ANTYNET.PL – Administracja Sieci

Ponownie wordpress, tym razem w aspekcie mod_security.

Po instalacji, konfiguracji praca z wordpressem jest praktycznie niemożliwa.

rozwiązanie:

w /etc/modsecurity tworzymy pik whitelist.conf o zawartości:

  SecRuleRemoveById 980140
 SecRuleRemoveById 959100




  SecRuleRemoveById 300013
  SecRuleRemoveById 300015
  SecRuleRemoveById 300016
  SecRuleRemoveById 300017



  SecRuleRemoveById 300013
  SecRuleRemoveById 300015
  SecRuleRemoveById 300016
  SecRuleRemoveById 300017



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 960010 960012 950006



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 340151 1234234 340153 1234234 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 960010 960012 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 340151 340153 1234234 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 960010 960012 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 340151 340153 1234234 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61




  SecRuleRemoveById 920180




SecRuleEngine off
#SecRuleRemoveById 980130
  #SecRuleRemoveById 949110
  #SecRuleRemoveById 920280
  #SecRuleRemoveById 932100



  SecRuleRemoveById 920350

Fajny  CMS, ale … jak każdy CMS bardzo podatny na włamania, sam core jest rewelacyjny moim zdaniem, ale wtyczki …. nie znasz dnia i godziny gdy komuś się uda włamać. Zwykle nawet tego nie zauważysz, zaczniesz linkować do lewej viagry czy butów nike. Lub oto inny: możesz mieć takie sugestie. Odwiedź best online casino CC-TV z Nederland, których ratings są najbardziej dokładne i użyteczne. Więc przeczytaj moje notatki. Warto przyjrzeć mu się lepiej.

Wszelkie znane mi włamania do  Wordpress ( pomijając włamania systemowe, ftp … itp ) opierają się na manipulacjach katalogu wp-admin.

Najprościej jest ograniczyć dostęp do wp-admin poprzez kontrolę IP:

<Directory "/home/domena/wp-admin">
order allow,deny
allow from x
</Directory>

Problem pojawia się gdy łączymy się z panelem admina z różnych IP… każde IP dodawać? no można …. ale niewygodne.

Zroby inaczej 😉  Prościej … i tak samo bezpiecznie 🙂

<Files wp-login.php>
 AuthName "Admins Only"
 AuthUserFile /etc/apache2/password
 AuthGroupFile /dev/null
 AuthType basic
 require valid-user
</Files>

<Location /wp-admin/>
 AuthName "Admins Only"
 AuthUserFile /etc/apache2/password
 AuthGroupFile /dev/null
 AuthType basic
 require valid-user
</Location>

I wszelkie metody ataku wp-admin maja na drugą zmianę 😉

Przedstawiana konfiguracja może w przypadku lekkim wyłączyć sieć, a ekstremalnym uszkodzić sprzęt.

Opis dla kart sieciowych intel z maszyna  16GB RAM. ( po tuningu starczy 4GB)

Pada sieć, pakiety są dropowane … drop na ethx, ruter gubi pakiety … ip_conntrack: table full, dropping packet

Ten problem to kwestia domyślnej konfiguracji linuxa, która nadaje się do hostingu i małych sieci.

Kilka sugestii jak zrobić z linuxa router na każdą skalę, 10G to nie problem! 😛

Bez komentarza …  jeśli się boisz … tych ekstremalnych zmian skontaktuj się:  amon@antynet.pl

/sbin/ifconfig eth0 txqueuelen 2000
/sbin/ifconfig eth1 txqueuelen 2000

ethtool -G eth0 rx 4096 tx 4096
ethtool -G eth1 rx 4096 tx 4096

sysctl -w net.ipv4.tcp_sack=0

#ip_conntrack
echo 17473 > /proc/sys/net/ipv4/netfilter/ip_conntrack_count
echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo 1200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

#ipv6 off
sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1

#source route
sysctl -w net.ipv4.conf.lo.accept_source_route=1
sysctl -w net.ipv4.conf.all.accept_source_route=0
sysctl -w net.ipv4.conf.default.accept_source_route=0
sysctl -w net.ipv4.conf.eth0.accept_source_route=0
sysctl -w net.ipv4.conf.eth1.accept_source_route=0

#redirs#zmina.06.04.2017
sysctl -w net.ipv4.conf.eth0.accept_redirects=0
sysctl -w net.ipv4.conf.eth1.accept_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
sysctl -w net.ipv4.conf.eth1.send_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0

#IPV4
sysctl -w net.ipv4.tcp_no_metrics_save=1
sysctl -w net.ipv4.tcp_moderate_rcvbuf=1
sysctl -w net.core.netdev_max_backlog=30000

sysctl -w net.ipv4.tcp_timestamps=1
sysctl -w net.ipv4.tcp_sack=1

#IPV4 MEM
sysctl -w net.ipv4.tcp_rmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_wmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_mem=”4096 65536 33554432″
sysctl -w net.core.rmem_max=”33554432″
sysctl -w net.core.wmem_max=”33554432″
sysctl -w net.core.rmem_default=”33554432″
sysctl -w net.core.wmem_default=”33554432″
sysctl -w net.core.optmem_max=”33554432″
echo 1 > /proc/sys/net/ipv4/tcp_moderate_rcvbuf
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
#IPV4 ARP
sysctl -w net.ipv4.conf.all.arp_ignore=1
sysctl -w net.ipv4.conf.all.rp_filter=0
sysctl -w net.ipv4.conf.default.rp_filter=0

sysctl -w net/ipv4/conf/default/arp_ignore=1
sysctl -w net/ipv4/conf/default/arp_announce=1

sysctl -w net/ipv4/conf/eth0/arp_ignore=1
sysctl -w net/ipv4/conf/eth0/arp_announce=1
sysctl -w net/ipv4/conf/eth1/arp_ignore=1
sysctl -w net/ipv4/conf/eth1/arp_announce=1

sysctl -w net.ipv4.conf.eth0.rp_filter=0
sysctl -w net.ipv4.conf.default.forwarding=1

To są konfiguracje  systemu, potem mądry Firewall .

Naprowadzenie … state ESTABLISHED  pomaga 😀

pozdrawiam

jr

Kumaty admin załapie ,  resztę proszę o kontakt.

ps.

Ponad 7GB na jednym routerku obsługuję. 😉

Spam jaki jest każdy wie.

Podczas wszelakich testów konfiguracyjnych warto na jakiś czas sprawić aby każda przesyłka, którą nasz system oznaczył jako SPAM została przekazana ( kopia ) do administratora.

W przypadku sieve, starczy w globalnej konfiguracji dodać wpis:

require [„envelope”, „fileinto”, „subaddress”, „copy”];

if header :contains „X-Spam-Flag” „YES” {
redirect :copy „admin@domena.pl”;
}

Jak wyciąć niepożądany ruch już w tablicy routingu, zamiast obciążać firewall/filtry treści/itp

Co robi ten zabieg? a no blokuje masę syfu … czytanie skryptu wytłumaczy 😛

PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"

rm /tmp/ipki
/usr/bin/wget -q http://www.sshbl.org/lists/base_all.txt  -O /tmp/ipki


rm /tmp/ipki2
/usr/bin/wget -q http://admin.szpital.zabrze.pl/devnulroute  -O /tmp/ipki2

rm /tmp/ipki3
/usr/bin/wget -q https://ransomwaretracker.abuse.ch/downloads/RW_IPBL.txt  -O /tmp/ipki3

rm /tmp/ipki4
/usr/bin/wget -q https://feodotracker.abuse.ch/blocklist/?download=ipblocklist  -O /tmp/ipki4




adresy=`route -n | grep \!H | awk '{print $1}'`
for x in $adresy
do
route del -host $x reject
done



adresy=`cat /tmp/ipki | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done


adresy=`cat /tmp/ipki2 | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done

adresy=`cat /tmp/ipki3 | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done

adresy=`cat /tmp/ipki4 | grep [0-9] | grep -v "#"`
for x in $adresy
do
route add -host $x reject
done

Wczoraj byłem na tego typu zgromadzenie.

Zaprosili na szkolenie / show / konferencję, na miejscu nic tylko propaganda na temat eseta i barracudy.

Wiele informacji naciąganych, promujących konkretne rozwiązania…   ręce opadają, to chyba mój ostatni wyjazd   na bezpłatne „szkolenia”

DAGMA … produkty ok, ale zbyt nachalnie i ….. poczułem się tam jak nie informatyk znający zagadnienia ale jako laik co ma kupić … kupić … kupić

Dobierajcie lepiej targety …

Szacunek za wsparcie ESET … jest rewekacyjne.

Ot moje zdanie 😉

Aktualizacja:

Dziś zadzwonił do mnie mój opiekun techniczny/handlowy firmy Dagma.

Faktycznie nie napisałem że spóźniłem się na spotkanie ( awaria w jednej z serwerowni ), pierwsze z wystąpień było bardzo ogólne, merytoryczne i niepowiązane ze sprzedażą produktów. Więc wygląda na to że wiele straciłem

Niemniej jednak kontakt z Dagma jak zawsze owocny! zaproszenie na czysto techniczne dwa webinaria plus czasowy testowy klucz na  obraz vmware Baracuda firewoll 😉

Za swojej strony coś dodam, na żadnym ze spotkań nikt o tym nie mówił.

Barracuda udostępnia bezpłatnie  bardzo skuteczny RBL – http://www.barracudacentral.org/rbl jego skuteczność jest naprawdę bardzooo dobra. Do tego stopnia że polecam ich wyniki znakować a nie blokować. Starczy jedno złamane konto na serwerze i Oni już wiedzą że serwer ma problem. 😉 Ja na swoich serwerach znakuje ich wyniki na 3 i … masa spamu jest prawidłowo znakowana.

A jak znakuję? a no tak:

header BARRACUDA_BRBL   rbleval:check_rbl(‚b-rbl’,’b.barracudacentral.org.’).

describe BARRACUDA_BRBL Listed: Barracuda Reputation Block List (BRBL).

score BARRACUDA_BRBL      3

Czasem redirecta łatwiej wykonać w PHP jak innymi metodami,

oto prosty przykład.

if ($_SERVER[‚HTTP_HOST’] == ‚adres1.pl’ ||

$_SERVER[‚HTTP_HOST’] == ‚adres2.pl’) {

header(„Location: http://poprawnadomena.pl”);

}

Google określiło ta stronę jako spam …
więc jak ktoś tu zawita to będzie cud 😉

pozdrawiam
amon

Czasami staramy się określić gdzie ucieka nam łącze ze światem.
Jest dobre narzędzie, które pokazuje który użytkownik i którym procesem obciąża nam łącze.

apt-get install nethogs

Jeden taki niedobry prosił o napisanie czegoś co o zadanej godzinie zrobi porządki w tabelach mysql.
Zadanie niezwykle trywialne….

1. Tworzymy plik naprawa.sh
touch /root/naprawa.sh
chmod +x /root/naprawa.sh

2. W pliku umieszczamy zaklęcia do uporządkowania tabelek.
##############################
#!/bin/bash

mysqlcheck --optimize --all-databases -u root --password=TwojeHasloMysql
mysqlcheck --check --all-databases -u root --password=TwojeHasloMysql
mysqlcheck --auto-repair --all-databases -u root --password=TwojeHasloMysql
##################################################

3.Teraz uruchamianie o zadanej godzinie ( 00:15)

uruchamiamy:
crontab -e
i wpisujemy:

15 0 * * * /root/naprawa.sh >/dev/null 2>&1

Zapisujemy.

4. Przynosimy piwo adminowi