Czasem zachodzi potrzeba załączenia reguły modsecurity tylko dla jednej domeny.
Z pomocą przychodzi chain 😉
SecRule REQUEST_HEADERS:Host „(^blacksquadron\.net$|\.blacksquadron\.net$)” „log,deny,chain,msg:’spamer znaleziony w rbl bl.spamcop.net'”
SecRule REMOTE_ADDR „@rbl bl.spamcop.net”
No i forum motorowe trochę odetchnęło 😉
Od spammerów oczywiście.
Zmusili mnie… zbyt wiele tego ostatnio się pojawia, niby oferty pracy tak naprawdę szukanie słupów.
Najprościej pozbyć się problemu przy pomocy mechanizmów POSTFIX.
w pliku header_checks:
/^Subject: .*na akord z wynagrodzeniem.*/ REJECT spam content detected / na akord z wynagrodzeniem
/^Subject: .*dodatkowa praca.*/ REJECT spam content detected / dodatkowa praca
/^Subject: .*zdalnych pracownik.*/ REJECT spam content detected / zdalnych pracowników
/^Subject: .*na akord z wynagrodzeniem.*/ REJECT spam content detected / na akord z wynagrodzeniem
/^Subject: .*EUR za 1 godzine.*/ REJECT spam content detected / EUR za 1 godzine
/^Subject: .*podjecia w wolnym czasie.*/ REJECT spam content detected / podjecia w wolnym czasie
/^Subject: .*dodatkowej pracy z wynagrodzeniem.*/ REJECT spam content detected / dodatkowej pracy z wynagrodzeniem
/^Subject: .*Proponujemy proste rozwiazanie.*/ REJECT spam content detected / Proponujemy proste rozwiazanie
/^Subject: .*Brakuje Ci pieniedzy.*/ REJECT spam content detected / Brakuje Ci pieniedzy
/^Subject: .*Poszukujemy w Twoim regionie.*/ REJECT spam content detected / Poszukujemy w Twoim regionie
/^Subject: .*do dobrze oplacanej pracy.*/ REJECT spam content detected / do dobrze oplacanej pracy
/^Subject: .*euro na godzine.*/ REJECT spam content detected / euro na godzine
/^Subject: .*Administrator-financier.*/ REJECT spam content detected / Administrator-financier
Sprawdź czy w konfiguracji posiadasz wpis:
header_checks = pcre:/etc/postfix/header_checks
Oczywiście taka lista powinna ewoluować razem z pomysłowością spamerów.
Mamy nową fale tego spamu, w treści e-maila mamy ciąg znaków: warszawapraca.com
a więc …
w pliku body_checks
wpisujemy:
/warszawapraca.com/ REJECT Spam!
W konfiguracji postfixa dodajemy:
body_checks = pcre:/etc/postfix/body_checks
Aktualizacja body_checks
/iframe src=cid/ REJECT Nie kombinuj z kodem html.(body 1)
/(]*>).*){8}/ REJECT Za skrypty w mailu dziekujemy.(body 5)
/^.*[a-z][a-z]/ REJECT Za skrypty w mailu dziekujemy.(body 6)
/^.*[a-z][a-z]/ REJECT Za skrypty w mailu dziekujemy.(body 7)
// REJECT Za ukryte linki dziekujemy.(body 8)
/viagra/ REJECT Spam!
/dongli-uniform.com/ REJECT Spam!
/Dongli uniforms/ REJECT Spam!
/CEEOR POLAND SP Z O O/ REJECT Spam!
/x-taze.pl/ REJECT WON!!!
/warszawapraca.com/ REJECT Spam!
/PHU DAREX/ REJECT Spam!
/Officestore/ REJECT Spam!
/PROMOCJA!/ REJECT Spam!
/zarobek w wolnym czasie/ REJECT Spam!
aktualizacje header_checks:
/^Subject: .*Ty mozesz.*/ REJECT spam content detected / Ty mozesz
/^Subject: .*Twoja pomoc udzielana.*/ REJECT spam content detected / Twoja pomoc udzielana
/^Subject: .*Twoj miesieczny dochod.*/ REJECT spam content detected / Twoj miesieczny dochod.
/^Subject: .*wiecej pieniedzy.*/ REJECT spam content detected / wiecej pieniedzy.
/^Subject: .*praca w wolnym czasie.*/ REJECT spam content detected / praca w wolnym czasie
/^Subject: .*wolne godziny na prace.*/ REJECT spam content detected / wolne godziny na prace
/^Subject: .*w wolnym czasie.*/ REJECT spam content detected / wolnymi godzinami w tygodniu
/^Subject: .*dodatkowy dochod.*/ REJECT spam content detected / wolnymi godzinami w tygodniu
/^Subject: .*duzo pieniedzy.*/ REJECT spam content detected / duzo pieniedzy/^Subject: .*Tobie zakochała.*/ REJECT spam content detected / Tobie zakochała
/^Subject: .*zaspokoić.*/ REJECT spam content detected / zaspokoić
/^Subject: .*swoj zarobek.*/ REJECT spam content detected / swoj zarobek
/^Subject: .*euro miesiecznie.*/ REJECT spam content detected / euro miesiecznie
/^Subject: .*wolne godziny w tygodniu.*/ REJECT spam content detected / wolne godziny w tygodniu
/^Subject: .*współpracy za wynagrodzeniem.*/ REJECT spam content detected / współpracy za wynagrodzeniem
Zainspirowany wpisem:
Proponuję w apache zablokować tę funkcjonalność, a przynajmniej ograniczyć do zaufanych hostów.
<FilesMatch „xmlrpc.php”>
Order Deny,Allow
Deny from all
</FilesMatch>
Dziś podczas przenoszenia jednej z domen zaskoczył mnie komunikat:
zone transfer deferred due to quota
Musze przyznać że nie spodziewałam się limitów sterf przy ilości ok. 20 domen.
W każdym razie:
transfers-out x;
transfers-per-ns x;
Skutecznie rozwiązuje problem, zanim znalazłem powód problemu myślałem że mam jakieś spore szambo w swoich DNS.
O przydatności funkcji always_bcc w postfix można pisać wiele. Pomaga tworzyć kopie przesyłek w systemie, pomaga w diagnozie problemów z pocztą itp. itd.
Czasem jednak ta funkcja to za mało, a dokładnie rzecz ujmując zbyt wiele. Jak sobie poradzić z kopią wiadomości od jednego użytkownika/domeny ?
Przedstawiony poniżej przykład będzie przesyłał wiadomości od/do [email protected] na konto [email protected]
recipient_bcc_maps = hash:/etc/postfix/sender_bcc
sender_bcc_maps = hash:/etc/postfix/sender_bcc
mail:/etc/postfix# cat sender_bcc
Oczywiście rozwiązanie to nasuwa na myśli problemy etyczne, jednakże są sytuacje w których tego typu działania są konieczne. Np. użytkownik nagminnie informujący o problemach z pocztą.
Pozdrowienia dla admina BetaSoft, tutaj też będzie „polewka”? 😉
Z przyjemnością polecamy naukę w zaprzyjaźnionej placówce na kierunku Technik Informatyk,
przy zapisie otrzymujesz pierwszy semestr CISCO Exploration GRATIS!
Polecamy także LOKALNĄ AKADEMIĘ CISCO.
Linux w zastosowaniach profesjonalnych to bardzo tania i wygodna alternatywa.
ISP, czyli dostawcy Internetu często borykają się z granicami przepustowości routerów. Internet jest pełen opisów, tutoriali traktujących o budowie routera opartego o Linux.
Często są to bardzo dobre informacje, rzetelne i pozwalające zbudować dobrej jakości router. Jednakże zwykle administrator trafia na problem z wydajnością, przepustowością.
Kupuje od dostawcy 400Mbps puszcza ruch a tam 250 – 300Mbps i koniec, dach na wykresach.
Powody są złożone, sprzęt (frimware np. eth) skonfigurowany optymalnie a nie wydajnie, braki w optymalizacji Firewalla.
Niekończące się linie iptables i tc, zanim pakiet trafi na swoja regułkę przeleci 2tyś innych, w tym czasie system się obciąża a pakiet czeka na wysłanie w świat. Jest wiele różnych bolączek konfiguracyjnych routera.
Doświadczenie i wiedza pozwalają rozwiązać te problemy, na maszynie
cat /proc/cpuinfo | grep "model name"
model name : Intel(R) Pentium(R) CPU G6950 @ 2.80GHz
model name : Intel(R) Pentium(R) CPU G6950 @ 2.80GHz
cat /proc/meminfo
MemTotal: 2053400 kB
MemFree: 175188 kB
lspci | grep Eth
10:00.0 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
10:00.1 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
20:00.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5723 Gigabit Ethernet PCIe (rev 10)
22:00.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5723 Gigabit Ethernet PCIe (rev 10)
Spokojnie z load 0.0 czasem 0.05 obsługiwanych jest 4tyś. abonentów, adresy prywatne a więc maskowane.
Komunikat ip_conntrack: table full
nie zaistnieje. Wszystko jest kwestią odpowiedniego przeprogramowania sprzętu oraz systemu.
Profesjonalne, niezwykle wydajne i skalowalne routery, które nie kosztują dziesiątek czy setek tysięcy złotych to nie mit.
Nie daj się wciągać w drogie „sprzętowe” rozwiązania. Zaufaj odpowiedniej wiedzy i doświadczeniu.
Odpowiednio przygotowana maszyna może być równocześnie wydajnym i skalowalnym routerem dla tysięcy abonentów, obsługiwać BGP i OSPF do kilku operatorów oraz pracować jako koncentrator PPPoE. W takiej konfiguracji podmiana adresu mac nie pozwoli kraść Internet.
Wykres przepustowości z jednego z routerów Linuks:
Teraz z grubej rury blokada 😉
iptables -N apache_dos
iptables -A INPUT -p tcp –dport 80 –syn -j apache_dos
iptables -A apache_dos -m hashlimit –hashlimit 10/sec –hashlimit-burst 30 \
–hashlimit-mode srcip –hashlimit-name apache_DDOS \
–hashlimit-htable-expire 30000 \
–hashlimit-htable-max 65535 -j ACCEPT
iptables -A apache_dos -j DROP
Metoda chyba najpewniejsza i najprostsza, można zobaczyć efekty wykonując polecenie:
iptables -vL apache_dos
inspiracja – sow 😉
Skoro dziś tak o DoS i DDoS to nie może zabraknąć mod_mod_evasive dla apache2.
apt-get install libapache2-mod-evasive
mcedit /etc/apache2/mods-available/mod-evasive.load
i wpisujemy:
#################################
LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 10
DOSSiteCount 200
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 10
DOSLogDir „/var/log/evasive”
DOSEmailNotify [email protected]
</IfModule>
######################################
Pamiętamy utworzeniu i nadaniu odpowiednich uprawnień dla:
/var/log/evasive
Dla pewności włączamy moduł:
a2enmod mod-evasive
restart apache2:
/etc/init.d/apache2 restart
inspiracja – sow 😉
Jest fajny moduł do apacha2, który w pewnym stopniu blokuje ataki DoS oraz DDoS.
Oczywiście wszystko zależy od możliwości atakującego i naszych zasobów sieciowych oraz sprzętowych.
Ale do rzeczy.
Mowa o mod_qos
aktualna wersja na 10.06.2011:
cd /usr/src
wget http://netcologne.dl.sourceforge.net/project/mod-qos/mod_qos-9.57.tar.gz
tar zxvf mod_qos-9.57.tar.gz
cd mod_qos-9.57/apache2
apxs2 -i -c mod_qos.c
cd / etc/apache2/mods-available
mcedit qos.load
w zawartości:
##########################
LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so## QoS module Settings<IfModule mod_qos.c># zezwalamy na polaczenia z 1000 różnych IP.QS_ClientEntries 1000# Kazde IP moze wykonac 40 polaczenQS_SrvMaxConnPerIP 40# Maksymalna ilosc rownoczesnych polaczen TCPMaxClients 256# Wylacz keep-alive gdy aktywnych jest polaczenQS_SrvMaxConnClose 180# zapytanie / czas odpowiedzi ( ubij polaczenia niczego niezadajace, DoS)QS_SrvMinDataRate 150 1200CustomLog logs/qsaudit_log „%{qos-path}n%{qos-query}n”</IfModule>LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so
## QoS module Settings
<IfModule mod_qos.c>
# zezwalamy na polaczenia z 1000 różnych IP.
QS_ClientEntries 1000
# Kazde IP moze wykonac 40 polaczen
QS_SrvMaxConnPerIP 40
# Maksymalna ilosc rownoczesnych polaczen TCP
MaxClients 256
# Wylacz keep-alive gdy aktywnych jest polaczen
QS_SrvMaxConnClose 180
# zapytanie / czas odpowiedzi ( ubij polaczenia niczego niezadajace, DoS)
QS_SrvMinDataRate 150 1200
</IfModule>
#####################################
Teraz aktywujemy moduł:
a2enmod qos
no i restartujemy apache2:
/etc/init.d/apache2 restart
Oczywiście gdy DDoS będzie pochodził z większej ilości IP jak określonych w QS_ClientEntries to się powiedzie.
Dlatego ważne jest ustalić dokładnie parametry pracy modułu mając na uwadze wydolność naszej sieci oraz moc obliczeniową serwera.
inspiracja – sow 😉
Ostatnie komentarze