RBL – kolejny serwer RBL

Ściąga Admina, Usługi Komentarze (0) »

W związku z męczącą przypadłością niektórych serwerów pocztowych, niestety głównie serwerów należących do państwowych jednostek medycznych, administracji itp. Postanowiłem postawić RBL.

Po co? Aby mieć whiteliste serwerów, z których pocztę odebrać muszę, jednakże ich konfiguracja zmusza mnie do oznaczania ich przesyłek jako niechciane.

Mój RBL posiada moją listę BL ale co najważniejsze posiada listę WL gdzie listuję takie super serwery pocztowe. No co zrobić … taki mamy klimat w IT w wielu jednostkach.

Tak czy siak:

Wpis do SA:

header RBL_DEBACOM_WL eval:check_rbl_txt('WL','WL.rbl.debacom.pl.')
describe RBL_DEBACOM_WL RBL_DEBACOM
score RBL_DEBACOM_WL -30.0


header RBL_DEBACOM_BL eval:check_rbl_txt('BL','BL.rbl.debacom.pl.')
describe RBL_DEBACOM_BL RBL_DEBACOM
score RBL_DEBACOM_BL 6.0

 

W swojej konfiguracji dodatkowo mam w postfix:

smtpd_recipient_restrictions =
reject_rbl_client BL.rbl.debacom.pl



	  

Pihole – Cert Hole itp

Ściąga Admina, Usługi Komentarze (0) »

DNS Hole od kilkunastu lat jest wykorzystywane do wielu celów. Zwykle do blokowania reklam na portalach, usług śledzących itp.

Jednakże dożyliśmy takich czasów, iż DNS Hole coraz częściej wykorzystywane jest  do zapewnienia bezpieczeństwa użytkowników końcowych.

Poniżej podam bazy, które sam zbieram i wykorzystuje, bazy w zapisie hosts, czyli idealne do zastosowania w PiHole.

 

Cała moja lista z pominięciem kopalni kryptowalut: http://hole.e-slask.eu/admin/amonhole.txt

Kopalnie kryptowalut: http://hole.e-slask.eu/admin/kopalnie.txt

Adresy domen z projektu CERT Hole: http://hole.e-slask.eu/admin/certhole.txt

Kochana ustawa antyhazardowa: http://hole.e-slask.eu/admin/hazard.txt

 

 

 

Pihole – regexp

Ściąga Admina, Usługi Komentarze (0) »

Jeśli ktoś korzysta z PiHole to podaję swoje regexp.

 

Opracowane na podstawie własnych analiz ruchu itp.

Domeny wyłapane w ruchu ISP Debacom Zabrze:
[0-9a-za-z]{13-18}\.tickets
[0-9a-za-z]{13-18}\.blackfriday
v1\.[a-uw-z]{7}\.ru
v[12]{1}\.[a-uw-z]{7}\.ru
[b-y]{12}\.pw
[0-9a-za-z]{13-18}\.feedback
[0-9a-za-z]{13-18}\.org
[0-9a-za-z]{13-18}\.hosting
[0-9a-za-z]{13-18}\.org
[0-9a-za-z]{13-18}\.cloudfront.net
[0-9]{10}\.rsc.cdn77.org

 

Kilka domen 3-go rzędu u rejestratorów, którzy nie kontrolują swoich klientów i zezwalają na szybkie dynamiczne rejestrowanie domen:

[0-9a-za-z]{13-18}\.mooo.com
[0-9a-za-z]{13-18}\.chikenkiller.com
[0-9a-za-z]{13-18}\.us.to
[0-9a-za-z]{13-18}\.strangled.net
[0-9a-za-z]{13-18}\.ignorelist.com
[0-9a-za-z]{13-18}\.uk.to
[0-9a-za-z]{13-18}\.crabdance.com
[0-9a-za-z]{13-18}\.info.tm
[0-9a-za-z]{13-18}\.jumpingcrab.com
[0-9a-za-z]{13-18}\.twilightparadox.com
[0-9a-za-z]{13-18}\.biz.tm
[0-9a-za-z]{13-18}\.continent.kz
[0-9a-za-z]{13-18}\.az.lt

Domeny, które w większości to malware itp. Dodaje tylko te które mają więcej jak 10 znaków. Powinno to zmniejszyć false positive.

[0-9a-za-z]{10-18}\.fail
[0-9a-za-z]{10-18}\.viajes
[0-9a-za-z]{10-18}\.exposed
[0-9a-za-z]{10-18}\.fit
[0-9a-za-z]{10-18}\.work
[0-9a-za-z]{10-18}\.london
[0-9a-za-z]{10-18}\.surf
[0-9a-za-z]{10-18}\.date
[0-9a-za-z]{10-18}\.asia
[0-9a-za-z]{10-18}\.life
[0-9a-za-z]{10-18}\.cam

Windows 10. Wolny Transfer w otoczeniu sieciowym. SMB

Ściąga Admina, Usługi Komentarze (0) »
windows 10 otoczenie sieciowe smb słaby transfer wolno

windows 10 otoczenie sieciowe smb słaby transfer wolno

Skuteczne rozwiązanie:

PowerShell

 

Set-SmbClientConfiguration -EnableBandwidthThrottling 0 -EnableLargeMtu 1
Set-SmbServerConfiguration -EnableLeasing $false
NET STOP SERVER
NET START SERVER

let’s certbot | Let’s Encrypt | postfix | dovecot

Ściąga Admina, Usługi Komentarze (0) »

Korzystanie z Let’s Encrypt na potrzeby WWW są automatyczne i proste.

 

Jeśli dla https mamy już certyfikaty jak wykorzystać ich moc dla serwera pocztowego?

Otóż jak zwykle u mnie prosto i szybko:

postfix:

smtpd_tls_cert_file = /etc/letsencrypt/live/domena/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/domena/privkey.pem
dovecot:

ssl_cert = </etc/letsencrypt/live/szpital.zabrze.pl/fullchain.pem
ssl_key = </etc/letsencrypt/live/szpital.zabrze.pl/privkey.pem

 

Koniec.

Proste i działa 😉

 

E-mail i ZIP z potencjalnie groźną zawartością ( clamav, postfix, amavis )

Ściąga Admina, Usługi Komentarze (0) »

Niebezpieczeństwo przychodzące do firm i instytucji poprzez pocztę elektroniczną jest ogromne.

Klikanie na linki, otwieranie plików zip z niby faktura czy CV to ogromne zagrożenie.

Poniżej opiszę jak przy pomocy clamav wycinać wiadomości, z załącznikami zip zawierającymi skompresowane, potencjalnie niebezpieczne zawartości.

Funkcjonalność tą starałem się rozwiązać poprzez postfix, amavis itp. jednakże bezskutecznie. Dopiero sugestia na grupie https://www.facebook.com/groups/sysopspolska/ dała światełko w tunelu.

Przechodząc do rzeczy, tworzy plik w katalogu lib clama /var/lib/clamav o zawartości:

Archived_EXE:*:*:.*\.exe:*:*:*:*:*:*

Archived_SCR:*:*:.*\.scr:*:*:*:*:*:*

Archived_PIF:*:*:.*\.pif:*:*:*:*:*:*

Archived_COM:*:*:.*\.com:*:*:*:*:*:*

Archived_VB:*:*:.*\.vb:*:*:*:*:*:*

Archived_VBS:*:*:.*\.vbs:*:*:*:*:*:*

Archived_VBE:*:*:.*\.vbe:*:*:*:*:*:*

Archived_JS:*:*:.*\.js:*:*:*:*:*:*

Archived_JSE:*:*:.*\.jse:*:*:*:*:*:*

Archived_WS:*:*:.*\.ws:*:*:*:*:*:*

Archived_WSF:*:*:.*\.wsf:*:*:*:*:*:*

Archived_WSC:*:*:.*\.wsc:*:*:*:*:*:*

Archived_WSH:*:*:.*\.wsh:*:*:*:*:*:*

Zapisujemy jako skasowac.cdb i restartujemy clama.

To tyle.

BlueKeep – CVE-2019-0708 – Windows Server

PentaTesty, Usługi Komentarze (0) »

Po sieci panoszą się już robaki, które wykorzystując tą podatność budują botnety złożone z serwerów Windows.

Oczywiście robaki te szukają maszyn z wystawionym RDP na zewnątrz, wbrew logice jest takich maszyn bardzo dużo.

A co jeśli ktoś uzyska dostęp do naszej np. drukarki? Opisywałem jak z drukarki dostać się do sieci wewnętrznej naszej instytucji.

Oczywiście w ten sposób dostanie się na podatne serwery Windows w naszej sieci.

 

Najprostszy i najszybszy sposób na znalezienie otwartych RDP w naszej sieci:

nmap 192.168.1.0/24 -p 3389 –open

 

Poniżej listing jak sprawdzić przy pomocy Metasploit czy nasze maszyny są podatne.

 

msf5 > search BlueKeep

Matching Modules
================

# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 auxiliary/scanner/rdp/cve_2019_0708_bluekeep 2019-05-14 normal Yes CVE-2019-0708 BlueKeep Microsoft Remote Desktop RCE Check


msf5 > use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > show options

Module options (auxiliary/scanner/rdp/cve_2019_0708_bluekeep):

Name Current Setting Required Description
---- --------------- -------- -----------
RDP_CLIENT_IP 192.168.0.100 yes The client IPv4 address to report during connect
RDP_CLIENT_NAME rdesktop no The client computer name to report during connect, UNSET = random
RDP_DOMAIN no The client domain name to report during connect
RDP_USER no The username to report during connect, UNSET = random
RHOSTS yes The target address range or CIDR identifier
RPORT 3389 yes The target port (TCP)
THREADS 1 yes The number of concurrent threads


Auxiliary action:

Name Description
---- -----------
Scan Scan for exploitable targets


msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.82
rhosts => 192.168.1.82
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run

[*] 192.168.1.82:3389 - The target service is running, but could not be validated.
[*] 192.168.1.82:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.248
rhosts => 192.168.1.248
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run

[+] 192.168.1.248:3389 - The target is vulnerable.
[*] 192.168.1.248:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >

Debian 9 z obsługą Google Drive

Ściąga Admina, Usługi Komentarze (0) »

Dysk Google jest przydatny, czasem nawet bardzo. Nie będę tutaj o wadach i zaletach, ale o tym jak korzystać z tej usługi w środowisku Debian 9.

Potrzebne pakiety:

apt-get install dirmngr
apt-get install software-properties-common

Dodajemy repozytorium:


apt-add-repository ppa:alessandro-strada/ppa

Klucze:

gpg --keyserver pgp.mit.edu --recv-keys AD5F235DF639B041
gpg --armor --export AD5F235DF639B041 | apt-key add -

Instalujemy pakiet obsługujący dysk google:


apt-get update
apt install google-drive-ocamlfuse

Teraz logujemy się na swoje konto o obniżonych uprawnieniach.

Tworzymy katalog w którym Dysk Google będzie nam się montował:

mkdir ~/googledrive

Teraz najważniejszy krok, uruchomimy aplikację odpowiedzialną za całe zamieszanie. Aplikację uruchamiamy z konsoli na naszym koncie ( nie root! ).

Po uruchomieniu otworzy się nam przeglądarka WWW, w niej autoryzujemy się na koncie gmail, zezwalamy na dostęp dla naszej nowej aplikacji i … czekamy aż na konsoli pojawi się informacja o pozytywnym zalogowaniu.

google-drive-ocamlfuse

Teraz uruchamiamy synchronizację:

google-drive-ocamlfuse /home/amon/googledrive

 

To tyle, właśnie ruszyła synchronizacja 😉

 

 

WordPress mod_security

Bez kategorii, Ściąga Admina, Usługi Komentarze (0) »

Ponownie wordpress, tym razem w aspekcie mod_security.

Po instalacji, konfiguracji praca z wordpressem jest praktycznie niemożliwa.

rozwiązanie:

w /etc/modsecurity tworzymy pik whitelist.conf o zawartości:


  SecRuleRemoveById 980140
 SecRuleRemoveById 959100




  SecRuleRemoveById 300013
  SecRuleRemoveById 300015
  SecRuleRemoveById 300016
  SecRuleRemoveById 300017



  SecRuleRemoveById 300013
  SecRuleRemoveById 300015
  SecRuleRemoveById 300016
  SecRuleRemoveById 300017



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 960010 960012 950006



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 340151 1234234 340153 1234234 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 960010 960012 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 340151 340153 1234234 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 960010 960012 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 340151 340153 1234234 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61




  SecRuleRemoveById 920180




SecRuleEngine off
#SecRuleRemoveById 980130
  #SecRuleRemoveById 949110
  #SecRuleRemoveById 920280
  #SecRuleRemoveById 932100



  SecRuleRemoveById 920350


WordPress – bezpieczeństwo

Bez kategorii, Ściąga Admina, Usługi Komentarze (0) »

Fajny  CMS, ale … jak każdy CMS bardzo podatny na włamania, sam core jest rewelacyjny moim zdaniem, ale wtyczki …. nie znasz dnia i godziny gdy komuś się uda włamać. Zwykle nawet tego nie zauważysz, zaczniesz linkować do lewej viagry czy butów nike. Lub oto inny: możesz mieć takie sugestie. Odwiedź best online casino CC-TV z Nederland, których ratings są najbardziej dokładne i użyteczne. Więc przeczytaj moje notatki. Warto przyjrzeć mu się lepiej.

Wszelkie znane mi włamania do  Wordpress ( pomijając włamania systemowe, ftp … itp ) opierają się na manipulacjach katalogu wp-admin.

Wszystkie wpisy dajemy do .htaccess lub konfiguracji apache2.

Najprościej jest ograniczyć dostęp do wp-admin poprzez kontrolę IP:

<Directory "/home/domena/wp-admin">
order allow,deny
allow from x
</Directory>

Problem pojawia się gdy łączymy się z panelem admina z różnych IP… każde IP dodawać? no można …. ale niewygodne.

Zroby inaczej 😉  Prościej … i tak samo bezpiecznie 🙂

<Files wp-login.php>
 AuthName "Admins Only"
 AuthUserFile /etc/apache2/password
 AuthGroupFile /dev/null
 AuthType basic
 require valid-user
</Files>

<Location /wp-admin/>
 AuthName "Admins Only"
 AuthUserFile /etc/apache2/password
 AuthGroupFile /dev/null
 AuthType basic
 require valid-user
</Location>

I wszelkie metody ataku wp-admin maja na drugą zmianę 😉

WordPress - Hosting: Twój hosting - Skórka: N.Design Studio - Spolszczenie: Adam Klimowski.
RSS wpisów RSS komentarzy Zaloguj się