WordPress mod_security

Bez kategorii, Ściąga Admina, Usługi Komentarze (0) »

Ponownie wordpress, tym razem w aspekcie mod_security.

Po instalacji, konfiguracji praca z wordpressem jest praktycznie niemożliwa.

rozwiązanie:

w /etc/modsecurity tworzymy pik whitelist.conf o zawartości:


  SecRuleRemoveById 980140
 SecRuleRemoveById 959100




  SecRuleRemoveById 300013
  SecRuleRemoveById 300015
  SecRuleRemoveById 300016
  SecRuleRemoveById 300017



  SecRuleRemoveById 300013
  SecRuleRemoveById 300015
  SecRuleRemoveById 300016
  SecRuleRemoveById 300017



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904



  SecRuleRemoveById 960010 960012 950006



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 300015 340151 1234234 340153 1234234 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 960010 960012 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 340151 340153 1234234 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 960010 960012 950006 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61



  SecRuleRemoveById 340151 340153 1234234 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006
  SecRuleRemoveById phpids-17
  SecRuleRemoveById phpids-20
  SecRuleRemoveById phpids-21
  SecRuleRemoveById phpids-30
  SecRuleRemoveById phpids-61




  SecRuleRemoveById 920180




SecRuleEngine off
#SecRuleRemoveById 980130
  #SecRuleRemoveById 949110
  #SecRuleRemoveById 920280
  #SecRuleRemoveById 932100



  SecRuleRemoveById 920350


WordPress – bezpieczeństwo

Bez kategorii, Ściąga Admina, Usługi Komentarze (0) »

Fajny  CMS, ale … jak każdy CMS bardzo podatny na włamania, sam core jest rewelacyjny moim zdaniem, ale wtyczki …. nie znasz dnia i godziny gdy komuś się uda włamać. Zwykle nawet tego nie zauważysz, zaczniesz linkować do lewej viagry czy butów nike. Lub oto inny: możesz mieć takie sugestie. Odwiedź best online casino CC-TV z Nederland, których ratings są najbardziej dokładne i użyteczne. Więc przeczytaj moje notatki. Warto przyjrzeć mu się lepiej.

Wszelkie znane mi włamania do  Wordpress ( pomijając włamania systemowe, ftp … itp ) opierają się na manipulacjach katalogu wp-admin.

Najprościej jest ograniczyć dostęp do wp-admin poprzez kontrolę IP:

<Directory "/home/domena/wp-admin">
order allow,deny
allow from x
</Directory>

Problem pojawia się gdy łączymy się z panelem admina z różnych IP… każde IP dodawać? no można …. ale niewygodne.

Zroby inaczej 😉  Prościej … i tak samo bezpiecznie 🙂

<Files wp-login.php>
 AuthName "Admins Only"
 AuthUserFile /etc/apache2/password
 AuthGroupFile /dev/null
 AuthType basic
 require valid-user
</Files>

<Location /wp-admin/>
 AuthName "Admins Only"
 AuthUserFile /etc/apache2/password
 AuthGroupFile /dev/null
 AuthType basic
 require valid-user
</Location>

I wszelkie metody ataku wp-admin maja na drugą zmianę 😉

router Linux – ponad 1M pps

Iptables, Ściąga Admina, Usługi Komentarze (0) »

Przedstawiana konfiguracja może w przypadku lekkim wyłączyć sieć, a ekstremalnym uszkodzić sprzęt.

Opis dla kart sieciowych intel z maszyna  16GB RAM. ( po tuningu starczy 4GB)

 

Pada sieć, pakiety są dropowane … drop na ethx, ruter gubi pakiety … ip_conntrack: table full, dropping packet

Ten problem to kwestia domyślnej konfiguracji linuxa, która nadaje się do hostingu i małych sieci.

Kilka sugestii jak zrobić z linuxa router na każdą skalę, 10G to nie problem! 😛

Bez komentarza …  jeśli się boisz … tych ekstremalnych zmian skontaktuj się:  amon@antynet.pl

/sbin/ifconfig eth0 txqueuelen 2000
/sbin/ifconfig eth1 txqueuelen 2000

ethtool -G eth0 rx 4096 tx 4096
ethtool -G eth1 rx 4096 tx 4096

sysctl -w net.ipv4.tcp_sack=0

#ip_conntrack
echo 17473 > /proc/sys/net/ipv4/netfilter/ip_conntrack_count
echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo 1200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

#ipv6 off
sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1

#source route
sysctl -w net.ipv4.conf.lo.accept_source_route=1
sysctl -w net.ipv4.conf.all.accept_source_route=0
sysctl -w net.ipv4.conf.default.accept_source_route=0
sysctl -w net.ipv4.conf.eth0.accept_source_route=0
sysctl -w net.ipv4.conf.eth1.accept_source_route=0

#redirs#zmina.06.04.2017
sysctl -w net.ipv4.conf.eth0.accept_redirects=0
sysctl -w net.ipv4.conf.eth1.accept_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
sysctl -w net.ipv4.conf.eth1.send_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0

#IPV4
sysctl -w net.ipv4.tcp_no_metrics_save=1
sysctl -w net.ipv4.tcp_moderate_rcvbuf=1
sysctl -w net.core.netdev_max_backlog=30000

sysctl -w net.ipv4.tcp_timestamps=1
sysctl -w net.ipv4.tcp_sack=1

#IPV4 MEM
sysctl -w net.ipv4.tcp_rmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_wmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_mem=”4096 65536 33554432″
sysctl -w net.core.rmem_max=”33554432″
sysctl -w net.core.wmem_max=”33554432″
sysctl -w net.core.rmem_default=”33554432″
sysctl -w net.core.wmem_default=”33554432″
sysctl -w net.core.optmem_max=”33554432″
echo 1 > /proc/sys/net/ipv4/tcp_moderate_rcvbuf
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
#IPV4 ARP
sysctl -w net.ipv4.conf.all.arp_ignore=1
sysctl -w net.ipv4.conf.all.rp_filter=0
sysctl -w net.ipv4.conf.default.rp_filter=0

sysctl -w net/ipv4/conf/default/arp_ignore=1
sysctl -w net/ipv4/conf/default/arp_announce=1

sysctl -w net/ipv4/conf/eth0/arp_ignore=1
sysctl -w net/ipv4/conf/eth0/arp_announce=1
sysctl -w net/ipv4/conf/eth1/arp_ignore=1
sysctl -w net/ipv4/conf/eth1/arp_announce=1

sysctl -w net.ipv4.conf.eth0.rp_filter=0
sysctl -w net.ipv4.conf.default.forwarding=1

To są konfiguracje  systemu, potem mądry Firewall .

Naprowadzenie … state ESTABLISHED  pomaga 😀

 

pozdrawiam

jr

Kumaty admin załapie ,  resztę proszę o kontakt.

 

ps.

Ponad 7GB na jednym routerku obsługuję. 😉

 

 

mysql – sprawdzanie naprawa optymalizacja – o zadanej godzinie

Ściąga Admina, Usługi Komentarze (1) »

Jeden taki niedobry prosił o napisanie czegoś co o zadanej godzinie zrobi porządki w tabelach mysql.
Zadanie niezwykle trywialne….

1. Tworzymy plik naprawa.sh
touch /root/naprawa.sh
chmod +x /root/naprawa.sh

2. W pliku umieszczamy zaklęcia do uporządkowania tabelek.
##############################
#!/bin/bash

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

mysqlcheck --optimize --all-databases -u root --password=TwojeHasloMysql
mysqlcheck --check --all-databases -u root --password=TwojeHasloMysql
mysqlcheck --auto-repair --all-databases -u root --password=TwojeHasloMysql

##################################################

3.Teraz uruchamianie o zadanej godzinie ( 00:15)

uruchamiamy:
crontab -e
i wpisujemy:

15 0 * * * /root/naprawa.sh >/dev/null 2>&1

Zapisujemy.

4. Przynosimy piwo adminowi

mod_security – reguła SecRule tylko dla jednej domeny

Ściąga Admina, Usługi Komentarze (0) »

Czasem zachodzi potrzeba załączenia reguły modsecurity tylko dla jednej domeny.
Z pomocą przychodzi chain 😉

SecRule REQUEST_HEADERS:Host „(^blacksquadron\.net$|\.blacksquadron\.net$)” „log,deny,chain,msg:’spamer znaleziony w rbl bl.spamcop.net'”
SecRule REMOTE_ADDR „@rbl bl.spamcop.net”

No i forum motorowe trochę odetchnęło 😉
Od spammerów oczywiście.

Spam z Ofertami Pracy, pseudo oferty pracy /aktualizacja 11.2013/

Bez kategorii, Ściąga Admina, Usługi 2 komentarze »

Zmusili mnie… zbyt wiele tego ostatnio się pojawia, niby oferty pracy tak naprawdę szukanie słupów.

Najprościej pozbyć się problemu przy pomocy mechanizmów POSTFIX.

w pliku header_checks:

/^Subject: .*na akord z wynagrodzeniem.*/ REJECT spam content detected / na akord z wynagrodzeniem
/^Subject: .*dodatkowa praca.*/ REJECT spam content detected / dodatkowa praca
/^Subject: .*zdalnych pracownik.*/ REJECT spam content detected / zdalnych pracowników
/^Subject: .*na akord z wynagrodzeniem.*/ REJECT spam content detected / na akord z wynagrodzeniem
/^Subject: .*EUR za 1 godzine.*/ REJECT spam content detected / EUR za 1 godzine
/^Subject: .*podjecia w wolnym czasie.*/ REJECT spam content detected / podjecia w wolnym czasie
/^Subject: .*dodatkowej pracy z wynagrodzeniem.*/ REJECT spam content detected / dodatkowej pracy z wynagrodzeniem
/^Subject: .*Proponujemy proste rozwiazanie.*/ REJECT spam content detected / Proponujemy proste rozwiazanie
/^Subject: .*Brakuje Ci pieniedzy.*/ REJECT spam content detected / Brakuje Ci pieniedzy
/^Subject: .*Poszukujemy w Twoim regionie.*/ REJECT spam content detected / Poszukujemy w Twoim regionie
/^Subject: .*do dobrze oplacanej pracy.*/ REJECT spam content detected / do dobrze oplacanej pracy
/^Subject: .*euro na godzine.*/ REJECT spam content detected / euro na godzine
/^Subject: .*Administrator-financier.*/ REJECT spam content detected / Administrator-financier

Sprawdź czy w konfiguracji posiadasz wpis:

header_checks = pcre:/etc/postfix/header_checks

Oczywiście taka lista powinna ewoluować razem z pomysłowością spamerów.

Mamy nową fale tego spamu, w treści e-maila mamy ciąg znaków: warszawapraca.com

a więc …

w pliku body_checks

wpisujemy:

/warszawapraca.com/ REJECT Spam!



W konfiguracji postfixa dodajemy:

body_checks = pcre:/etc/postfix/body_checks

Aktualizacja body_checks
/iframe src=cid/ REJECT Nie kombinuj z kodem html.(body 1)
/(]*>).*){8}/ REJECT Za skrypty w mailu dziekujemy.(body 5)
/^.*[a-z][a-z]/ REJECT Za skrypty w mailu dziekujemy.(body 6)
/^.*[a-z][a-z]/ REJECT Za skrypty w mailu dziekujemy.(body 7)
// REJECT Za ukryte linki dziekujemy.(body 8)
/viagra/ REJECT Spam!
/dongli-uniform.com/ REJECT Spam!
/Dongli uniforms/ REJECT Spam!
/CEEOR POLAND SP Z O O/ REJECT Spam!
/x-taze.pl/ REJECT WON!!!
/warszawapraca.com/ REJECT Spam!
/PHU DAREX/ REJECT Spam!
/Officestore/ REJECT Spam!
/PROMOCJA!/ REJECT Spam!
/zarobek w wolnym czasie/ REJECT Spam!

aktualizacje header_checks:

/^Subject: .*Ty mozesz.*/ REJECT spam content detected / Ty mozesz
/^Subject: .*Twoja pomoc udzielana.*/ REJECT spam content detected / Twoja pomoc udzielana
/^Subject: .*Twoj miesieczny dochod.*/ REJECT spam content detected / Twoj miesieczny dochod.
/^Subject: .*wiecej pieniedzy.*/ REJECT spam content detected / wiecej pieniedzy.
/^Subject: .*praca w wolnym czasie.*/ REJECT spam content detected / praca w wolnym czasie
/^Subject: .*wolne godziny na prace.*/ REJECT spam content detected / wolne godziny na prace
/^Subject: .*w wolnym czasie.*/ REJECT spam content detected / wolnymi godzinami w tygodniu
/^Subject: .*dodatkowy dochod.*/ REJECT spam content detected / wolnymi godzinami w tygodniu
/^Subject: .*duzo pieniedzy.*/ REJECT spam content detected / duzo pieniedzy

/^Subject: .*Tobie zakochała.*/ REJECT spam content detected / Tobie zakochała
/^Subject: .*zaspokoić.*/ REJECT spam content detected / zaspokoić
/^Subject: .*swoj zarobek.*/ REJECT spam content detected / swoj zarobek
/^Subject: .*euro miesiecznie.*/ REJECT spam content detected / euro miesiecznie
/^Subject: .*wolne godziny w tygodniu.*/ REJECT spam content detected / wolne godziny w tygodniu
/^Subject: .*współpracy za wynagrodzeniem.*/ REJECT spam content detected / współpracy za wynagrodzeniem

WordPress XMLRPC – niebezpieczna podatność

Ściąga Admina, Usługi Komentarze (0) »

Zainspirowany wpisem:

http://nfsec.pl/security/5456

Proponuję w apache zablokować tę funkcjonalność, a przynajmniej ograniczyć do zaufanych hostów.

<FilesMatch „xmlrpc.php”>
Order allow,deny
</FilesMatch>

<FilesMatch „xmlrpc.php”>

Order Deny,Allow

Deny from all

</FilesMatch>

Bind, named – zone transfer deferred due to quota

Ściąga Admina, Usługi Komentarze (0) »

Dziś podczas przenoszenia jednej z domen zaskoczył mnie komunikat:

zone transfer deferred due to quota

Musze przyznać że nie spodziewałam się limitów sterf  przy ilości ok. 20 domen.

W każdym razie:

transfers-out x;
transfers-per-ns x;

transfers-out x;

transfers-per-ns x;

Skutecznie rozwiązuje problem, zanim znalazłem powód problemu myślałem że mam jakieś spore szambo w swoich DNS.

Gdy always_bcc w postfix to za mało

Ściąga Admina, Usługi Komentarze (0) »

O przydatności funkcji always_bcc w postfix można pisać wiele. Pomaga tworzyć kopie przesyłek w systemie, pomaga w diagnozie problemów z pocztą itp. itd.

Czasem jednak ta funkcja to za mało, a dokładnie rzecz ujmując zbyt wiele. Jak sobie poradzić z kopią wiadomości od jednego użytkownika/domeny ?

Przedstawiony poniżej przykład będzie przesyłał wiadomości od/do jarek@antynet.pl na konto toldi@antynet.pl

recipient_bcc_maps = hash:/etc/postfix/sender_bcc

sender_bcc_maps = hash:/etc/postfix/sender_bcc

mail:/etc/postfix# cat sender_bcc

jarek@antynet.pl toldi@antynet.pl

Oczywiście rozwiązanie to nasuwa na myśli problemy etyczne, jednakże są sytuacje w których tego typu działania są konieczne. Np. użytkownik nagminnie informujący o problemach z pocztą.

Pozdrowienia dla admina BetaSoft, tutaj też będzie „polewka”? 😉

Nauka w Akademii CISCO – Szkolenia w Zabrzu

Usługi Komentarze (0) »

Z przyjemnością polecamy naukę w zaprzyjaźnionej placówce na kierunku Technik Informatyk,
przy zapisie otrzymujesz pierwszy semestr CISCO Exploration GRATIS!



Polecamy także LOKALNĄ AKADEMIĘ CISCO.

WordPress - Hosting: Twój hosting - Skórka: N.Design Studio - Spolszczenie: Adam Klimowski.
RSS wpisów RSS komentarzy Zaloguj się