Harjoitus 4

·        Tätä dokumenttia saa kopioida ja muokata GNU General Public License (versio 2 tai uudempi) mukaisesti. http://www.gnu.org/licenses/gpl.html

·        Pohjana Tero Karvinen 2012: Linux kurssi, http://terokarvinen.com

Perus käyttäjän oikeuksilla verkkosivustojen tekeminen.

Tehtävien teko aloitettu 10.2.2019 noin kello 20.00.

Alkuvalmistelut…
Asenna apache2:
$ sudo apt-get install apache2
Käynnistin Apachen uudelleen:
$ sudo systemctl restart apache2

Kotihakemiston asennus ja teko.
Seuraava komento avaa mahdollisuuden ”hostata” omasta kotihakemistosta web-sivuja:
$ sudo a2enmod userdir
Tämän jälkeen Apache pitää taas käynnistää uudestaan:
$ sudo systemctl restart apache2
Seuraavaksi tehdään kansiot jne.
Siirrytään kotihakemistoon:
$ cd
Tehdään public_html hakemisto, josta verkkosivustoja hostataan:
$ mkdir public_html
Siirrytään äsken tehtyyn kansioon:
$ cd public_html
Tehdään uusi verkkosivu:
$ nano index.html
Tämän jälkeen pitäisi toimia osoitteessa:
http://vuorivirta.me/~nikke/

Käyttäjän oma sivusto.

Peruskäyttäjän hakemistossa sijaitsevan sivuston käyttäminen ”oletussivuna”

Tehdään uusi .conf tiedosto, jotta saadaan tehtyä ikään kuin ”linkki” public_html kansiossa sijaitsevaan index tiedostoon.
$ cd /etc/apache2/sites-available/
$ sudoedit vuorivirta-me.conf
Lisäsin edellätehtyyn vuorivirta-me.conf -tiedostoon seuraavan;

<VirtualHost *:80>
        ServerName www.vuorivirta.me
        ServerAlias vuorivirta.me *.vuorivirta.me
        DocumentRoot /home/nikke/public_html/
        <Directory /home/nikke/public_html/>
                require all granted
        </Directory>
</VirtualHost>

Laitetaan kyseinen sivusto toimimaan kotisivuna.
$ sudo a2ensite vuorivirta-me.conf
Lopuksi käynnistetään Apache uudelleen
$ sudo systemctl restart apache2

Kotisivu

Murtautumis yrityksien seuraaminen

Ensin siirryin kansioon, jossa sijaitsee kirjautumis yrityksiä seuraava loki tiedosto.
$ cd /var/log
Palvelimen kirjautumis lokia pystyy katsomaan joko ”less” komennolla tai näppärästi seuraamalla reaaliajassa murtautumis yrityksiä komennolla:
$ tail -F auth.log
Tämän seuraamis prosessin voi tappaa komennolla ”control + c”. Tunkeutumis yrityksiä tulee noin 10-20sekunnin välein.

Feb 10 19:42:58 linuxkurssi sshd[18081]: Failed password for root from 218.92.1.158 port 21890 ssh2
Feb 10 19:42:59 linuxkurssi sshd[18081]: Received disconnect from 218.92.1.158 port 21890:11:  [preauth]
Feb 10 19:42:59 linuxkurssi sshd[18081]: Disconnected from 218.92.1.158 port 21890 [preauth]
Feb 10 19:42:59 linuxkurssi sshd[18081]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.92.1.158  user=root
Feb 10 19:42:59 linuxkurssi sshd[18083]: Failed password for root from 36.156.24.94 port 45922 ssh2
Feb 10 19:43:02 linuxkurssi sshd[18083]: Failed password for root from 36.156.24.94 port 45922 ssh2
Feb 10 19:43:02 linuxkurssi sshd[18083]: Received disconnect from 36.156.24.94 port 45922:11:  [preauth]
Feb 10 19:43:02 linuxkurssi sshd[18083]: Disconnected from 36.156.24.94 port 45922 [preauth]
Feb 10 19:43:02 linuxkurssi sshd[18083]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.156.24.94  user=root
Feb 10 19:43:05 linuxkurssi sshd[18085]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.156.24.94  user=root
Feb 10 19:43:07 linuxkurssi sshd[18085]: Failed password for root from 36.156.24.94 port 44558 ssh2
Feb 10 19:43:12 linuxkurssi sshd[18085]: message repeated 2 times: [ Failed password for root from 36.156.24.94 port 44558 ssh2]
Feb 10 19:43:12 linuxkurssi sshd[18085]: Received disconnect from 36.156.24.94 port 44558:11:  [preauth]
Feb 10 19:43:12 linuxkurssi sshd[18085]: Disconnected from 36.156.24.94 port 44558 [preauth]
Feb 10 19:43:12 linuxkurssi sshd[18085]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.156.24.94  user=root
Feb 10 19:43:15 linuxkurssi sshd[18090]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.156.24.94  user=root
Feb 10 19:43:17 linuxkurssi sshd[18090]: Failed password for root from 36.156.24.94 port 41626 ssh2
Feb 10 19:43:21 linuxkurssi sshd[18090]: message repeated 2 times: [ Failed password for root from 36.156.24.94 port 41626 ssh2]
Feb 10 19:43:21 linuxkurssi sshd[18090]: Received disconnect from 36.156.24.94 port 41626:11:  [preauth]
Feb 10 19:43:21 linuxkurssi sshd[18090]: Disconnected from 36.156.24.94 port 41626 [preauth]
Feb 10 19:43:21 linuxkurssi sshd[18090]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.156.24.94  user=root
Feb 10 19:43:23 linuxkurssi sshd[18092]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.156.24.94  user=root
Feb 10 19:43:26 linuxkurssi sshd[18092]: Failed password for root from 36.156.24.94 port 33464 ssh2
Feb 10 19:43:30 linuxkurssi sshd[18092]: message repeated 2 times: [ Failed password for root from 36.156.24.94 port 33464 ssh2]
Feb 10 19:43:30 linuxkurssi sshd[18092]: Received disconnect from 36.156.24.94 port 33464:11:  [preauth]
Feb 10 19:43:30 linuxkurssi sshd[18092]: Disconnected from 36.156.24.94 port 33464 [preauth]
Feb 10 19:43:30 linuxkurssi sshd[18092]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.156.24.94  user=root
Feb 10 19:43:50 linuxkurssi sshd[18094]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.92.1.158  user=root
Feb 10 19:43:52 linuxkurssi sshd[18094]: Failed password for root from 218.92.1.158 port 48374 ssh2
Feb 10 19:43:57 linuxkurssi sshd[18094]: message repeated 2 times: [ Failed password for root from 218.92.1.158 port 48374 ssh2]
Feb 10 19:43:57 linuxkurssi sshd[18094]: Received disconnect from 218.92.1.158 port 48374:11:  [preauth]
Feb 10 19:43:57 linuxkurssi sshd[18094]: Disconnected from 218.92.1.158 port 48374 [preauth]
Feb 10 19:43:57 linuxkurssi sshd[18094]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.92.1.158  user=root
Feb 10 19:44:46 linuxkurssi sshd[18098]: Connection closed by 104.248.244.59 port 42554 [preauth]
Feb 10 19:44:47 linuxkurssi sshd[18096]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.92.1.158  user=root
Feb 10 19:44:49 linuxkurssi sshd[18096]: Failed password for root from 218.92.1.158 port 13875 ssh2
Feb 10 19:44:53 linuxkurssi sshd[18096]: message repeated 2 times: [ Failed password for root from 218.92.1.158 port 13875 ssh2]
Feb 10 19:44:53 linuxkurssi sshd[18096]: Received disconnect from 218.92.1.158 port 13875:11:  [preauth]
Feb 10 19:44:53 linuxkurssi sshd[18096]: Disconnected from 218.92.1.158 port 13875 [preauth]
Feb 10 19:44:53 linuxkurssi sshd[18096]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.92.1.158  user=root
Feb 10 19:45:43 linuxkurssi sshd[18100]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.92.1.158  user=root
Feb 10 19:45:45 linuxkurssi sshd[18100]: Failed password for root from 218.92.1.158 port 33687 ssh2
Feb 10 19:45:49 linuxkurssi sshd[18100]: message repeated 2 times: [ Failed password for root from 218.92.1.158 port 33687 ssh2]
Feb 10 19:45:49 linuxkurssi sshd[18100]: Received disconnect from 218.92.1.158 port 33687:11:  [preauth]
Feb 10 19:45:49 linuxkurssi sshd[18100]: Disconnected from 218.92.1.158 port 33687 [preauth]

Asensin whois -palvelun tunkeutujien ip -tietojen katseluun.
$ sudo apt-get install whois

$ whois 218.92.1.158
% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '218.90.0.0 - 218.94.255.255'

% Abuse contact for '218.90.0.0 - 218.94.255.255' is 'anti-spam@ns.chinanet.cn.net'

inetnum:        218.90.0.0 - 218.94.255.255
netname:        CHINANET-JS
descr:          CHINANET jiangsu province network
descr:          China Telecom
descr:          A12,Xin-Jie-Kou-Wai Street
descr:          Beijing 100088
country:        CN
admin-c:        CH93-AP
tech-c:         CJ186-AP
mnt-by:         MAINT-CHINANET
mnt-lower:      MAINT-CHINANET-JS
mnt-routes:     maint-chinanet-js
status:         ALLOCATED non-PORTABLE
last-modified:  2008-09-04T06:51:29Z
source:         APNIC

role:           CHINANET JIANGSU
address:        260 Zhongyang Road,Nanjing 210037
country:        CN
phone:          +86-25-86588231
phone:          +86-25-86588745
fax-no:         +86-25-86588104
e-mail:         ip@jsinfo.net
remarks:        send anti-spam reports to spam@jsinfo.net
remarks:        send abuse reports to abuse@jsinfo.net
remarks:        times in GMT+8
admin-c:        CH360-AP
tech-c:         CS306-AP
tech-c:         CN142-AP
nic-hdl:        CJ186-AP
remarks:        www.jsinfo.net
notify:         ip@jsinfo.net
mnt-by:         MAINT-CHINANET-JS
last-modified:  2011-12-06T02:58:51Z
source:         APNIC

person:         Chinanet Hostmaster
nic-hdl:        CH93-AP
e-mail:         anti-spam@ns.chinanet.cn.net
address:        No.31 ,jingrong street,beijing
address:        100032
phone:          +86-10-58501724
fax-no:         +86-10-58501724
country:        CN
mnt-by:         MAINT-CHINANET
last-modified:  2014-02-27T03:37:38Z
source:         APNIC

% Information related to '218.92.0.0/16AS23650'

route:          218.92.0.0/16
descr:          CHINANET jiangsu province network
country:        CN
origin:         AS23650
mnt-by:         MAINT-CHINANET-JS
last-modified:  2008-09-04T07:54:28Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.15-46 (WHOIS-UK4)

Ilmeisesti tämä ip (218.92.1.158), jonka tietoja etsin whois -palvelulla sijaitsee kiinassa tai mahdollisesti käyttää kiinalaisia internet-palveluita muualta käsin. Huomioitavaa on myös se, että hyökkääjät yrittävät kirjautua root -käyttäjällä, vaikka se on poissa käytöstä.

SCP -komento

Ensiksi jouduin googlailemaan, miten SCP toimii ja päädyin tälle sivulle, koska en ollut aikaisemmin käyttänyt SCP:tä. Ilmeisesti ohjeet olivat hyvät, koska sain ensimmäisellä yritykselle tiedoston siirrettyä. Kone, jolta siirsin tiedoston, oli vuoden 2017 Macbook pro, jossa käytin Mojave käyttöjärjestelmä versiota. Tein siirron iTerm nimisellä ohjelmalla terminaalissa normaalisti.

Lähdetiedosto omalla koneella sijaitsi polussa: /Users/nikke/Desktop/h4/scptesti.html
ja lähetin sen palvelimelle kansioon:
home/public_html

$ scp /Users/nikke/Desktop/h4/scptesti.html nikke@vuorivirta.me:~/public_html

Komennon jälkeen SCP kysyi vastaanottavan tietokoneen (tässä tapauksessa palvelimen) salasanaa, jonka syötin ja painoin enter. Seuraavanlaista statistiikkaa näkyi tiedoston siirron jälkeen:
100%  204    3.2KB/s   00:00.
Näistä 100% tarkoittaa luultavasti tiedostojen lähettämisen onnistumis prosenttia, 204 lähetettyjen tavujen määrää, 3.2KB/s tiedoston lähetys nopeutta, sekä 00.00 kokonaisaikaa, joka lähetyksessä kesti. Testasin myös, että lähettämäni testisivu toimii internetissä, joka onnistui:
http://vuorivirta.me/scptesti.html

PHP

PHP:n olin asentanut jo komennolla;
$ sudo apt-get install php libapache2-mod-php
Tämän jälkeen piti editoida php7.0.conf tiedostoa, jotta PHP saadaan toimimaan käyttäjien kotihakemistossa.
$ sudoedit /etc/apache2/mods-available/php7.0.conf
Tiedostossa on ohjeet, mitä pitää kommentoida, jotta PHP alkaa toimimaan käyttäjien kotihakemistoissa. Seuraavaksi tein seuraavanlaisen phptestisivu.php tiedoston;

<html>
 <head>
  <title>PHP Test</title>
 </head>
 <body>
<?php print("$_SERVER[REMOTE_ADDR]");?>
 </body>
</html>

Tässä linkki kyseiselle testisivulle.

Tehtävän teko lopetettu 10.2.2019 noin kello 23.55.

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google photo

Olet kommentoimassa Google -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s