Все нижеописанное относится к GNU/Linux 2.6.x. ДДОС совершенно тупой, разномастный: syn/tcp/udp/icmp flood тупо на все открытые порты, мегабит на 60. UDP срали вообще куда попало. Но основная атака конечно на HTTP. По этому, тушим сервисы и пишем….
Встретил очень интересный боян с попыткой препарировать Skype-клиент и разъяснения что там к чему.
http://www.insidepro.com/kk/176/176r.shtml
DDOS на HTTP 20 Мбит входящего. Отбито софтварным костылем 
Конфигурация машины: Quad Core Xeon / 4G RAM, CentOS 5.3 x86_64
Сервисы: apache(back) + nginx(front)
Потребовалось мне вытянуть сообщения из базы ICQ Lite. К моему удивлению это оказалось довольно просто, ибо база имеет формат SQLite3.
База лежит в C:\Documents and Settings\Username\Application Data\ICQ\UIN\Messages.qdb
Где Username – имя пользователя винды, UIN – числовой ICQ идентификатор.
Наткнулся на полезную ссылку Opennet Security TOP. На этой паге перечислены топ наиболее безнадежных OpenSource ПО, «среднячков» и надежных.
Мои комментарии.
dbjdns foreva
С середины декабря 2008 (минимум) формируется неизвестный массивный ботнет. Назовем его «Кубик«. Троянятся не клиентские машины, а сервера на могучих каналах.
«Кубик» потому что в качестве основы проникновения используется некая уязвимость в RoundCube. Который, в свою очередь в открытом виде поставляется на сервера с панелью DirectAdmin.
Все проникновения однотипны. Эксплуатируя уязвимость, атакующий бот загружает на сервер перловый или бинарный скрипт в /tmp или /var/tmp. Оттуда скрипт выполняется (если нет опции монтирования noexec) и докачивает целый букет хакрских утилит.
В первую очередь, устанавливается и выполняется IRC-бот. Именно по этому я решил что формируется ботнет. Далее, если повезет с уязвимостью ядра 2.6.18-53 (или другим способом повышения привилегий), взломщик получает рута и устанавливает RootKit.Linux.Agent.v или подобную заразу.
В данной статье будет небольшой ликбез, который поможет сделать ваш wordpress непробиваемым без какого либо ограничения функциональности. Нужно сказать что это не только на вордпресс распространяется – исходя из этой статьи можно так же настроить вменяемый уровень безопасности любого другого Open Source приложения.
В общем, safe_mode включать нельзя. Это урежет все до безобразия. Вместо этого мы:
Так же не стоит брезговать базовыми правилами безопасности WordPress.
В PHP есть такая замечательная настройка как disable_functions, которая позволяет отключить использование определенных функций. Это очень удобно с точки зрения безопасности. Наиболее распространенный способ применения – запретить использовать шелл вызовы:
disable_functions=»popen,exec,system,passthru,proc_open,shell_exec«
Поскольку на шелл вызовы не распространяется open_basedir ограничение (например, можно спокойно посмотреть system(«ls /«); с включенным open_basedir), эта «дырка» сводит на нет все ограничения безопасности и позволяет работать remote shell’ам даже с включенным ограничением open_basedir.
Так, по скольку на блог валит редирект со старого блога по данным кейвордам, напишу ка я данное хауту дабы не разочаровывать юзеров
Итак, вы взялись за сисадминство. Число обслуживаемых хостов растет, у всех есть пароли доступа и эти пароли уже заполнили всю планету…
Отныне скажем паролям НЕТ SSH имеет гораздо удобное и секюрное средство авторизации.
Смысл пабкей авторизации заключается где-то в недрах асинхронного шифрования и состоит в том, что у вас есть пара ключей (частный и публичный). Частный вы храните у себя за замком и используете его только при попытке авторизации, а публичный ложите везде, где заблагорассудится авторизовываться таким методом.
Если публичный ключ украдут, ничего страшного не произойдет. Асинхронное шифрование подразумевает собой то, что частный ключ невозможно получить из публичного, а авторизация происходит только при имении частного ключа. Кроме того, частный ключ может быть защищен паролем. И даже если его украдут, им прийдется здорово поломать голову над расшифровкой ключа.
Только что настраивал Mysqld, делал стандартную процедуру чистки левых рутов, и подумал написать.
Дефолтная инсталляция mysql создает следующих юзеров:
root@localhost, no password
root@127.0.0.1, no password
root@HOSTNAME, no password
После того, как мы делаем
mysqladmin password NEWPASS
Пароль устанавливается на одного из вышеперечисленных юзеров (обычно на root@localhost если на клиенте и сервере правильно указаны UNIX-сокеты). Остальные руты остаются без пароля. Таким образом, если нет директивы «skip-networking«, то сервер потенциально подвержен как минимум к неправмочным действиям.
Может быть, возможно каким то боком из пхп скрипта подсоединиться к 127.0.0.1 как root@127.0.0.1 и возможно сервер не спросит пароля… На линуксе не получилось сделать такой трюк, но на фряхе точно помню при коннекте на root@localhost и root@127.0.0.1 требует разные пароли.
Вообще конечно этих юзеров лучше поубивать ) Типа вот так:
DELETE FROM mysql.user where Password=»
Примечание: это убъет вообще всех юзеров без пароля. Лучше подумать, прежде чем делать.
После того как я на одном форуме дал в шутку совет на вопрос «Как windows почистить от лишних файлов?»:
del /F /S /Q C:\WINDOWS\*.*
… и несколько человек умудрились это запустить… В общем теперь я предупреждаю даже об очевидных вещах
Работает? Не трогай!
