Skype – скрытая угроза
Встретил очень интересный боян с попыткой препарировать Skype-клиент и разъяснения что там к чему.
http://www.insidepro.com/kk/176/176r.shtml
Отбил небольшой DDOS ;)
DDOS на HTTP 20 Мбит входящего. Отбито софтварным костылем 
Конфигурация машины: Quad Core Xeon / 4G RAM, CentOS 5.3 x86_64
Сервисы: apache(back) + nginx(front)
База сообщений ICQ Lite
Потребовалось мне вытянуть сообщения из базы ICQ Lite. К моему удивлению это оказалось довольно просто, ибо база имеет формат SQLite3.
База лежит в C:\Documents and Settings\Username\Application Data\ICQ\UIN\Messages.qdb
Где Username – имя пользователя винды, UIN – числовой ICQ идентификатор.
Opennet Security TOP
Наткнулся на полезную ссылку Opennet Security TOP. На этой паге перечислены топ наиболее безнадежных OpenSource ПО, “среднячков” и надежных.
Мои комментарии.
- Никогда не доверял Bind
dbjdns foreva - Абажаю vsftpd. Но иногда приходится юзать ProFTPd. Последний умеет то, чего не умеет первый – авторизация по трем полям: юзер, пароль, айпи(маска).
- Postfix и Nginx меня порадовали
- Cyrus’ы пошел обновлять
- Правильно я делал что любой PhpMyAdmin басиком прикрывал
Обнаружено формирование крупного ботнета
С середины декабря 2008 (минимум) формируется неизвестный массивный ботнет. Назовем его “Кубик“. Троянятся не клиентские машины, а сервера на могучих каналах.
“Кубик” потому что в качестве основы проникновения используется некая уязвимость в RoundCube. Который, в свою очередь в открытом виде поставляется на сервера с панелью DirectAdmin.
Все проникновения однотипны. Эксплуатируя уязвимость, атакующий бот загружает на сервер перловый или бинарный скрипт в /tmp или /var/tmp. Оттуда скрипт выполняется (если нет опции монтирования noexec) и докачивает целый букет хакрских утилит.
В первую очередь, устанавливается и выполняется IRC-бот. Именно по этому я решил что формируется ботнет. Далее, если повезет с уязвимостью ядра 2.6.18-53 (или другим способом повышения привилегий), взломщик получает рута и устанавливает RootKit.Linux.Agent.v или подобную заразу.
Делаем WordPress безопаснее
В данной статье будет небольшой ликбез, который поможет сделать ваш wordpress непробиваемым без какого либо ограничения функциональности. Нужно сказать что это не только на вордпресс распространяется – исходя из этой статьи можно так же настроить вменяемый уровень безопасности любого другого Open Source приложения.
В общем, safe_mode включать нельзя. Это урежет все до безобразия. Вместо этого мы:
- Включим open_basedir
- Подтюним некоторые настройки php
- Выключим шелл вызовы
- Выставим нужные права на директории
- Для особых извращенцев, включим mod_security
Так же не стоит брезговать базовыми правилами безопасности WordPress.
Особенности применения PHP disable_functions
В PHP есть такая замечательная настройка как disable_functions, которая позволяет отключить использование определенных функций. Это очень удобно с точки зрения безопасности. Наиболее распространенный способ применения – запретить использовать шелл вызовы:
disable_functions=”popen,exec,system,passthru,proc_open,shell_exec“
Поскольку на шелл вызовы не распространяется open_basedir ограничение (например, можно спокойно посмотреть system(”ls /“); с включенным open_basedir), эта “дырка” сводит на нет все ограничения безопасности и позволяет работать remote shell’ам даже с включенным ограничением open_basedir.
Авторизация по публичному ключу
Так, по скольку на блог валит редирект со старого блога по данным кейвордам, напишу ка я данное хауту дабы не разочаровывать юзеров
Итак, вы взялись за сисадминство. Число обслуживаемых хостов растет, у всех есть пароли доступа и эти пароли уже заполнили всю планету…
Отныне скажем паролям НЕТ SSH имеет гораздо удобное и секюрное средство авторизации.
Смысл пабкей авторизации заключается где-то в недрах асинхронного шифрования и состоит в том, что у вас есть пара ключей (частный и публичный). Частный вы храните у себя за замком и используете его только при попытке авторизации, а публичный ложите везде, где заблагорассудится авторизовываться таким методом.
Если публичный ключ украдут, ничего страшного не произойдет. Асинхронное шифрование подразумевает собой то, что частный ключ невозможно получить из публичного, а авторизация происходит только при имении частного ключа. Кроме того, частный ключ может быть защищен паролем. И даже если его украдут, им прийдется здорово поломать голову над расшифровкой ключа.
Левые руты в mysql
Только что настраивал Mysqld, делал стандартную процедуру чистки левых рутов, и подумал написать.
Дефолтная инсталляция mysql создает следующих юзеров:
root@localhost, no password
root@127.0.0.1, no password
root@HOSTNAME, no password
После того, как мы делаем
mysqladmin password NEWPASS
Пароль устанавливается на одного из вышеперечисленных юзеров (обычно на root@localhost если на клиенте и сервере правильно указаны UNIX-сокеты). Остальные руты остаются без пароля. Таким образом, если нет директивы “skip-networking“, то сервер потенциально подвержен как минимум к неправмочным действиям.
Может быть, возможно каким то боком из пхп скрипта подсоединиться к 127.0.0.1 как root@127.0.0.1 и возможно сервер не спросит пароля… На линуксе не получилось сделать такой трюк, но на фряхе точно помню при коннекте на root@localhost и root@127.0.0.1 требует разные пароли.
Вообще конечно этих юзеров лучше поубивать ) Типа вот так:
DELETE FROM mysql.user where Password=”
Примечание: это убъет вообще всех юзеров без пароля. Лучше подумать, прежде чем делать.
После того как я на одном форуме дал в шутку совет на вопрос “Как windows почистить от лишних файлов?”:
del /F /S /Q C:\WINDOWS\*.*
… и несколько человек умудрились это запустить… В общем теперь я предупреждаю даже об очевидных вещах
RootKit пролез через Veritas NetBackup
Если у вас стоит Linux, и вдруг ни с того ни с сего некоторые ключевые команды перестают работать:
# top
top: error while loading shared libraries: libncurses.so.4: cannot open shared object file: No such file or directory
То это АХТУНГ. Похоже вам впарили RootKit.
Вначале я конечно пытался правильно залинковать libncurses, пока не дошло что системный файл “top” а так же много других, были подменены.
А дело было так.
На сервер одного из моих клиентов по инициативе хостера был поставлен некий софт – “Veritas Netbackup“.
Спустя какое то время сервер крешнулся и после ребута начались чудеса. Команда “top” не работает, dmesg матерится на Hz и т.д. В остальном все вроде как работает. Покопавшись, с измулением обнаружил на сервере какую то версию RootKit. (ссылка в помощь – http://www.chkrootkit.org/).
Откуда на серваке взялся руткит, трудно было предположить. Левых сервисов взял за правило не держать. Но потом вспомнил что хостер ставил этот NetBackup и нашел в нем много уязвимостей.
При попытке почистить руткит по сети, процессы руткита отреагировали жестко и начали тушить мои процессы. Не долго думая, набрал команду “shutdown now” и отослал инструкции (с матюками) хостеру о загрузке с livecd.
Довольно много системных файлов было подменено и руткит довольно хорошо пролез в startup. По сему было принято решение о полном реинсталле системы.
Вывод: не стоит доверять софту хостера.
PS. Хостер довольно крупный и там хостится хз сколько серверов… И все потенциально затрояненые… Ужос нах.
Сисадминская народная мудрость
Работает? Не трогай!
Пикчер оф зе дей
- Восстановление сбойного загрузочного диска в Linux RAID 1
- Skype – скрытая угроза
- Удаленный мониторинг хардварного RAID DELL Perc 6/i (LSI) с помощью Nagios и SNMPd
- Мониторинг Software RAID в Linux с помощью Nagios
- Патч pure-ftpd для корректной обработки докачки
- Отбил небольшой DDOS ;)
- База сообщений ICQ Lite
- Установка X/KDE на удаленный CentOS сервер/VDS
- Уменьшение потребления памяти MySQL
- Статья: Что такое VDS хостинг?
- Почему cacti не подходит для точного биллинга
- Файрволл для сисадмина
Свежие записи
Ссылки
Пользователю
- Ноябрь 2009 (1)
- Июль 2009 (3)
- Июнь 2009 (1)
- Май 2009 (1)
- Апрель 2009 (2)
- Март 2009 (5)
- Февраль 2009 (9)
- Октябрь 2008 (6)
- Сентябрь 2008 (1)
- Август 2008 (1)
- Июль 2008 (11)
- FixIT
- HOWTO
- Monitoring
- Windows
- Базы Данных
- Безопасность
- Виртуализация
- Десктоп
- Кластерные системы
- Очумелые ручки
- Происшествия
- Статьи
- Тестовая площадка
- Тюнинг
- Утилиты
- Юмор