Olin reitittimessäni käyttänyt pitkähkön aikaa Comodo Secure DNS -nimipalvelinta, internet palveluntarjoajan DNS:n sijasta, kunnes jo
Joulukuussa Comodo yllättäen blokkasi blogini, oheisen varoituksen säestyksellä. Sinänsä hassua, koska sivuni elää yhtä hiljaiseloa kuin itsekin. Ja sekin vähä on Comodon mielestä liikaa.
Valitettavasti Comodo ei vihjaisekaan mitä mahdollista linkkiä tai ohjelmaa se epäilee pahansuopaiseksi.
Lähetin Comodolle palautetta, että minun tietääkseni mitään pahansuopaista tai harmillista ohjelmaa serverilläni ei pitäisi olla. Vastapalautetta en ole saanut.
Ellei sitten Comodo laske harmilliseksi juttujani. Voihan nekin närästää yliherkkiä. Comodo ei käsittääkseni kuitenkaan perustu surffaajien ilmiantoihin, piti lukija jutuista tai ei, toisin kuin WOT, ”Web of Trust”, joka pisteyttää sivustojen maineen surffaajien mielipiteen mukaan. Pääsin aikoinaan WOT:in huonomaineisten sivujen listoille syyttömästi, pelkän ”4irc.com” -tunnuksen perusteella, jota jotkut haukkuivat. Samaa DtDNS:n domainia käyttää kuitenkin ziljoona muutakin sivustoa. Vaikka sivustot yksilöivä etuosa on kaikilla erilainen, niin silti kaikki kärsivät ”huonosta maineesta”
Comodon varoitus sattui tulemaan samaan aikaan, kun koodasin blogiini ”Mannalappu” – ohjelmaa, jossa on hieman käytetty tavallista jquerya. Kaanaan kielinen sana, ”mannalappu”, tarkoittaa satunnaisesti poimittua raamatunkohtaa. Mannalappu -ohjelma toimii siten, että selaimen jokainen virkistys heittää näkyville aina uuden ”mannalapun”. En tiedä tulkitseeko Comodon algoritmi mannalapun scriptineen ”pahansuopaiseksi”? Tuskin.
Seuraavaksi tuli mieleeni, jospa serverilleni on hakkeroitu. Varsinkin kun joulun alla myös SSH -yhteys serverilleni toisinaan takkuili. Vilkaistessani lokitiedostoja huomasin hämmästyksekseni, että todellakin, lukuisia hakkerointiyrityksiä oli tehty! Kymmenistä eri IP -osoitteista oli yritetty arvata käyttäjänimien tai pääkäyttäjän salasanoja!
Data -varkaat löisivät kirveensä kiveen, koska serverilläni tuskin on kenellekään mitään arvokasta varastettavaa. Roskapostipalvelimeksi valjastaminen olisi ehkä teoriassa mahdollista, jos huijari saisi koneeni kokonaan valtaansa. Internetin ”koulukiusaajat” eli nettikiusaajat eivät tarvitse edes motiivia. He voivat murtautua koneelle ja tehdä jotain ikävää pelkkää pahanilkisyyttään.
Ilmeisesti koneelleni ei kuitenkaan ole onnistuttu murtautumaan. Ainakaan ei löydy epäilyttäviä scriptejä tai outoja prosesseja. Myöskään Maldet -skanneri (Linux Malware Detector) ei löytänyt mitään erikoista. Tiedä sitten kuinka tarkka tuollainen skanneri ylipäätään on. Kuitenkin jo se, että murtomies on pääsyt SSH:n avulla arvailemaan salasanoja, ikään kuin kassakaappihuoneeseen pyörittämään kaapin numerolevyä, osoitti minulle, että serverini tietoturva-asetuksissa on puutteita.
Netistä löytyy paljon neuvoja kuinka serveriä voi vahvistaa. Mm. tiukennettuani oikeuksia ja estämällä hyökkäävät osoitteet palomuurilla, murtomiehet katosivat ”kassakaappihuoneesta”. Silti niitä pyörii edelleen kassakaappihuoneen ympärillä kuin hyeenalauma. Suhteellisen usein, muutoin vähäliikenteisellä koneellani. Mutta tällä kertaa lokitiedossa lukee ”refused connection from sejase”, esim. viimeksi ”refused connection from 176.10.99.201”, joka sijaitsee Sveitsissä. Osoitteita on eripuolilta maailmaa. Mutta ”numerolevyä” ei ole enää päästy pyörittää, salasanoja ei ole arvailtu! Voinen huokaista helpotuksesta.
Joidenkin mielestä palomuuri on vahvempi ratkaisu kuin em. lokitiedostoihin perustuvat menetelmät. Yksi syy se, että palomuuri on heti ensimmäisenä hyäkkääjää vastassa. Toisekseen, vaikka denyhosts tukee ssh:ta, se ei tue koko järjestelmää. Kritiikkiäkin läytyy esim. (http://bioneos.com/blog/missed-attacks-by-denyhosts-2-6) Uusin versio lienee korjannut ongelman.
Sitten läysin ipset-blacklist -menetelmän, parikin hieman erilaista scriptiä. Valitsin niistä toisen, jonka avulla palomuurin on mahdollista blokata kymmeniätuhansia ei-toivottuja osoitteita.
Päätin käyttää periaatteessa molempia ratkaisuja, palomuuria, sekä lokiin perustuvaa, siten, että on helpompaa sallia pari osoitetta kuin kieltää tuhansia. Joten kielsin hosts.denyissa kaikki ja sallin hosts.alloy:ssa vain ”itseni” ja localhostin. Sshd.confissa myäskin määritelty vain sallitut käyttäjät ja rootina kirjautuminen kielletty.
Ipset-blacklist päivittää palomuurin estolistalistan kerran vuorokaudessa useista lähteistä, mukaan lukien oma listani, jonka pieni ”selfmade” -scripti päivittää myäs kerran päivässä. Scripti etsii lokista uusia osoitteita, jotka lisää listalle, ellei ne ole jo ennestään. Tämä omakaan lista ei kuitenkaan vaikuta hosts.denyihin, vaan palomuurin estolistaan, hosts.denyssa on kaikki osoitteet kielletty jo muutenkin oletuksena.
Vaikuttaisi toimivan, koska enää ei ole lokissa näkynyt yhtään ”failed password” -yritystä, pelkästään ”refused connection”. Nekin näyttävät harventuneen. Tätä kirjoittaessa eilisen sveitsiläisen osoitteen jälkeen ei ole tullut vielä yhtään uutta.