Как узнать, что идет брутфорс
Защита от перебора пароля

Как узнать, что пытаются взломать root пользователя ssh порт стандартный 22. Выполняем следующую команду:


sudo cat /var/log/secure* | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort -k 1,1M -k 2n | uniq -c

И в моем случае видим:


sudo cat /var/log/secure* | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort -k 1,1M -k 2n | uniq -c
17 Jul 3
2798 Jul 4
896 Jul 5
4441 Jul 6
8712 Jul 7
17261 Jul 8
13638 Jul 9
25532 Jul 10
4160 Jul 11
711 Jul 12
2988 Jul 13
2937 Jul 14
354 Jul 15
333 Jul 16
1302 Jul 17
5065 Jul 18
12575 Jul 19
4879 Jul 20
1958 Jul 21
54 Jul 22
35 Jul 23
69 Jul 24
62 Jul 25
55 Jul 26
35 Jul 27
38 Jul 28
41 Jul 29
65 Jul 30
48 Jul 31
38 Aug 1
49 Aug 2
58 Aug 3
18 Aug 4
31 Aug 5
46 Aug 6

Слева показано к ...
Читать дальше »

Заключительней стадией стало вот подобное наблюдение в логах за прошедшие 3 дня:

cat /var/log/secure|grep fail|wc -l
54887


Видите ли, перебор весьма грозный. Надоело однако. Имеется, конечно, всякие там fail2ban, однако я убежден, что практически все попытки прекратятся после переноса ssh так на 5000-й порт.

Значит так, открываем конфиг:
vi /etc/ssh/sshd_config


Изменяем следующим образом:
Port 2000


Перезапускаем:

/etc/init.d/sshd restart


Вот и все:

netstat -lnpt | grep ssh
tcp 0 0 :::2000 :::* LISTEN 6981/sshd


Теперь же при включении к серверу необходимо указывать порт ключем -p, однако, но зато сохранность станет на большом уровне и ни один человек не будет тянуть огболт глупыми попытками перебора. ...
Читать дальше »

Гиперссылка: http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf (вниманье, 170 листов!)

А короткий набор рекомендаций по сохранности: http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf (советую Абсолютно всем! Впрочем, я склонен думать, не все вслед за тем несомненно)

Зеркала гиперссылок разыскивать тут: http://code.гугл.com/p/fastvps/source/browse/#svn/trunk/other ...
Читать дальше »

В этой очень информационной статье я вкратце шаги для анализа сетевых портов в системах Unix, или для их наличие - уязвимы!Основным инструментом для анализа - это инструмент NetStat. Вы также можете сторонних разработчиков, например, - Nmap.

Начнем с главных ключей NetStat:

[-hide-]-a Показывать состояние всех сокетов;

-i Выдать статистическую информацию обо всех сетевых адаптеров;

-с Непрерывно выдавать информацию о состоянии сети;

-n Показывает IP-адреса удаленной и локальной системы;

-r Показывает таблицу маршрутизации;

-s Показавает статистическую информацию по протоколам;

-t Выдать информацию только о tcp-сокетах;

-u Выдать информацию только о udp-сокетах;

-p Показать имя протокола;

-l Выделить информацию об указанном интерфейсе в отдельный столбец; по умолчанию используется интерфейс с наибольшим объемом переданной информации с момента последней перезагрузки системы.

Далее рассмотрим примеры использование команды netstat:


Посмотреть все п ...
Читать дальше »

Настраиваем Iptables для защиты веб-серверы

Как известно безопасности серверы не легко, но очень нужно, а тем более когда речь идет о веб-сервере, который живет под "огонь" izvne.Dlya защитить наши серверы использовать IPTables (как вы поняли, в статья будет сосредоточена на Linux).

Принципы IPTables, а также все ключи, я не буду описывать здесь, статей в интернете море. Предполагается, ,что вы используете IPTables, даже минимально. Но, не зная предмета не помешает вам настраивать защиту, потому ,что все команды проверены на реальной системе и успешно работают.

И так, начнем писать правила:


[-hide-]1. Первым делом очистим существующую таблицу правил:

# iptables -F

2. Добавляем первое правило которое позволяет нам не потерять удаленный контроль на сервером (по умолчанию порт SSH – 22, у вас может быть другой):

# iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
3. Прописываем политики по умолчанию:

# iptables -P INPUT DROP

# iptables -P ...
Читать дальше »

Защита БД от sql-инъекций

Наткнулся на интересную заметку о защите от SQL инъекций с помощью Nginx. Следующая цитата первоначального текста.

Все мы знаем как не приятно, когда злоумышленник делает sql-инъкцию. Я нашел простое решение, можно избавиться от инъекции SQL, путем фильтрации в Nginx.

SQL-инъекция - вложение вредоносного кода в запрос в базу данных - наиболее опасный вид атаки. С помощью SQL-инъекции, злоумышленник не сможет получить только личную информацию из базы данных, но и, при определенных условиях, ,чтобы сделать изменения.

Все мы знаем, ,что для того ,что-бы взять хоть ,что-то из базы данных, то здесь необходимо подобрать таблицы, а для этого как оычно выполняют команду такого вида:

[-hide-]script.php?bug=-1+UNION+SELECT+1,2,3,4,5

в этом коде фигурируют команды union и select, select – одна из самых значимых команд в mysql, соответственно ,что-бы обезопасить себя нам здесь необходимо блокировать все запросы от клиента с этой командой. Делается это оч ...
Читать дальше »

Итак, сегодня я хотел бы независимого тестирования антивирусного ПО. Этот тест я провел на информации, которую я собрал папа с 346 вирусов в работу компьютеров пользователей. Своего рода небольшая коллекция. Тестирование всех антивирусных продуктов я на Windows XP SP3, x86 и антивирусная система ClamAV потрачены на CentOS 5.5, x86.

Перечень испытательных участников:

[-hide-]1. Антивирус Касперского 2010 (Версия kav 9.0.0.736ru) триальная версия

2. Clamav 0.96 бесплатный

3. Dr.Web Anti-virus for windows PRO 6.0 триальная версия

4. Symantec Endpoint Protection (Версия 11.0.5002.333) Корпоративная версия, закуплена нашей организацией

5. AVG Anti-Virus Free 9.0 (сборка 819) бесплатный

6. Eset NOD 32 Antivirus (версия 4.2.42.3) триальная версия

7. Panda Antivirus Pro 10 (версия 9.01.00) триальная версия

8. Avast! Pro (версия 5.0.545) триальная версия

9. Norton AntiVirus 2010 (версия 17.6.0.32) триальная версия

10. Avira AntiVir Personal RU 9.0.0. ...
Читать дальше »