -d /sbin/firewall.sh /etc/rc.d/rc3.d/S58firewall
Altrimenti potremo aggiungere la riga
/sbin/firewall.sh
infondo al file /etc/rc.d/rc.local
Ci sono vari modi x far partire un prog. ad ogni avvoi di linux,io ve ne ho citate 2 per
aiutarvi. C'è da dire una cosa molto importante,usando queste rules chiuderete ogni
connessione,quindi su irc non potrete usare le Dcc-Session.
Adesso vediamo come si potrbbe fare x monitorare le connessioni alla nostra macchina.
Tutto è
possibile grazie al comando netstat con l'opzione -na :
netstat -na
Con questo comando potremmo accorgerci se qualche strunz è collegato alla nostra macchina.
Per visualizzare solo le connessioni stabilite sul nostro pc, si può usare il comando:
netstat -na | grep ESTABILISHED | grep -v unix | less
che listerà solo le connessioni stabilite..
Un'altro file che non permette l'accesso a qualunque da remoto,è l' hosts.deny ,contenuto nella
directory /etc.
Editiamo ora il file /etc/hosts.deny e aggiungiamo infondo:
ALL: ALL@ALL, PARANOID
in questo modo CHIUNQUE provi a connettersi alla vostra macchina per utilizzare un qualunque
servizio sarà bloccato, a meno chè non sia espressamente indicato nel file /etc/hosts.allow
(esempio telnet: 168.43.49.19 (permette il telnetd a quell'ip)).
Anche per oggi ho finito,spero che abbiate imparato qualcosa di nuovo,e che nessun lamero si
interessi della vostra macchina ;)
-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-
bash# cd /saluti
bash# cat saluti.txt
Saluti: Bakunin(Mio grande maestro),AtlaWare,mR_bIs0n(Mio Fratellone),Spawn,BsTHaCk,Anubi,
D4rkSt4r. Radion,Warning,Terror,Gouranga,Blender,Prodigy,Hiolz[83],Memorik,
Hedo,MrWolf,Screen_it,zapotecz,Goony,Scire,Sulex,Floppino,Grungio,Fratak,
McGiver,AntiS,gouranga,LizDay,satz,cancerman,Dea,ULCC,Spider2k,Ice'St0rm
e tutti quelli che ho dimenticato di #phreak.it(scusatemi). Poi saluto
anche tutti quelli dei tankcommandos,della hrn,pbk,Maphias0ft,gli
Spippolatori,in particolare il grande Master,Chrome,Brigante,RigorMortem,
Vinx2020,fen0x,e tutti quelli che mi vogliono bene :)
Fuck to: MMMMM un gran vaffanculo all'amicizia fra ragazzi e ragazze!!!!!!
-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-
bash# cat end.c
#include
main(){
printf("Anche per oggi è tutto dal vostro SPYROn");
printf("Ciaoooooooooooon");
}
bash# halt
ATTENDERE:ARRESTO DEL SISTEMA IN CORSO......
ORA SI PUO' SPEGNERE IL COMPUTER!
ahahaha scherzo ;)
© GnomixLand
http://www.gnomixland.com/
http://www.gnomixland.com/