ANTYNET.PL – Administracja Sieci

Fajny  CMS, ale … jak każdy CMS bardzo podatny na włamania, sam core jest rewelacyjny moim zdaniem, ale wtyczki …. nie znasz dnia i godziny gdy komuś się uda włamać. Zwykle nawet tego nie zauważysz, zaczniesz linkować do lewej viagry czy butów nike…

Wszelkie znane mi włamania do  Wordpress ( pomijając włamania systemowe, ftp … itp ) opierają się na manipulacjach katalogu wp-admin.

Najprościej jest ograniczyć dostęp do wp-admin poprzez kontrolę IP:

<Directory "/home/domena/wp-admin">
order allow,deny
allow from x
</Directory>

Problem pojawia się gdy łączymy się z panelem admina z różnych IP… każde IP dodawać? no można …. ale niewygodne.

Zroby inaczej 😉  Prościej … i tak samo bezpiecznie 🙂

<Files wp-login.php>
 AuthName "Admins Only"
 AuthUserFile /etc/apache2/password
 AuthGroupFile /dev/null
 AuthType basic
 require valid-user
</Files>

<Location /wp-admin/>
 AuthName "Admins Only"
 AuthUserFile /etc/apache2/password
 AuthGroupFile /dev/null
 AuthType basic
 require valid-user
</Location>

I wszelkie metody ataku wp-admin maja na drugą zmianę 😉

Przedstawiana konfiguracja może w przypadku lekkim wyłączyć sieć, a ekstremalnym uszkodzić sprzęt.

Opis dla kart sieciowych intel z maszyna  16GB RAM. ( po tuningu starczy 4GB)

Pada sieć, pakiety są dropowane … drop na ethx, ruter gubi pakiety … ip_conntrack: table full, dropping packet

Ten problem to kwestia domyślnej konfiguracji linuxa, która nadaje się do hostingu i małych sieci.

Kilka sugestii jak zrobić z linuxa router na każdą skalę, 10G to nie problem! 😛

Bez komentarza …  jeśli się boisz … tych ekstremalnych zmian skontaktuj się:  amon@antynet.pl

/sbin/ifconfig eth0 txqueuelen 2000
/sbin/ifconfig eth1 txqueuelen 2000

ethtool -G eth0 rx 4096 tx 4096
ethtool -G eth1 rx 4096 tx 4096

sysctl -w net.ipv4.tcp_sack=0

#ip_conntrack
echo 17473 > /proc/sys/net/ipv4/netfilter/ip_conntrack_count
echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo 1200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

#ipv6 off
sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1

#source route
sysctl -w net.ipv4.conf.lo.accept_source_route=1
sysctl -w net.ipv4.conf.all.accept_source_route=0
sysctl -w net.ipv4.conf.default.accept_source_route=0
sysctl -w net.ipv4.conf.eth0.accept_source_route=0
sysctl -w net.ipv4.conf.eth1.accept_source_route=0

#redirs#zmina.06.04.2017
sysctl -w net.ipv4.conf.eth0.accept_redirects=0
sysctl -w net.ipv4.conf.eth1.accept_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
sysctl -w net.ipv4.conf.eth1.send_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0

#IPV4
sysctl -w net.ipv4.tcp_no_metrics_save=1
sysctl -w net.ipv4.tcp_moderate_rcvbuf=1
sysctl -w net.core.netdev_max_backlog=30000

sysctl -w net.ipv4.tcp_timestamps=1
sysctl -w net.ipv4.tcp_sack=1

#IPV4 MEM
sysctl -w net.ipv4.tcp_rmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_wmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_mem=”4096 65536 33554432″
sysctl -w net.core.rmem_max=”33554432″
sysctl -w net.core.wmem_max=”33554432″
sysctl -w net.core.rmem_default=”33554432″
sysctl -w net.core.wmem_default=”33554432″
sysctl -w net.core.optmem_max=”33554432″
echo 1 > /proc/sys/net/ipv4/tcp_moderate_rcvbuf
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
#IPV4 ARP
sysctl -w net.ipv4.conf.all.arp_ignore=1
sysctl -w net.ipv4.conf.all.rp_filter=0
sysctl -w net.ipv4.conf.default.rp_filter=0

sysctl -w net/ipv4/conf/default/arp_ignore=1
sysctl -w net/ipv4/conf/default/arp_announce=1

sysctl -w net/ipv4/conf/eth0/arp_ignore=1
sysctl -w net/ipv4/conf/eth0/arp_announce=1
sysctl -w net/ipv4/conf/eth1/arp_ignore=1
sysctl -w net/ipv4/conf/eth1/arp_announce=1

sysctl -w net.ipv4.conf.eth0.rp_filter=0
sysctl -w net.ipv4.conf.default.forwarding=1

To są konfiguracje  systemu, potem mądry Firewall .

Naprowadzenie … state ESTABLISHED  pomaga 😀

pozdrawiam

jr

Kumaty admin załapie ,  resztę proszę o kontakt.

ps.

Ponad 7GB na jednym routerku obsługuję. 😉

Spam jaki jest każdy wie.

Podczas wszelakich testów konfiguracyjnych warto na jakiś czas sprawić aby każda przesyłka, którą nasz system oznaczył jako SPAM została przekazana ( kopia ) do administratora.

W przypadku sieve, starczy w globalnej konfiguracji dodać wpis:

require [„envelope”, „fileinto”, „subaddress”, „copy”];

if header :contains „X-Spam-Flag” „YES” {
redirect :copy „admin@domena.pl”;
}

Jak wyciąć niepożądany ruch już w tablicy routingu, zamiast obciążać firewall/filtry treści/itp

Co robi ten zabieg? a no blokuje masę syfu … czytanie skryptu wytłumaczy 😛

PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"

rm /tmp/ipki
/usr/bin/wget -q http://www.sshbl.org/lists/base_all.txt  -O /tmp/ipki


rm /tmp/ipki2
/usr/bin/wget -q http://admin.szpital.zabrze.pl/devnulroute  -O /tmp/ipki2

rm /tmp/ipki3
/usr/bin/wget -q https://ransomwaretracker.abuse.ch/downloads/RW_IPBL.txt  -O /tmp/ipki3

rm /tmp/ipki4
/usr/bin/wget -q https://feodotracker.abuse.ch/blocklist/?download=ipblocklist  -O /tmp/ipki4




adresy=`route -n | grep \!H | awk '{print $1}'`
for x in $adresy
do
route del -host $x reject
done



adresy=`cat /tmp/ipki | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done


adresy=`cat /tmp/ipki2 | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done

adresy=`cat /tmp/ipki3 | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done

adresy=`cat /tmp/ipki4 | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done

Wczoraj byłem na tego typu zgromadzenie.

Zaprosili na szkolenie / show / konferencję, na miejscu nic tylko propaganda na temat eseta i barracudy.

Wiele informacji naciąganych, promujących konkretne rozwiązania…   ręce opadają, to chyba mój ostatni wyjazd   na bezpłatne „szkolenia”

DAGMA … produkty ok, ale zbyt nachalnie i ….. poczułem się tam jak nie informatyk znający zagadnienia ale jako laik co ma kupić … kupić … kupić

Dobierajcie lepiej targety …

Szacunek za wsparcie ESET … jest rewekacyjne.

Ot moje zdanie 😉

Aktualizacja:

Dziś zadzwonił do mnie mój opiekun techniczny/handlowy firmy Dagma.

Faktycznie nie napisałem że spóźniłem się na spotkanie ( awaria w jednej z serwerowni ), pierwsze z wystąpień było bardzo ogólne, merytoryczne i niepowiązane ze sprzedażą produktów. Więc wygląda na to że wiele straciłem

Niemniej jednak kontakt z Dagma jak zawsze owocny! zaproszenie na czysto techniczne dwa webinaria plus czasowy testowy klucz na  obraz vmware Baracuda firewoll 😉

Za swojej strony coś dodam, na żadnym ze spotkań nikt o tym nie mówił.

Barracuda udostępnia bezpłatnie  bardzo skuteczny RBL – http://www.barracudacentral.org/rbl jego skuteczność jest naprawdę bardzooo dobra. Do tego stopnia że polecam ich wyniki znakować a nie blokować. Starczy jedno złamane konto na serwerze i Oni już wiedzą że serwer ma problem. 😉 Ja na swoich serwerach znakuje ich wyniki na 3 i … masa spamu jest prawidłowo znakowana.

A jak znakuję? a no tak:

header BARRACUDA_BRBL   rbleval:check_rbl(‚b-rbl’,’b.barracudacentral.org.’).

describe BARRACUDA_BRBL Listed: Barracuda Reputation Block List (BRBL).

score BARRACUDA_BRBL      3

Czasem redirecta łatwiej wykonać w PHP jak innymi metodami,

oto prosty przykład.

if ($_SERVER[‚HTTP_HOST’] == ‚adres1.pl’ ||

$_SERVER[‚HTTP_HOST’] == ‚adres2.pl’) {

header(„Location: http://poprawnadomena.pl”);

}

Google określiło ta stronę jako spam …
więc jak ktoś tu zawita to będzie cud 😉

pozdrawiam
amon

Czasami staramy się określić gdzie ucieka nam łącze ze światem.
Jest dobre narzędzie, które pokazuje który użytkownik i którym procesem obciąża nam łącze.

apt-get install nethogs

Jeden taki niedobry prosił o napisanie czegoś co o zadanej godzinie zrobi porządki w tabelach mysql.
Zadanie niezwykle trywialne….

1. Tworzymy plik naprawa.sh
touch /root/naprawa.sh
chmod +x /root/naprawa.sh

2. W pliku umieszczamy zaklęcia do uporządkowania tabelek.
##############################
#!/bin/bash

mysqlcheck --optimize --all-databases -u root --password=TwojeHasloMysql
mysqlcheck --check --all-databases -u root --password=TwojeHasloMysql
mysqlcheck --auto-repair --all-databases -u root --password=TwojeHasloMysql
##################################################

3.Teraz uruchamianie o zadanej godzinie ( 00:15)

uruchamiamy:
crontab -e
i wpisujemy:

15 0 * * * /root/naprawa.sh >/dev/null 2>&1

Zapisujemy.

4. Przynosimy piwo adminowi

Czasem zachodzi potrzeba załączenia reguły modsecurity tylko dla jednej domeny.
Z pomocą przychodzi chain 😉

SecRule REQUEST_HEADERS:Host „(^blacksquadron\.net$|\.blacksquadron\.net$)” „log,deny,chain,msg:’spamer znaleziony w rbl bl.spamcop.net'”
SecRule REMOTE_ADDR „@rbl bl.spamcop.net”

No i forum motorowe trochę odetchnęło 😉
Od spammerów oczywiście.