ANTYNET.PL – Administracja Sieci

Jeden taki niedobry prosił o napisanie czegoś co o zadanej godzinie zrobi porządki w tabelach mysql.
Zadanie niezwykle trywialne….

1. Tworzymy plik naprawa.sh
touch /root/naprawa.sh
chmod +x /root/naprawa.sh

2. W pliku umieszczamy zaklęcia do uporządkowania tabelek.
##############################
#!/bin/bash

mysqlcheck --optimize --all-databases -u root --password=TwojeHasloMysql
mysqlcheck --check --all-databases -u root --password=TwojeHasloMysql
mysqlcheck --auto-repair --all-databases -u root --password=TwojeHasloMysql
##################################################

3.Teraz uruchamianie o zadanej godzinie ( 00:15)

uruchamiamy:
crontab -e
i wpisujemy:

15 0 * * * /root/naprawa.sh >/dev/null 2>&1

Zapisujemy.

4. Przynosimy piwo adminowi

Czasem zachodzi potrzeba załączenia reguły modsecurity tylko dla jednej domeny.
Z pomocą przychodzi chain 😉

SecRule REQUEST_HEADERS:Host „(^blacksquadron\.net$|\.blacksquadron\.net$)” „log,deny,chain,msg:’spamer znaleziony w rbl bl.spamcop.net'”
SecRule REMOTE_ADDR „@rbl bl.spamcop.net”

No i forum motorowe trochę odetchnęło 😉
Od spammerów oczywiście.

Zmusili mnie… zbyt wiele tego ostatnio się pojawia, niby oferty pracy tak naprawdę szukanie słupów.

Najprościej pozbyć się problemu przy pomocy mechanizmów POSTFIX.

w pliku header_checks:

/^Subject: .*na akord z wynagrodzeniem.*/ REJECT spam content detected / na akord z wynagrodzeniem
/^Subject: .*dodatkowa praca.*/ REJECT spam content detected / dodatkowa praca
/^Subject: .*zdalnych pracownik.*/ REJECT spam content detected / zdalnych pracowników
/^Subject: .*na akord z wynagrodzeniem.*/ REJECT spam content detected / na akord z wynagrodzeniem
/^Subject: .*EUR za 1 godzine.*/ REJECT spam content detected / EUR za 1 godzine
/^Subject: .*podjecia w wolnym czasie.*/ REJECT spam content detected / podjecia w wolnym czasie
/^Subject: .*dodatkowej pracy z wynagrodzeniem.*/ REJECT spam content detected / dodatkowej pracy z wynagrodzeniem
/^Subject: .*Proponujemy proste rozwiazanie.*/ REJECT spam content detected / Proponujemy proste rozwiazanie
/^Subject: .*Brakuje Ci pieniedzy.*/ REJECT spam content detected / Brakuje Ci pieniedzy
/^Subject: .*Poszukujemy w Twoim regionie.*/ REJECT spam content detected / Poszukujemy w Twoim regionie
/^Subject: .*do dobrze oplacanej pracy.*/ REJECT spam content detected / do dobrze oplacanej pracy
/^Subject: .*euro na godzine.*/ REJECT spam content detected / euro na godzine
/^Subject: .*Administrator-financier.*/ REJECT spam content detected / Administrator-financier

Sprawdź czy w konfiguracji posiadasz wpis:

header_checks = pcre:/etc/postfix/header_checks

Oczywiście taka lista powinna ewoluować razem z pomysłowością spamerów.

Mamy nową fale tego spamu, w treści e-maila mamy ciąg znaków: warszawapraca.com

a więc …

w pliku body_checks

wpisujemy:

/warszawapraca.com/ REJECT Spam!

W konfiguracji postfixa dodajemy:

body_checks = pcre:/etc/postfix/body_checks

Aktualizacja body_checks
/iframe src=cid/ REJECT Nie kombinuj z kodem html.(body 1)
/(]*>).*){8}/ REJECT Za skrypty w mailu dziekujemy.(body 5)
/^.*[a-z][a-z]/ REJECT Za skrypty w mailu dziekujemy.(body 6)
/^.*[a-z][a-z]/ REJECT Za skrypty w mailu dziekujemy.(body 7)
// REJECT Za ukryte linki dziekujemy.(body 8)
/viagra/ REJECT Spam!
/dongli-uniform.com/ REJECT Spam!
/Dongli uniforms/ REJECT Spam!
/CEEOR POLAND SP Z O O/ REJECT Spam!
/x-taze.pl/ REJECT WON!!!
/warszawapraca.com/ REJECT Spam!
/PHU DAREX/ REJECT Spam!
/Officestore/ REJECT Spam!
/PROMOCJA!/ REJECT Spam!
/zarobek w wolnym czasie/ REJECT Spam!

aktualizacje header_checks:

/^Subject: .*Ty mozesz.*/ REJECT spam content detected / Ty mozesz
/^Subject: .*Twoja pomoc udzielana.*/ REJECT spam content detected / Twoja pomoc udzielana
/^Subject: .*Twoj miesieczny dochod.*/ REJECT spam content detected / Twoj miesieczny dochod.
/^Subject: .*wiecej pieniedzy.*/ REJECT spam content detected / wiecej pieniedzy.
/^Subject: .*praca w wolnym czasie.*/ REJECT spam content detected / praca w wolnym czasie
/^Subject: .*wolne godziny na prace.*/ REJECT spam content detected / wolne godziny na prace
/^Subject: .*w wolnym czasie.*/ REJECT spam content detected / wolnymi godzinami w tygodniu
/^Subject: .*dodatkowy dochod.*/ REJECT spam content detected / wolnymi godzinami w tygodniu
/^Subject: .*duzo pieniedzy.*/ REJECT spam content detected / duzo pieniedzy

/^Subject: .*Tobie zakochała.*/ REJECT spam content detected / Tobie zakochała
/^Subject: .*zaspokoić.*/ REJECT spam content detected / zaspokoić
/^Subject: .*swoj zarobek.*/ REJECT spam content detected / swoj zarobek
/^Subject: .*euro miesiecznie.*/ REJECT spam content detected / euro miesiecznie
/^Subject: .*wolne godziny w tygodniu.*/ REJECT spam content detected / wolne godziny w tygodniu
/^Subject: .*współpracy za wynagrodzeniem.*/ REJECT spam content detected / współpracy za wynagrodzeniem

Zainspirowany wpisem:

http://nfsec.pl/security/5456

Proponuję w apache zablokować tę funkcjonalność, a przynajmniej ograniczyć do zaufanych hostów.

<FilesMatch „xmlrpc.php”>

Order Deny,Allow

Deny from all

</FilesMatch>

Dziś podczas przenoszenia jednej z domen zaskoczył mnie komunikat:

zone transfer deferred due to quota

Musze przyznać że nie spodziewałam się limitów sterf  przy ilości ok. 20 domen.

W każdym razie:

transfers-out x;

transfers-per-ns x;

Skutecznie rozwiązuje problem, zanim znalazłem powód problemu myślałem że mam jakieś spore szambo w swoich DNS.

O przydatności funkcji always_bcc w postfix można pisać wiele. Pomaga tworzyć kopie przesyłek w systemie, pomaga w diagnozie problemów z pocztą itp. itd.

Czasem jednak ta funkcja to za mało, a dokładnie rzecz ujmując zbyt wiele. Jak sobie poradzić z kopią wiadomości od jednego użytkownika/domeny ?

Przedstawiony poniżej przykład będzie przesyłał wiadomości od/do [email protected] na konto [email protected]

recipient_bcc_maps = hash:/etc/postfix/sender_bcc

sender_bcc_maps = hash:/etc/postfix/sender_bcc

mail:/etc/postfix# cat sender_bcc

[email protected] [email protected]

Oczywiście rozwiązanie to nasuwa na myśli problemy etyczne, jednakże są sytuacje w których tego typu działania są konieczne. Np. użytkownik nagminnie informujący o problemach z pocztą.

Pozdrowienia dla admina BetaSoft, tutaj też będzie „polewka”? 😉

Z przyjemnością polecamy naukę w zaprzyjaźnionej placówce na kierunku Technik Informatyk,
przy zapisie otrzymujesz pierwszy semestr CISCO Exploration GRATIS!

Polecamy także LOKALNĄ AKADEMIĘ CISCO.

Linux w zastosowaniach profesjonalnych to bardzo tania i wygodna alternatywa.

ISP, czyli dostawcy Internetu często borykają się z granicami przepustowości routerów. Internet jest pełen opisów, tutoriali traktujących o budowie routera opartego o Linux.

Często są to bardzo dobre informacje, rzetelne i pozwalające zbudować dobrej jakości router. Jednakże zwykle  administrator trafia na problem z wydajnością, przepustowością.

Kupuje od dostawcy 400Mbps puszcza ruch a tam 250 – 300Mbps i koniec, dach na wykresach.

Powody są złożone, sprzęt (frimware np. eth) skonfigurowany optymalnie a nie wydajnie, braki w optymalizacji Firewalla.

Niekończące się linie iptables i tc, zanim pakiet trafi na swoja regułkę przeleci 2tyś innych, w tym czasie system się obciąża a pakiet czeka na wysłanie w świat. Jest wiele różnych bolączek konfiguracyjnych routera.

Doświadczenie i wiedza pozwalają rozwiązać te problemy, na maszynie

cat /proc/cpuinfo | grep "model name"
model name      : Intel(R) Pentium(R) CPU        G6950  @ 2.80GHz
model name      : Intel(R) Pentium(R) CPU        G6950  @ 2.80GHz
cat /proc/meminfo
MemTotal:        2053400 kB
MemFree:          175188 kB
lspci | grep Eth
10:00.0 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
10:00.1 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
20:00.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5723 Gigabit Ethernet PCIe (rev 10)
22:00.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5723 Gigabit Ethernet PCIe (rev 10)

Spokojnie z load 0.0 czasem 0.05 obsługiwanych jest 4tyś. abonentów, adresy prywatne a więc maskowane.

Komunikat ip_conntrack: table full

nie zaistnieje. Wszystko jest kwestią odpowiedniego przeprogramowania sprzętu oraz systemu.

Profesjonalne, niezwykle wydajne i skalowalne routery, które nie kosztują dziesiątek czy setek tysięcy złotych to nie mit.

Nie daj się wciągać w drogie „sprzętowe” rozwiązania.  Zaufaj odpowiedniej wiedzy i doświadczeniu.

Odpowiednio przygotowana maszyna może być równocześnie wydajnym i skalowalnym routerem dla tysięcy abonentów, obsługiwać BGP i OSPF do kilku operatorów oraz pracować jako koncentrator PPPoE. W takiej konfiguracji podmiana adresu mac nie pozwoli kraść Internet.

Zapraszam do kontaktu.

Wykres przepustowości z jednego z routerów Linuks:

Teraz z grubej rury blokada 😉

iptables -N apache_dos

iptables -A INPUT -p tcp –dport 80 –syn -j apache_dos

iptables -A apache_dos -m hashlimit –hashlimit 10/sec –hashlimit-burst 30 \

–hashlimit-mode srcip –hashlimit-name apache_DDOS \

–hashlimit-htable-expire 30000 \

–hashlimit-htable-max 65535 -j ACCEPT

iptables -A apache_dos -j DROP

Metoda chyba najpewniejsza i najprostsza, można zobaczyć efekty wykonując polecenie:

iptables -vL apache_dos

inspiracja – sow 😉

Skoro dziś tak o DoS i DDoS to nie może zabraknąć mod_mod_evasive dla apache2.

apt-get install libapache2-mod-evasive

mcedit /etc/apache2/mods-available/mod-evasive.load

i wpisujemy:

#################################

LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so

<IfModule  mod_evasive20.c>

DOSHashTableSize 3097

DOSPageCount 10

DOSSiteCount 200

DOSPageInterval 2

DOSSiteInterval 2

DOSBlockingPeriod 10

DOSLogDir „/var/log/evasive”

DOSEmailNotify [email protected]

</IfModule>

######################################

Pamiętamy  utworzeniu i nadaniu odpowiednich uprawnień dla:

/var/log/evasive

Dla pewności włączamy moduł:

a2enmod  mod-evasive

restart apache2:

/etc/init.d/apache2 restart

inspiracja – sow 😉