06 04
Automatyczna aktualizacja oprogramowania innych firm jak Microsoft to bez wątpienia pozytywne naśladownictwo rozwiązań rodem z Linux.
Uruchamiamy cmd jako administrator i wykonujemy polecenie:
winget upgrade –all
Fajna sprawa 😉
05 29
W związku z męczącą przypadłością niektórych serwerów pocztowych, niestety głównie serwerów należących do państwowych jednostek medycznych, administracji itp. Postanowiłem postawić RBL.
Po co? Aby mieć whiteliste serwerów, z których pocztę odebrać muszę, jednakże ich konfiguracja zmusza mnie do oznaczania ich przesyłek jako niechciane.
Mój RBL posiada moją listę BL ale co najważniejsze posiada listę WL gdzie listuję takie super serwery pocztowe. No co zrobić … taki mamy klimat w IT w wielu jednostkach.
Tak czy siak:
Wpis do SA:
header RBL_DEBACOM_WL eval:check_rbl_txt('WL','WL.rbl.debacom.pl.')
describe RBL_DEBACOM_WL RBL_DEBACOM
score RBL_DEBACOM_WL -30.0
header RBL_DEBACOM_BL eval:check_rbl_txt('BL','BL.rbl.debacom.pl.')
describe RBL_DEBACOM_BL RBL_DEBACOM
score RBL_DEBACOM_BL 6.0
W swojej konfiguracji dodatkowo mam w postfix:
smtpd_recipient_restrictions = reject_rbl_client BL.rbl.debacom.pl
01 22
DNS Hole od kilkunastu lat jest wykorzystywane do wielu celów. Zwykle do blokowania reklam na portalach, usług śledzących itp.
Jednakże dożyliśmy takich czasów, iż DNS Hole coraz częściej wykorzystywane jest do zapewnienia bezpieczeństwa użytkowników końcowych.
Poniżej podam bazy, które sam zbieram i wykorzystuje, bazy w zapisie hosts, czyli idealne do zastosowania w PiHole.
Cała moja lista z pominięciem kopalni kryptowalut: http://hole.e-slask.eu/admin/amonhole.txt
Kopalnie kryptowalut: http://hole.e-slask.eu/admin/kopalnie.txt
Adresy domen z projektu CERT Hole: http://hole.e-slask.eu/admin/certhole.txt
Kochana ustawa antyhazardowa: http://hole.e-slask.eu/admin/hazard.txt
01 16
Jeśli ktoś korzysta z PiHole to podaję swoje regexp.
Opracowane na podstawie własnych analiz ruchu itp.
Domeny wyłapane w ruchu ISP Debacom Zabrze:
[0-9a-za-z]{13-18}\.tickets
[0-9a-za-z]{13-18}\.blackfriday
v1\.[a-uw-z]{7}\.ru
v[12]{1}\.[a-uw-z]{7}\.ru
[b-y]{12}\.pw
[0-9a-za-z]{13-18}\.feedback
[0-9a-za-z]{13-18}\.org
[0-9a-za-z]{13-18}\.hosting
[0-9a-za-z]{13-18}\.org
[0-9a-za-z]{13-18}\.cloudfront.net
[0-9]{10}\.rsc.cdn77.org
Kilka domen 3-go rzędu u rejestratorów, którzy nie kontrolują swoich klientów i zezwalają na szybkie dynamiczne rejestrowanie domen:
[0-9a-za-z]{13-18}\.mooo.com
[0-9a-za-z]{13-18}\.chikenkiller.com
[0-9a-za-z]{13-18}\.us.to
[0-9a-za-z]{13-18}\.strangled.net
[0-9a-za-z]{13-18}\.ignorelist.com
[0-9a-za-z]{13-18}\.uk.to
[0-9a-za-z]{13-18}\.crabdance.com
[0-9a-za-z]{13-18}\.info.tm
[0-9a-za-z]{13-18}\.jumpingcrab.com
[0-9a-za-z]{13-18}\.twilightparadox.com
[0-9a-za-z]{13-18}\.biz.tm
[0-9a-za-z]{13-18}\.continent.kz
[0-9a-za-z]{13-18}\.az.lt
Domeny, które w większości to malware itp. Dodaje tylko te które mają więcej jak 10 znaków. Powinno to zmniejszyć false positive.
[0-9a-za-z]{10-18}\.fail
[0-9a-za-z]{10-18}\.viajes
[0-9a-za-z]{10-18}\.exposed
[0-9a-za-z]{10-18}\.fit
[0-9a-za-z]{10-18}\.work
[0-9a-za-z]{10-18}\.london
[0-9a-za-z]{10-18}\.surf
[0-9a-za-z]{10-18}\.date
[0-9a-za-z]{10-18}\.asia
[0-9a-za-z]{10-18}\.life
[0-9a-za-z]{10-18}\.cam
01 06
Robiłem porządki w swojej sieci domowej.
Napotkałem na problem, adres mac: c8:93:46:36:10:1c
Gadatliwe to nie było, porty pozamykane.
MAC address określał producenta: „MXCHIP Company Limited”
Wiele to nie dało, poza tym że trop kierował na IoT.
Poniżej wkleję połączenia, jakie wykonuje ten solar. Może kiedyś ktoś tu trafi gdy napotka na taki problem jak mój.
172.31.31.118.10000 > 121.40.214.219.80: UDP, length 228
0x0000: 4500 0100 0008 0000 ff11 9f4b ac1f 1f76 E……….K…v
0x0010: 7928 d6db 2710 0050 00ec 0000 c817 0100 y(..'..P……..
0x0020: c479 b41b fe95 76dd 0bdf 181d b9a1 e245 .y….v……..E
0x0030: 306f 2f2e 41d0 a812 416d 4700 8b15 7692 0o/.A…AmG…v.
0x0040: ca44 7cf1 d573 8981 27b9 0438 cffc 9553 .D|..s..'..8…S
0x0050: e5dd b084 b65e 1a11 fe43 9d0a 47ae 0f91 …..^…C..G…
0x0060: 1eb8 6d17 11ca 0e38 503a b6d3 c5e3 24ac ..m….8P:….$.
0x0070: bd47 3e15 3925 f88f 9bc0 1bce 7c44 5125 .G>.9%……|DQ%
0x0080: 0fb8 028d f2f2 77e3 3ce1 0572 c811 705d ……w.<..r..p]
0x0090: c357 9a3d 362d ab05 24ff da82 4829 839e .W.=6-..$…H)..
0x00a0: 43fe 05ca 0dc1 fa70 6963 745e b5d6 7304 C……pict^..s.
0x00b0: a5e9 8a7d e95b 2573 b09b 95d2 7736 e5c3 …}.[%s….w6..
0x00c0: a107 2ba3 6385 123e 8d32 98f0 96f0 0d76 ..+.c..>.2…..v
0x00d0: c854 2a4a 8e63 aa63 e9f3 c4fe 3431 cce0 .T*J.c.c….41..
0x00e0: 3cb8 e3a8 a069 5dc6 b47c e158 7894 5cae <….i]..|.Xx.\.
0x00f0: 4dfe 45a0 d04b 3809 746f cd59 0deb 94ae M.E..K8.to.Y….
172.31.31.118.55094 > 120.55.151.223.80: Flags [S], cksum 0xbf22 (correct), seq 6533, win 3456, options [mss 1152], length 0
0x0000: 4500 002c 000e 0000 ff06 e011 ac1f 1f76 E..,………..v
0x0010: 7837 97df d736 0050 0000 1985 0000 0000 x7…6.P……..
0x0020: 6002 0d80 bf22 0000 0204 0480 0000 `….”……..
I jak zwykle pomogło nasłuchiwanie zapytań DNS.
172.31.31.1.53 > 172.31.31.118.4096: 0 1/0/0 mqtt.zevercloud.com. A 120.55.151.223 (53) 0x0000: 4500 0051 7411 0000 4011 6fd5 ac1f 1f01 [email protected] 0x0010: ac1f 1f76 0035 1000 003d 306b 0000 8180 ...v.5...=0k.... 0x0020: 0001 0001 0000 0000 046d 7174 740a 7a65 .........mqtt.ze 0x0030: 7665 7263 6c6f 7564 0363 6f6d 0000 0100 vercloud.com.... 0x0040: 01c0 0c00 0100 0100 000c d900 0478 3797 .............x7. 0x0050: df
12 29
/etc/pkg/FreeBSD.conf –> ustaw enabled na yes
/usr/local/etc/pkg/repos/FreeBSD.conf –> ustaw enabled na yes
/usr/local/etc/pkg/repos/pfSense.conf –> ustaw enabled na yes
12 11
11 26
windows 10 otoczenie sieciowe smb słaby transfer wolno
Skuteczne rozwiązanie:
PowerShell
Set-SmbClientConfiguration -EnableBandwidthThrottling 0 -EnableLargeMtu 1
Set-SmbServerConfiguration -EnableLeasing $false
NET STOP SERVER
NET START SERVER
10 06
http://td.fastio.me/
Pomijając kwestie bezpieczeństwa danych, fajna sprawa do dzielenia się dużymi plikami.
09 30
Ostatnie komentarze