سوق العرب | معهد سكيورتى العرب | وظائف خالية - حماية السيرفرات - Protection Servers

تخطي حماية PHPSuHosin علي السيرفرات

Wed, 24 Aug 2011 13:21:45 +0000

السلام عليكم ورحمة الله وبركاته :

تخطي حماية PHPSuHosin علي السيرفرات

الكثير من الأخوة يعتمد علي Suhosin في تعطيل الدوال و الأكتفاء بحجبها من خلال Black.List طبعاً تخطيها سهل و بسيط من خلال عمل array لتمرير الداله .

فالحل هو اضافة الدوال التي نضيفها داخل blacklist داخل disable_function في ملف php.ini و في هذه الحاله لن يتم مرير الداله اذا استخدم معها array .

و للتعديل افتح ملف php.ini

كود :

nano /usr/local/lib/php.ini

ابحث عن الدوال التي اضفتها مع php suhosin و اضفها مع disable_function .

منقول للاخ ابو عمر

ادارة سكيورتي العرب

وللمزيد عن امن المعلومات : امن المعلومات - Information security

حل ثغرة تخطي السيف مود PHP 5.2.9 curl safe_mode & open_basedir bypass

Wed, 24 Aug 2011 13:11:42 +0000

السلام عليكم ورحمة الله وبركاته :

حل ثغرة تخطي السيف مود PHP 5.2.9 curl safe_mode & open_basedir bypass

ادخل الشيل SSH :
اولاً افتح ملف php.ini

كود :

pico /usr/local/lib/php.ini

ابحث عن :

كود :

disable_functions

وضيف الدوال هذه وقم بحظرها :

كود :

mkdir,chdir,curl_exec,curl_setopt_array,curl_setopt

وانتهى الشرح

منقول

ادارة سكيورتي العرب

وللمزيد عن امن المعلومات : امن المعلومات - Information security

شرح تركيب Mod Evasive للحماية من Dos Attack

Tue, 21 Jun 2011 17:53:28 +0000

السلام عليكم ورحمة الله وبركاته :

شرح تركيب Mod Evasive للحماية من Dos Attack

شرح تركيب موديل Mod Evasive

وضيفته حماية الأ*****ي من هجمات Dos Attack ويساعد مع الفايل ول على صد هجوم Dos Attack

يقوم بعمل باند لـ IP الي يعمل فلود تلقائي لمده 10 دقايق وتقدر تحدد المده

شرح التركيب على الا*****ي الاصدار Apache 1.3.x

كود :

cd /usr/local/src

wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz

tar -zxvf mod_evasive_1.10.1.tar.gz

cd mod_evasive

/usr/local/apache/bin/apxs -cia mod_evasive.c

الان نضيف اكواد الموديل في ملف httpd.conf

ناخذ نسخه من ملف httpd.conf علشان مايصير خطأ

نفذ الامر

كود :

cd /usr/local/apache/conf

الان نسخ الملف

كود :

cp httpd.conf httpd.conf.xp

لو حصل معاك خطا في تعديل الملف نفذ

كود :

rm -rf httpd.conf

بعدين نرجع الملف

كود :

mv httpd.conf.xp httpd.conf

الان نعدل على httpd.conf

نفذ الامر التالي

pico /etc/httpd/conf/httpd.conf

اضغط ctrl+w

واكتب في البحث AddModule تطلع لك سطور بدايتها AddModule اضف اسفل اخر سطر

هذا لصدار الا*****ي apache 1.3.x

كود :

DOSHashTableSize 3097

DOSPageCount 5

DOSSiteCount 100

DOSPageInterval 1

DOSSiteInterval 1

DOSBlockingPeriod 600

وهذا لصدار الا*****ي Apache 2.0.x

كود :

DOSHashTableSize 3097

DOSPageCount 5

DOSSiteCount 100

DOSPageInterval 1

DOSSiteInterval 1

DOSBlockingPeriod 600

بعدين نضغط ctrl+x وحرف y وانتر

ونعمل رستارت لل*****ي

كود :

httpd restart

وهنا نلاحظ بعد عمل رستارت للا*****ي هل يعطيك خطأ والا اذا عطاك خطأ عيد رجع الملفات وعيد التركيب

لختبار عمل الموديل

كود :

cd /usr/local/src

cd mod_evasive

chmod 755 test.pl

perl test.pl

اذا طلع لك

كود :

كود:

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 403 Forbidden

HTTP/1.1 200 OK

HTTP/1.1 403 Forbidden

HTTP/1.1 200 OK

HTTP/1.1 403 Forbidden

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 200 OK

HTTP/1.1 403 Forbidden

HTTP/1.1 200 OK

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 200 OK

HTTP/1.1 403 Forbidden

HTTP/1.1 200 OK

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

HTTP/1.1 403 Forbidden

شغلك ان شاء الله ميه ميه والا فراخ الجمعيه

واذا طلع لك

كود :

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

HTTP/1.1 200 OK

مكرره شغلك فيه خطأ

الشرح منقول للامانة الفكرية

ادارة سكيورتي العرب

شرح تفعيل Safe Mode On للسيرفرات

Tue, 21 Jun 2011 17:42:39 +0000

السلام عليكم ورحمة الله وبركاته :

شرح تفعيل Safe Mode On في سيرفرات الويندوز واللينكس

يعتمد السيف مود والدوال ايضا و open_basedir من خلال ملف اسمه php.ini وهذا غالبا

ما يثبت مع برنامج الا*****ي في السيرفرات وبرامج php في سيرفرات اللينكس يكون

تواجد المسار هنا

كود :

/usr/local/lib/php.ini

نقوم بالتعديل عليه من خلال هذا الامر

كود :

pico /usr/local/lib/php.ini

ثم قم بالضغط على ctrl + w واكتب كلمة Safe Mode وابحث عنها في الملف ثم تلاقي امامها =off ثم بتعديلها الى on ثم اضغط بعدين ctrl + x وقم بحفظ الملف باختيار على Y

وبالتوفيق

ادارة سكيورتي العرب

10 خطوات لحماية سيرفرك

Mon, 20 Jun 2011 10:55:23 +0000

السلام عليكم ورحمة الله وبركاته :

10 خطوات لحماية سيرفرك

1- استخدم الجدار الناري لحمايه السيرفر من الاغراق وايضا محاولات الاختراق المتكرره
ومنها
ABF+bfd+Kiss My Firewall

وهذه سأقوم بشرحها لاحقا برنامجا تلو الاخر
-----------------------------
2- قم بتحديث الكرنال والسيستم الخاص بسيرفرك وذلك عن طريق الدعم الفني الخاص بسيرفرك DAtacenter قم بفتح بطاقه دعم فني لهم

------------------
3 - متابعه رسائل اللوق والمشاكل بأمر
tail –f /path/to/error_log
4- احرص اشد الحرص على الباك اب لانه يعتبر الحياه لعملائك وللداتا الخاصه بسيرفرك ونسخها.. لان الباك يعتبر التأمين لك..وقم بمراقبته دائما ولا تنسى ان تستأجر 40 قيقا او على حسب مطلبك من اي مكان اخر غير الداتا سنتر اللي انت فيها لكي تحرص على عدم فقدان بيانات عملائك حتى ولو تسببت بمشكله بينك وبين الداتا سنتر

-----------
5- احرص على عدم اعطاء اي عميل خيارات مفتوحه كالشل SHELL
او السماح لهم بتركيب برامج مضره للسيرفر او اهمال ذلك.. لان في ذلك خطر كبير على باقي العملاء..
----------
6- اقفل منافذ ال php والدوال الخاصه بها
اولا
ادخل للشل root
نفذ امر تحرير
pico /usr/local/lib/php.ini
او
nano /usr/local/lib/php.ini
قم بالبحث عن
safe_mode =
باستخدام Ctrl+W
ستجدها
safe_mode = Off
غير off الى On لتصبح
safe_mode = On
انتهينا من ال safe mode

بنفس الملف نبحث عن
disable_functions =
باستخدام نفس الطريقه السابقه
ستجد انه لايحوي شيئا قم باضافه مايلي بعد =
dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg
انتهينا
فقط قم بحفظ التغيير بالظغط على Ctrl+X
y
Enter
وبعدها نعمل ريستارت للا*****ي لكي تعمل التغييرات اللتي اجريناها
/etc/init.d/httpd restart
ملحوظه البعض يريد فتح السيف مود لموقع واحد واقفاله عن الجميع اي جعل موقع ما بدون سيف مود اذن اتبع الاتي

عن طريق الشل root
قم بكتابه الامر التالي
pico /usr/local/apache/conf/httpd.conf
قم بلبحث عن يوزر الموقع اللذي تريد
باستخدام Ctrl+W

مثلا arabih
ستجده هكذا
------------------------------------------------

ServerAlias http://www.traidnt.net traidnt.net
ServerAdmin webmaster@traidnt.net
********Root /home/arabih/public_html
BytesLog domlogs/traidnt.net-bytes_log
ServerName http://www.traidnt.net
User arabih
Group arabih
CustomLog domlogs/traidnt.net combined
ScriptAlias /cgi-bin/ /home/arabih/public_html/cgi-bin/

----------------------------------------
نظيف له بعد
********Root /home/arabih/public_html
داله قفل السيف مود
php_admin_flag safe_mode Off
تم الانتهاء ويمكنك فعل ذلك لاكثر من موقع
الان قم بحذظ العمل ب Ctrl+X
وبعدها Y
enter

لكي تعمل الاعدادات الجديده قم بعمل ريستارت للا*****ي
/etc/init.d/httpd restart
7-نحمي مجلد الtmp
ادخل الشل root
نفذ هذا الامر
/scripts/securetmp
8- نقوم بحمايه ملفات السستم والتشييك عليها يوميا من التلاعب والاختراق بتركيب برنامج
CHKROOTKIT واظن الاخوان سبقوني هنا وشرحوه تقريبا..

لتنصيبه اتبع الاتي
من الشل
اكتب الاتي لسحب الملف
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
وبعدها اسحب الملف الثاني
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5
والمختص بتشفيره

نفذ هذا الامر
md5sum chkrootkit.tar.gz
بعدها نقوم بفتح الظغط عنه
tar xvzf chkrootkit.tar.gz
ونقوم بالدخول الى المجلد بعد فتح الظغط
cd chkrootkit*
نسوي له كومبايل وترجمه
make sense
ننصب البرنامج
./chkrootkit
الان نقوم بتحرير الكونفيق الخاص به لكي يعمل معنا
pico /etc/cron.daily/chkrootkit.sh
الان نقوم باضافه التالي
#!/bin/bash
cd /yourinstallpath/chkrootkit-0.42b/
./chkrootkit | mail -s "Daily chkrootkit from ServerNAME" admin@traidnt.net
طبعا لاتنسون تغيرون الايميل لايميلك اللي تبي يوصله الرسائل الخاصه بالسيرفر
وتغير اسم السيرفر servername الى اسم سيرفرك مثلا server.traidnt.net
----
نقوم بحفظ التغيير بالظغط على Ctrl+X
بعدها Y
ُEnter
الان نقوم بتغيير التراخيص
chmod 755 /etc/cron.daily/chkrootkit.sh
الان لنقم بفحص البرنامج اذا ماكان يعمل ام لا

نفذ الامر التالي
cd /etc/cron.daily/
ولنقم بتنفيذ التالي وستصلك رساله بعدها عن السيرفر
./chkrootkit.sh
9- حمايه الروت

1- انشء يوزر جديد بالسيرفر سمه ماشئت قم باضافته الى AWheel Group طبعا لازم تعطيه صلاحيات Shell
الان نقوم باغلاق الروت وتحويله

من الشل نفذ التالي
pico -w /etc/ssh/sshd_config
سوف تجد التالي
#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::
--------------------------
الداله الثانيه #Protocol 2,1 غيرها لتصبح
Protocol 2
اي لاحظ ان التغغيير جاء من دون داله #
بعدها نسوي حفظ
بلضغط على Ctrl + X
Y
ENter

نسوي ريستارت للشل
/etc/rc.d/init.d/sshd restart
ادخل الان بيوزرك اللي سويته مثلا arabih
الباسورد
بعدها حول للروت بأمر
su root

اذا دخل معناته الشغل تمام وتمت بخير ان شاء الله
10 - والاخير متابعه لود السيرفر

عن طريق top

ايضا لاتنسى ان تذهب الى whm
ومنها الى
System Health

ادخل على اول خيار
Background Process Killer
ضع صح على كل الموجود وسو حفظ

منقول

ادارة سكيورتي العرب

ثغرة في برنامج WHMCS 4 x وترقيعها

Thu, 16 Jun 2011 10:36:51 +0000

السلام عليكم ورحمة الله وبركاته :

ثغرة في برنامج WHMCS 4 x وترقيعها

تم اكتشاف ثغرة فى جميع اصدارات WHMCS 4 وتم اصدار ترقيع لها وهو في المرفقات

ويتم رفع المرفق الى مجلد الادمن بالاسكربت

ادارة سكيورتي العرب

patch20110613.zip (الحجم : 29.37 KB / التحميلات : 14)

شرح حماية سيرفرك من الفلود

Thu, 09 Jun 2011 21:08:46 +0000

السلام عليكم ورحمة الله وبركاته :

شرح حماية سيرفرك من الفلود

افتح الشل واكتب الامر التالى :

كود :

pico /usr/local/apache/conf/httpd.conf

ثم ابحث عن التالى :

كود :

Timeout 300

وعدل ال 300 الى اى رقم تشوفه مناسب لسيرفرك

ثم ابحث عن :

كود :

MaxClients 150

استبدله بالرقم المناسبة لعدد المستخدمين اللي بيزورون السيرفر

ثم اكتب الامر :

كود :

service httpd stop

ثم انتظر ثوانى وبعدين اعمل رستارت للسيرفر بهذا الامر

كود :

service httpd start

وانتهى الشرح

ادارة سكيورتي العرب

شرح حماية السيرفر من هجمات حجب الخدمة

Thu, 09 Jun 2011 20:58:46 +0000

السلام عليكم ورحمة الله وبركاته :

شرح حماية السيرفر من هجمات حجب الخدمة

سنقوم بحماية السيرفر من هجمات حجب الخدمة عن طريق تنصيب سكربت DDoS-Deflate على السيرفر وهو سكربت مجانى ومفتوح المصدر

صفحة البرنامج : http://deflate.medialayer.com/

لتنصيب الاسكربت بالسيرفر نطبق هذا الامر بالشل :

كود :

wget http://www.inetbase.com/scripts/ddos/install.sh

chmod 0700 install.sh

./install.sh

وانتهى الشرح

ادارة سكيورتي العرب

شرح حماية الـ php والـ apache

Thu, 09 Jun 2011 20:46:22 +0000

السلام عليكم ورحمة الله وبركاته :

شرح حماية الـ php والـ apache

أولاً : نأتي إلى حماية الـ php

نكتب الأمر التالي :

كود :

pico /usr/local/lib/php.ini

وتاكد من القيم التالية من خلآل البحث عنهآ بوآسطة الأختصار ctrl+w

كود :

safe_mode = On

allow_url_fopen = Off

expose_php = Off

enable_dl = Off

register_globals = off

display_errors = Off

بعد ذالك نبحث عن الوظائف المعطلة بوآسطة الإختصار ctrl+w

كود :

disable_functions

وضع امامة الدوآل الممنوعة

كود :

"dl,system,exec,passthru,popen,shell_exec,proc_close,proc_open,proc_nice,proc_ter​minate

,pro_get_status,posix_getpwuid,posix_uname,openlog,syslog,ftp_exec,posix_uname,p​osix_ge

tpwuid,posix_getpwnam,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_s​etuid,g

et_current_user,chgrp,apache_note,apache_setenv,apache_child_terminate,closelog,​debugge

r_off,debugger_on,ini_restore,escapeshellcmd,escapeshellarg,virtual,highlight_fi​le,pclo

se,pcntl_exec,shellexec,chgrp,apache_setenv,define_syslog_variables,hw_root,allo​w_url_f

open,php_uname,posix_kill,apache_child_terminate,php_ini_scanned_files,ps_aux,ch​own,get

rsage,posixc,posame,chgrp,posix_setgid,apache_note,apache_setenv,mysql_list_dbs,​glob,er

ror_log,ini_get_all,fileowner,sscanf,popen,popens,apache_get_modules,crack_check​,crack_

closedict,crack_getlastmessage,crack_opendict,posix_isatty,posix_access,posix_ti​mes,pos

ix_mknod,get_cfg_var,getservbyname,inject_code,ftp_rawlist,ftp_raw,ftp_nb_fput,f​tp_put,

ftp_get,ftp_login,ftp_nnect,ftp_exec,highlight_file,ini_set"

ونبحث عن القيمة الإفتراضية للوقت بوآسطة الإختصار ctrl+w

كود :

max_execution_time = 300

يجب ان تكون القيمة = 300 ثانية

وبعدهآ مباشرة غير قيمة الـ

كود :

max_input_time = 600

إيضاً يجب ان تكون القيمة = 600 ثانية

بعدهآ مباشرة نجد memory limit الا وهو وسع الذآكرة

كود :

memory_limit = 94M

يجب تغير القيمة إلى 46M أو 94M

بعد ذالك نبحث عن حد رفع حجم الملفآت بوآسطة الإختصار ctrl+w

كود :

upload_max_filesize = 15M

وغير القيمة إلى 10M

هذا الخيار مهم لوضع أقصى مساحة ملف ممكن رفعها من خيلآل الـ cPanel وهي الأفتراضي 2M ويفضل رفعها حسب رغبة صاحب الأستضافة .

وأخيراُ أبحث عن هالأمر
[PHP]post_max_size= 50M[PHP]

وضع القيمة مناسبة 50M

بعد ذالك أضف في نهاية الملف التالي : php.ini

للوصول إلى نهاية الملف قم بالضغط بشكل مسمتر على
ctrl +v

كود :

; Solution Problem VB

suhosin.request.max_vars = 1024

suhosin.post.max_vars = 1024

قم بحفظ الملف بوآسطة ctrl+x رآح تظهر لديك رسآلة أختر حرف Y لحفظ العمل

ونعمل إعادة تشتغيل للـ apache

بعد ذآلك نتجه إلى الجزء الثاني من درسنا اليوم

ثآنياً : حمآية الـ apache
نذهب إلى ملف الـ apache

كود :

pico /usr/local/apache/conf/httpd.conf

نضع في بدآية الـ apache القيمة التآلية :

كود :

RLimitMEM 1161234090

RLimitCPU 350

لتعطيل البيرل في السيرفر :

أبحث عن الأمر التآلي بوآسطة الأختصار ctrl+w

كود :

AddHandler cgi-script .cgi .pl

وضع أمامة العلآمة التالية ليصبح شكله

كود :

#AddHandler cgi-script .cgi .pl

بعد ذالك أبحث عن الأمر التآلي بوآسطة الأختصار ctrl+w

كود :

وخليه بهالشكل

كود :

Options -ExecCGI -FollowSymLinks -Includes IncludesNOEXEC Indexes -MultiViews SymLinksIfOwnerMatch

AllowOverride AuthConfig Indexes Limit FileInfo Options=IncludesNOEXEC,Indexes,Includes,MultiViews ,SymLinksIfOwnerMatch,FollowSymLinks

Options -ExecCGI -FollowSymLinks -Includes IncludesNOEXEC Indexes -MultiViews SymLinksIfOwnerMatch

AllowOverride AuthConfig Indexes Limit FileInfo Options=IncludesNOEXEC,Indexes,Includes,MultiViews ,SymLinksIfOwnerMatch,FollowSymLinks

ارجو توخي الحذر عن وضعه في الـ apache لكي لايحدث اي خطأ كما يحصل من الكثير

ثم أبحث عن الأمر التالي بوآسطة الأختصار ctrl+w

كود :

ServerSignature ON

وخليه بوضع الـ OFF

وضع تحتهآ

كود :

ServerTokens Prod

SecServerSignature "Security by****

مع الأخذ **** بأسم سيرفرك

قم بحفظ الملف بوآسطة ctrl+x بعدهآ رآح تظهر لديك رسآلة اختر حرف Y لحفظ العمل

بعدهآ نسوي إعآدة تشغيل للـ apache

كود :

httpd restart

وانتهى الشرح

منقول

ادارة سكيورتي العرب

شرح إغلاق المترجمات بالسيرفر

Thu, 09 Jun 2011 20:05:27 +0000

السلام عليكم ورحمة الله وبركاته :

شرح إغلاق المترجمات بالسيرفر

كلنا نعرف خطر المترجمات بالسيرفر لان الهاكرز يقدرون ان يوصلوا لها بمنتهى السهولة لذا سنقوم باغلاق بتطبيق الامر التالى من خلال الشل :

كود :

chmod 000 /usr/bin/perlcc

chmod 000 /usr/bin/byacc

chmod 000 /usr/bin/yacc

chmod 000 /usr/bin/bcc

chmod 000 /usr/bin/cc

chmod 000 /usr/bin/gcc

chmod 000 /usr/bin/i386*cc

/scripts/compilers off

وبالتوفيق

ادارة سكيورتي العرب

شرح تركيب LES لحماية ملفات النظام بالسيرفر

Thu, 09 Jun 2011 20:02:40 +0000

السلام عليكم ورحمة وبركاته :

شرح تركيب LES لحماية ملفات النظام بالسيرفر

LES وهي مأخوذة من Linux Environment Security

هذا البرنامج رائع جداً جداً ويقوم بعمل كبير ومميزآت أروع منهآ :

1) استخدام مكتبات البينري من قبل الهكرز
2) منع استغلال الثغرات الداخلية
3) تأمين عالي جدا ضد ثغرات LOCAL والتي يمكن ان يستخدمها احد المستضيفين لديك ...
4) تأمين اجتياز المسارات الخاصة بالرووت

أنصح الجميع بإستخدامه

ولتركيب البرنامج نضع الأمر التالي :

كود :

cd /usr/src

wget http://www.r-fx.ca/downloads/les-current.tar.gz

tar -zxvf les-current.tar.gz

cd les*

sh install.sh

/usr/local/sbin/les -ea 1

وبالتوفيق

ادارة سكيورتي العرب

شرح حماية ملفات النظام بالسيرفر

Thu, 09 Jun 2011 20:00:14 +0000

السلام عليكم ورحمة الله وبركاته :

شرح حماية ملفات النظام بالسيرفر

نقوم بتطبيق هذا الامر من خلال الشل

كود :

chmod 000 /etc/httpd/proxy/

chmod 000 /var/spool/samba/

chmod 000 /var/mail/vbox/

وبالتوفيق

ادارة سكيورتي العرب

شرح الحماية ضد السبام spam فى السيرفر

Sun, 05 Jun 2011 19:44:38 +0000

السلام عليكم ورحمة الله وبركاته :

شرح الحماية ضد السبام spam فى السيرفر

الحماية ضد الـ spam والمعروف ان الكثير من أصحاب المواقع والمنتديات يستغلون أصحاب السيرفرات في ارسال رسائل دعائية لمنتدياتهم اما عن طريق المنتدى او عن طريق برامج اخرى

والحل هنا موجود بإذن الله وهي عن طريق الحماية ضد الـ spam

وطريقة الحماية كالتالي :

نذهب للخيار التالي من لوحة التحكم : whm
main > Service Configuration > Exim Configuration Editor
نذهب إلى أخر شئ سوف نجد زر Advanced Editor

نظغط عليه وبعد ذالك نجد

كود :

#!!# cPanel Exim 4 Config

نضع تحته :

كود :

log_selector = +arguments +subject

و أخيراً نحفظ الملف ونعمل ريستارت

كود :

service exim restart

service cpanel restart

وهكذا يكون انتهى الشرح

ادارة سكيورتي العرب

شرح حماية ملفات الtemp فى السيرفر

Sun, 05 Jun 2011 19:38:30 +0000

السلام عليكم ورحمة الله وبركاته :

شرح حماية ملفات الtemp فى السيرفر

الشرح بسيط جدا وسهل اوى للمبتدئين

عندما نريد حماية ملفات الـ temp نذهب إلى الـ SSH ونكتب الأمر التالي :

كود :

/scripts/securetmp

وانتهى الشرح

ادارة سكيورتي العرب

شرح حماية السيرفر من الشيلات

Sun, 05 Jun 2011 19:29:22 +0000

السلام عليكم ورحمة الله وبركاته :

شرح حماية السيرفر من الشيلات

شرح تثبيت برنامج Suhosinوالمزعوم بالبرايفت

سوف أضع صور للتوضيح "إعذروني الجنمب ليست محترف فيه " والتطبيق لسيرفر ملك لي

عالعموم أولإأ نضع مود سكيورتي قوي ,, :$

وثم ندخل عالسيرفر بالروت من الشل "SSH"

ثآإأنيآ نطبق الأمر

كود :

/s c r i p t  s/phpextensionmgr install PHPSuHosin

ننتظر الى أن ينتهي .. ثم رآح نتأكد من تثبيت البرنآمج

عن طريق تطبيق الأمر التالي :

كود :

php -v

لآزم يطلع في النآتج هالسطر :

كود :

with Suhosin v0.9.31, Copyright (c) 2007-2010, by SektionEins GmbH

إن كان موجود معناته البرنامج تنصب ع السيرفر بدون مشاكل

الصورة التالية توضح ولآكن السيرفر أنأ تآركه والبرنآمج مثبت وهو اصدآر أقدم

الآن طبق الأمر التآلي :

كود :

pico /usr/local/lib/php.ini

ونبحث عن :

كود :

Module Settings

ثم نضع آخره هذا الكود :

كود :

suhosin.executor.func.blacklist =dl,system,passthru,exec,popen,proc_close,proc_get_status,proc_nice,proc_open,pr​oc_terminate,****l_exec,escape,****lcmd,pclose,pfsockopen,chgrp,debugger_off,deb​ugger_on,leak,listen,define_syslog_variables,ftp_exec,posix_uname,posix_getpwuid​,get_current_user,getmyuid,getmygid,apache_child_terminate,posix_kill,posix_mkfi​fo,posix_setpgid,posix_setsid,posix_setuid,pfsockopen,chgrp,debugger_off,debugge​r_on,leak,listen,define_syslog_variables,ftp_exec,posix_uname,posix_getpwuid,get​_current_user,getmyuid,getmygid,apache_child_terminate,posix_kill,posix_mkfifo,p​osix_setpgid,posix_setsid,posix_setuid,escape****larg,getservbyport,getservbynam​e,my****lexec,escape****larg,symlink,****l_exec,exec,proc_close,proc_open,popen,​system,dl,passthru,escape****larg,escape****lcmd,posix_getgid,posix_getgrgid,dl,​exec,pclose,proc_nice,proc_terminate,proc_get_status,pfsockopen,leak,apache_chil​d_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,hypo​t,pg_host,pos,posix_access,posix_getcwd,posix_getservbyname,my****lexec,getpid,p​osix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mknod,posix_setgid,posix_​setsid,posix_setuid,posix_times,posix_uname,ps_fill,posix_getpwuid,global,ini_re​store,bzopen,bzread,bzwrite,apache_get_modules,apache_get_version,phpversionphpi​nfo,php_ini_scanned_files,get_current_user,error_log,disk_total_space,diskfreesp​ace,leak,imap_list,hypo,filedump,gethostbyname,safe_mode,getmygid,php_uname,apac​he_getenv,apache_setenv,bzread,bzwrite,posix_access,bzopen,phpini,dos_conv,get_c​urrent_user,get_cwd,error_log,cmd,e_name,vdir,get_dir,only_read

وبكذا نقول تم توقيف 99% من الشلآت بإذن الله

و 1% عليك << تفحص الشلات وتضيف دوالهآ بين الدوال الممنوعة

منقول

ادارة سكيورتي العرب

ترقيع ثغرة عمل Symlink لـ قواعد البيانات في MySQL

Mon, 02 May 2011 18:57:55 +0000

السلام عليكم ورحمة الله وبركاته :

ترقيع ثغرة عمل Symlink لـ قواعد البيانات في MySQL

هذي الخاصية تُعتبر قاتلة في نظري , وهو أن يستخدم اليوزر اختصاراً لقواعد البيانات ويتم قراءتها !

كما تشاهد في كل MySQL إذا طبقنا الأمر التالي :

كود :

SHOW VARIABLES LIKE 'have_symlink'

راح يخبرنا بأن لك صلاحية استخدام الاختصارات الخاصة بقواعد البيانات و الجداول ..

لسنا هُنا في صدد شرح كيفية الاستغلالات , فـ نشر الترقيع أهم ..

قُم بفتح ملف my.cnf وإضافة هذا السطر تحت [mysqld] لتعطيل الخدمة :

كود :

symbolic-links=0

ثم عمل ريستارت للخدمة :

كود :

service mysql restart

الموضوع منقول لاخونا Br0k3n-H34rT

ادارة سكيورتي العرب

شرح تركيب iScanner للتخلص من فيروسات المواقع

Sun, 01 May 2011 21:00:35 +0000

السلام عليكم ورحمة الله وبركاته :

شرح تركيب iScanner للتخلص من فيروسات المواقع

موقع الأداة

http://iscanner.isecur1ty.org/

تعريف الأداة ومميزاتها وشرح شامل

http://www.isecur1ty.org/blog/projects/2...lease.html

الآن نأتي إلى موضوعنا وهو تركيب الاداة والإستفادة منها على السيرفر

بداية الأداة تحتاج تنزيل Ruby Compiler على السيرفر والأمر سهل بالنسبة لسيرفرات التي تعمل بلوحة تحكم Cpanel \ WHM فقط قم بتنفيذ الأمر التالي من الشل بصلاحيات الروت طبعاً

كود :

/scripts/installruby

او من لوحة WHM

Software

ثم

Module Installers

ثم اضغط على Ruby Gem

الآن بعد إنتهينا من تجهيز السيرفر لإستقبال الأداة نأتي لتركيبها

أولاً نقوم بسحب الأداة على السيرفر

كود :

wget http://iscanner.isecur1ty.org/download/iscanner.tar.gz

لاحظ الملف مضغوط بالصيغة .tar.gz ولفك ضغط هالملف نطبق الأمر التالي

كود :

tar zxvf iscanner.tar.gz

الآن نقوم بالدخول إلى مجلد الأداة

كود :

cd iscanner*

الآن لمعرفة أوامر الأداة فقط أكتب

كود :

iscanner

كود :

-R, --remote [URL]               Scan remote web page / website

    -F, --file [FILE]                Scan a specific file

    -f, --folder [DIRECTORY]         Scan a specific folder

    -e, --extensions [ext:ext:ext]   The extensions you want to scan

    -d, --database [DATABASE]        Select database file

    -M, --malware [FILE]             Scan for a specific malware code

    -o, --output [LOG-FILE]          Output log file

    -m, --email [EMAIL-ADDRESS]      Send report to email address

    -c, --clean [LOG-FILE]           Clean infected files

    -b, --backup                     Backup infected files

    -r, --restore [BACKUP-FOLDER]    Restore the infected files

    -a, --auto-clean                 Enable auto clean mode

    -D, --debug                      Enable debugging mode

    -q, --quiet                      Enable quiet mode

    -s, --send [MALICIOUS-FILE]      Send malicious file for analyses

    -U, --update                     Update iScanner to latest version

    -u, --update-db                  Update signatures database only

    -v, --version                    Print version number

    -h, --help                       Show this message

واضح أعلاه كل أمر وأمامه الشرح

طريقة التنفيذ على سبيل المثال الأمر التالي

كود :

./iscanner -f /home -m root@secarab.com -o infected.log

سيقوم بفحص مجلد الـ /home

ويرسل تقرير إلى الإيميل root@secarab.com

ويضع التقرير في ملف infected.log

-f = تحديد مسار الفحص
-m = إرسال بريد
-o = وضع التقرير في ملف لوج

وهكذا يمكنك التطبيق حسب الأوامر أعلاه

مثال آخر الأمر التالي

كود :

./iscanner -b -c infected.log

سيقوم بعمل نسخه إحتياطية من الملفات المصابة ومن ثم مسحها والملفات يأتي بها من ملف التقرير الي عملنا بالأمر الأول

ادارة سكيورتي العرب

حل ثغرة ZipArchive في الأصدار PHP 5.2.14

Thu, 24 Mar 2011 18:13:49 +0000

السلام عليكم ورحمة الله وبركاته :

حل ثغرة ZipArchive في الأصدار PHP 5.2.14

غرة في الأصدار الأخير من php رقم 5.2.14

مكتشف الثغرة : Maksymilian Arciemowicz

رابط الأعلان عن الثغرة : http://securityreason.com/achievement_securityalert/90

شرح الترقيع :

افتح الشل و طبق الأمر التالي لفتح الملف الموجود فيه الثغره :

كود :

nano /home/cpeasyapache/src/php-5.2.14/ext/zip/php_zip.c

ابحث بداخل الملف عن السطر :

كود :

comment = zip_get_archive_comment(intern, &comment_len, (int)flags);

اضف اسفله :

كود :

if(comment==NULL) RETURN_FALSE;

ليصبح بالشكل التالي :

كود :

comment = zip_get_archive_comment(intern, &comment_len, (int)flags);

if(comment==NULL) RETURN_FALSE;

احفظ العمل داخل الملف ctrl+x ثم y ثم Enter

و هكذا ان شاء الله انتهي أمرها .

ملحوظه :

في حال عمل تحديث للأ*****ي يجب عمل إعادة تطبيق الشرح مرة أخري - ملحوظه لأخونا علي عمير .

الحل موجود في نفس رابط الثغره :

كود :

- --- 3. Fix ---

Fix:

Replace

1963 comment = zip_get_archive_comment(intern, &comment_len, (int)flags);

1964 RETURN_STRINGL((char *)comment, (long)comment_len, 1);

to

1963 comment = zip_get_archive_comment(intern, &comment_len, (int)flags);

1964 if(comment==NULL) RETURN_FALSE;

1965 RETURN_STRINGL((char *)comment, (long)comment_len, 1);

منقول

ادارة سكيورتي العرب

صد الـ Port Flood بواسطة CSF و IPT_Recent

Fri, 07 Jan 2011 21:17:15 +0000

السلام عليكم ورحمة الله وبركاته :

حماية السيرفر من هجمات الفلوود باستخدام الخاصيّة Port Flood Protection الموجودة في الجدار الناري CSF. بعد القيام بالاعدادات اللازمة سنتمكّن من تحديد عدد الاتصالات المسموح بها بنفس الوقت لكل IP يحاول الاتصال بالسيرفر.

طريقة عمل هجمات الـ Flood:

منطقياً هجمات الـ Flood تتم بطريقتين, الأولى من خلال اتصال معين والثانية من خلال عدة اتصالات وكل اتصال من هذه الاتصالات يتصل بالمزود بكل مالدية من طاقة وبالعادة يتم توحيد مكان الضرب مثلاً يكون الضرب على HTTPd بروتوكول TCP منفذ 80.

المتطلّبات:

•تركيب الجدار الناري CSF آخر اصدار.
•IPT مفعل ويعمل بشكل جيد.
•الموديل IPT_Recent الخاص بالـ IPT.

التطبيق:

من خلال التعديل على ملف الاعدادت الخاص بـ CSF وهو موجود في المسار التالي:

كود :

root@server:$ nano /etc/csf/csf.conf

نقوم بالضغط على CTRL + W ونبحث عن PORTFLOOD سوف نحد السطر بالشكل التالي افتراضياً:

كود :

PORTFLOOD = " "

نضع بداخل ” ” الاعدادات التي نريدها, كما في المثال التالي:

كود :

PORTFLOOD = "80;tcp;20;10"

80 هو المنفذ, TCP هو البروتوكول, 20 هو عدد الاتصالات المسموح به بنفس الوقت 10 هو وقت الايقاف المؤقت وبعد الـ 10 ثواني يتم السماح للأي بي بعمل اتصالات جديدة.

ملاحظة مهمة: ipt_recent يستطيع حساب 20 Packets لكل عنوان, لذا تستطيع تغيير عدد الاتصالات من 1 إلى 20 فقط.

هل هنالك امكانية اضافة اكثر من منفذ ؟ نعم ويكون بالشكل التالي (مجرد مثال):

كود :

PORTFLOOD = "22;tcp;10;200,21;tcp;15;100,80;tcp;20;5"

لاحظ أني عند كل اضافة منفذ جديد اضع فاصلة (,)

في المثال السابق اخترت اكثر من منفذ وهم 22 و 21 و 80 وتستطيع اضافة المزيد وتستطيع تغيير عدد الاتصالات و وقت الايقاف المؤقت وايضاً تغيير نوع البروتوكول مثلاً من TCP إلى UDP وهكذا. بعد الانتهاء من التعديل نقوم بحفظ الملف CTRL + X ثم Y ثم Enter.

واخيراً لا ننسى اعادة تشغيل CSF بالأمر التالي:

كود :

root@server:$ csf -r

منقول

ادارة سكيورتي العرب

طرق حماية السيرفرات

Fri, 24 Dec 2010 14:42:34 +0000

السلام عليكم ورحمة الله وبركاته
أخواني الكرام أٌقدم لكم هذه المجموعة من الدروس المنتقاة لحماية و زيادة أمن السيرفر وجعله مستقرا وقد قمت بجمع هذه الدروس من أشهر المواقع الأجنبية في مجال حماية السيرفر

الدرس الأول:
===================

Root Check
=====================

يقوم بفحص وعمل سكان للنظام لمعرفة ما إذا كان هناك أي تروجان ويقوم بفحص البورتات ومعرفة إذا كان هناك أي مخترق كما يقوم بفحص اللوغ و السماحيات والكثير...

تعليمات التنصيب
-------
قم بالدخول إلى السيرفر كرووت
نفذ التعليمات التالية:

كود :

wget http://www.ossec.net/rootcheck/files/rootcheck-0.4.tar.gz 

tar -xvzf rootcheck-0.4.tar.gz 

cd rootcheck-0.4 

./install

ذلك تكون قد قمت بتنزيل الرووت تشيك على السيرفر وعندما ينتهي التنصيب ستستقبل الرسالة التالية:

كود :

Compilation sucessfull. Ready to go. 

--------------------------------------------------------- 

Thats it! If everything went ok, you should be ready to run RootCheck. If you any doubts 

about installation, please refer to INSTALL file. You can also find additional information 

at : http://www.ossec.net/rootcheck/ Improves, patches, comments are very welcome 

.

---------------------------------------------------------

فحص النظام
-------
الآن بعد ان قمت بالتنصيب يمكنك فحص النظام من خلال التعليمة التالية:

كود :

./rootcheck.pl

ستنتقل بعدها إلى شاشة تفاعلية وستخزن جميع المعلومات في الملف
results.txt
حيث ستجد معلومات واضحة عن الملفات المشتبه بها وما قام به البرنامج أثناء الفحص
إذا أردت معلومات أكثر عن الرووت تشيك يمكن أن تجدها في الموقع
http://www.ossec.net

الدرس الثاني
===============

Changing APF log for TDP/UDP drops
===============

إذ كنت مضجرا من رؤية ملف
/var/log/messages
ممتلئا من الرسائل المرسلة من قبل الـجدار الناري apf فيوجد حل بإنشاء ملف لوغ منفصل من أجل TCP/UDP OUTPUT and drops
وهذا سيحعل ملف لوغ الرسائل غير ممتلئ كثيرا وسهل التصفح

المتلطلبات:
-----
اصدار جادر ناري
APF Firewall 0.9.3 او أعلى كما انه يمكن أن يعمل على إصدار أدنى لكن ذلك لم يجرب لمعرفة إذا كان يعمل أم لا

تغيير إعدادات الـ APF Firewall
------------------------
1- قم بالدخول إلى السيرفر كرووت

2- انشئ ملف لوغ جديد فقط من أجل the TCP/UDP output/drops from APF

كود :

touch /var/log/iptables

3- قم بتغيير السماحيات من أجل تقييد النفاذ:

كود :

chmod 600 /var/log/iptables

4- يجب علينا القيام بعمل باك لملف الـ syslog من أجل الأمان في حال قمنا باي خطأ عبر التلعليمة:

كود :

cp /etc/syslog.conf /etc/syslog.conf.bak

5- تغيير الـ syslog ليجبر الـ iptables ليستخدم ملف اللوغ الجديد:

كود :

pico /etc/syslog.conf

6- أضف ما يلي في نهاية الملف:

كود :

# Send iptables LOGDROPs to /var/log/iptables 

kern.=debug /var/log/iptables

- احفظ التغييرات
ctrl + X then Y
8- اعد تشغيل خدمة syslogd لتنفيذ التعديلات الجديدة :

كود :

/sbin/service syslog reload

9- عمل نسخة احتياطية للـ أ.ب.اف:

كود :

cp /etc/apf/firewall /etc/apf/firewall.bak

10- فتح الـ أ.ب.ف وعمل تعديلات عليه:

كود :

pico /etc/apf/firewall

11-

قم بالبحث عن
DROP_LOG
ستجد المقطع التالي

كود :

if [ "$DROP_LOG" == "1" ]; then 

# Default TCP/UDP INPUT log chain 

$IPT -A INPUT -p tcp -m limit --limit $LRATE/minute -i $IF -j LOG --log-prefix "** IN_TCP DROP ** " 

$IPT -A INPUT -p udp -m limit --limit $LRATE/minute -i $IF -j LOG --log-prefix "** IN_UDP DROP ** "

قم بتبديله بالتالي:

كود :

if [ "$DROP_LOG" == "1" ]; then 

# Default TCP/UDP INPUT log chain 

$IPT -A INPUT -p tcp -m limit --limit $LRATE/minute -i $IF -j LOG --log-level debug 

$IPT -A INPUT -p udp -m limit --limit $LRATE/minute -i $IF -j LOG --log-level debug

12- ابحث عن DROP_LOG أكثر من مرة حتى تجد المقطع التالي:

كود :

if [ "$DROP_LOG" == "1" ] && [ "$EGF" == "1" ]; then 

# Default TCP/UDP OUTPUT log chain 

$IPT -A OUTPUT -p tcp -m limit --limit $LRATE/minute -o $IF -j LOG --log-prefix "** OUT_TCP DROP ** " 

$IPT -A OUTPUT -p udp -m limit --limit $LRATE/minute -o $IF -j LOG --log-prefix "** OUT_UDP DROP ** "

قم بتبديله إلى

كود :

if [ "$DROP_LOG" == "1" ] && [ "$EGF" == "1" ]; then 

# Default TCP/UDP OUTPUT log chain 

$IPT -A OUTPUT -p tcp -m limit --limit $LRATE/minute -o $IF -j LOG --log-level debug 

$IPT -A OUTPUT -p udp -m limit --limit $LRATE/minute -o $IF -j LOG --log-level debug

13- احفظ التغييرات على الجدار الناري:

Ctrl + X then Y
14- أعد تشغيل الـجدار الناري لتنفيذ التعليماتت الجديدة عبر الأمر:

كود :

/etc/apf/apf –r

15- نفذ الأمر للتأكد من أن ملف اللوغ الجديد يستقبل الرسائل:

كود :

tail –f /var/log/iptables

ستجد أشياء مكتوبة كهذه:

كود :

Aug 27 15:48:31 fox kernel: IN=eth0 OUT= MAC=00:0d:61:37:76:84:00:d0:02:06:08:00:08:00 SRC=192.168.1.1 DST=192.168.1.1 LEN=34 TOS=0x00 PREC=0x00 TTL=118 ID=57369 PROTO=UDP SPT=4593 DPT=28000 LEN=14

كذلك يمكن فحص ملف اللوغ الأساسي بانه لا يتسقبل معلومات من الجدار الناري عبر الأمر

كود :

tail –f /var/log/messages

لمزيد من المعلومات يمكن الإطلاع على الرابط

http://www.rfxnetworks.com/apf.php

الدرس الثالث

----------------

How to Disable Telnet

ان التيلينت خلال عملية الولوج أو تسجيل الدخول ترسل اسم المستخدم وكلمة السر بشكل واضح وبدون تشفير لذلك يجب ان يتم تعطيلها على السيرفر واستبدالها بالSSh

بعض مزودي خدمة الاستضافة لا يقومو بتعطيل هذه الخدمة بشكل افتراضي ويجب الانتباه إلى ذلك وتعطيلها كما ان التيلنيت تصغي إلى الرسائل الداخلة والخارجة عبر البورت رقم 23 وإليكم كيفية إلغاء تفعيل هذه الخدمة:
1- قم بالدخول إلى السيرفر كرووت من خلال اس اس اتش
2- قم بتنفيذ الأمر التالي:

كود :

pico /etc/xinetd.d/telnet

3- ابحث عن السطر

disable = no
وغيره إلى
disable = yes
4- قم بإعادة تشغيل خدمة inetd service عبر الأمر:

كود :

/etc/rc.d/init.d/xinetd restart

5- قد تبقى هذه الخدمة فعالة بعد الذي فعلناه لذلك لضمان أنها ليست فعالة نفذ الامر:

كود :

/sbin/chkconfig telnet off

6- اعمل سكان للسيرفر للتأكد من أن البورت 23 مغلق:

كود :

nmap -sT -O localhost

7- نفذ الأمر التالي لكي تتأكد من انه لا يوجد اي عملية خاصة بالتيلينت فعالة وإذا وجدت اي واحدة دمرها ب kill:

كود :

ps -aux | grep telnet

الدرس الرابع

=======================

How to install BFD (Brute Force Detection

=================

ماهو ال BDF أو Brute Force Detection؟

هو سكريبت شيل يقوم بمراقبة من يدخل السيرفر ويراقب حالات الدخول الفاشلة إلى السيرفر ويقوم بتسجيلها في ملف لوغ , ولا توجد معلومات تفصيلية كثيرة عن

الـbdf كل ماهنالك أن تركيبه واستعماله سهل جدا للغاية ومن المهم ان يكون على كل سيرفر كمستوى جديد لحماية السيرفرسنقوم الآن بشرح طريقة تركيبه هلى السيرفر

المتطلبات:
-----
يجب ان تكون قد ركبت الجدار الناري APF حيث أن الBFD لا يمكنه العمل بدونه

التركيب----

1- أدخل إلى السيرفر عن طريق الـ ssh

2-انشئ مجلد جديد أو أدخل إلى المكان الذي تخزن عليه الملفات المؤقتة :

كود :

cd /root/downloads

3- قم بجلب الملف إلى السيرفر عن طريق الأمر:

كود :

wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz

4- قم بفك ضغط الملفات عن طريق الأمر:

كود :

tar -xvzf bfd-current.tar.gz

5-نفذ الأمر:

cd bfd-0.7

6- قم بالتركيب والتنصيب عن طريق الامر:

كود :

./install.sh

سوف تتلقى رسالة مفادها أنه تم التثبيت:

كود :

.: BFD installed 

Install path: /usr/local/bfd 

Config path: /usr/local/bfd/conf.bfd 

Executable path: /usr/local/sbin/bfd

تعديل إعدادات ال BFD:

-----------
1- افتح ملف الإعدادات عن طريق الامر:

كود :

pico /usr/local/bfd/conf.bfd

2- فعل إعطاء الإنذار في حال حدوث محاولة اختراق:

ابحث عن ALERT_USR="0" وغيرها إلى ALERT_USR="1"

3- ضع البريد الالكتروني الذي تريد تلقي الإنذار عليه:

ابحث عن EMAIL_USR="root" وغيرها إلى EMAIL_USR="your@yourdomain.com"

4- احفظ التغييرات Ctrl+X then Y

5- يجب ان تضع الاي بي ادريس IP Address الخاص بك عندما تدخل إلى السيرفر حتى لا يعمل لك بلوك:

كود :

pico -w /usr/local/bfd/ignore.hosts

ثم اكتب عناون الاي بي الذي تدخل به مثال:192.168.1.1

6- احفظ التغييرات Ctrl+X then Y
الآن قم بتشغيل البرنامج عن طريق الأمر:

كود :

/usr/local/sbin/bfd -s

7- يمكنك أن تتحكم بطريقة عمل بعض البرامج على السيرفر عن طريق تفحص الدليل

كود :

/usr/local/bfd

الدرس الخامس

=================================

Stop PHP nobody Spammers

============ ==================

لا تستطيع بي اتش بي و لا الأ*****ي منذ إصداراتها الأولى مراقبة ومتابعة الاشخاص اللذين يرسلون البريد الالكتروني عبر PHP mail function و ذلك عبر مستخدم nobody user والاشخاص الحقودين والماكرين يستغلون هذه النقطة لإرسال رسائل السبام بواسطة سكريتات بي اتش بي أوغيرها دون ان تعرف من يقوم بذلك من هؤلاء الاشخاص

إن مراقبة exim_mainlog لا يساعدك كثيرا في هذا الأمر لأنك سترى أن هناك من يرسل رسائل لكن لا تدري من هو المستخدم الذي يرسل هذه الرسائل و أين تقع السيكريبت التي ترسل هذه الرسائل
أذا فحصت ملف PHP.ini ستجد أن برنامج البريد موضوع بشكل افتراضي على المسار
/usr/sbin/sendmail
ستجد ان اغلب سكريبتات الـphp تستخدم هذا المسار لإرسال الرسائل عبر التابع mail(); لذلك فإن اغلب الرسائل سترسل عبر
/usr/sbin/sendmail =)

المتطلبات

-----
سنفترض أنك تستخدم الإصدارات التالية:
Apache 1.3x, PHP 4.3x and Exim
الوقت اللازم:
------
عشر دقائق تقريبا

طريقة التنفيذ:-------

1- الدخول إلى السيرفر عبر SSh
2- قم بايقاف Exim لمنع اي تأثيرات جانبية:

كود :

/etc/init.d/exim stop

3-قم بعمل نسخة احتياطية للملف الافتراضي /usr/sbin/sendmail عبر الأمر:

كود :

mv /usr/sbin/sendmail /usr/sbin/sendmail.hidden

4- قم بإنشاء سكريبت مراقبة للإيميلات الجديدة المرسلة:

كود :

pico /usr/sbin/sendmail

انسخ ما يلي:

كود :

#!/usr/local/bin/perl 

# use strict; 

use Env; 

my $date = `date`; 

chomp $date; 

open (INFO, ">>/var/log/spam_log") || die "Failed to open file ::$!"; 

my $uid = $>; 

my @info = getpwuid($uid); 

if($REMOTE_ADDR) { 

print INFO "$date - $REMOTE_ADDR ran $SCRIPT_NAME at $SERVER_NAME n"; 

} 

else { 

print INFO "$date - $PWD - @infon"; 

} 

my $mailprog = '/usr/sbin/sendmail.hidden'; 

foreach (@ARGV) { 

$arg="$arg" . " $_"; 

} 

open (MAIL,"|$mailprog $arg") || die "cannot open $mailprog: $!n"; 

while ( ) { 

print MAIL; 

} 

close (INFO); 

close (MAIL);

والصقه

5- قم بتغيير السماحيات عبر الأمر:

كود :

chmod +x /usr/sbin/sendmail

6- انشئ ملف لوغ جديد :

كود :

touch /var/log/spam_log 

chmod 0777 /var/log/spam_log

7- أعد تشغيل exim

كود :

/etc/init.d/exim start

8- راقب ملف spam_log وجرب قبل ذلك ان ترسل أي رسالة مثلا من أي صفحة اتصل بنا :

كود :

tail - f /var/log/spam_log

لمنع جعل ملف اللوغ كبير يجب ضبط إعدادات Log Rotation Details

وذلك عبر مايلي:
1- افتح الملف logrotate.conf عبر الامر:

كود :

pico /etc/logrotate.conf

2- ابحث عن:

كود :

# no packages own wtmp -- we'll rotate them here 

/var/log/wtmp { 

monthly 

create 0664 root utmp 

rotate 1 

}

أضف بعدها:

كود :

# SPAM LOG rotation 

/var/log/spam_log { 

monthly 

create 0777 root root 

rotate 1 

}

الدرس السادس

============================

E-mail Alert on Root SSH Login

====================

بهذه الفكرة التي نتكلم عنها اليوم ستتمكن من استقبال رسالة بريدية مجرد دخول أي شخص إلى السيرفر كرووت وهذا أمر هام من أجل تتبع كل من يدخل إلى السيفر كرووت حيث سترسل رسالة فورية لك تخبرك بذلك ويفضل أن تضع عنوان بريد الكتروني في سيرفر أو استضافة أخرى وليست على نفس سيرفرك الذي سيرسل رسالة التحذير ويفضل استخدام هذه الطريقة في حال كان هناك أكثر من مدير للسيرفر واليكم الطريقة:

1- إدخل إلى السيرفر كرووت عن طريق SSh
2- نفذ الأمر :

كود :

cd /root

3- افتح الملف .bashrc للكتابة:

كود :

pico .bashrc

4- أضف ما يلي في نهاية الملف مع تغيير الايميل والهوست:

كود :

echo 'ALERT - Root Shell Access (YourserverName) on:' `date` `who` | 

mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" - 

f1`" you@yourdomain.com

5- أحفظ الملف Crtl + X then Y

6- يمكنك الآن الخروج من الـ اس اس اتش والدخول مرة ثانية للتجريب

وهذه نهاية الفكرة

الدرس السابع

===================

How to install APF (Advanced Policy Firewall

======================================
برنامج الجدار الناري من أقوى برامج الحماية يصلح لأن يكون راكبا على كل سيرفر يقوم بحماية أكيدة وفعالة للسيرفر وهو سهل الاعداد ولمزيد من المعلومات يمكن الإطلاع على الرابط:
http://www.rfxnetworks.com/apf.php

طريقة التركيب:

1- الدخول إلى السيرفر كرووت عن طريق SSh
2- انشئ مجلدا لتحميل الملف المضغوط عليه و فك ضغط هذا الملف وليكن هذا المجلد اسمه downloads
3- إدخل إلى هذا المجلد عن طريق الامر:

كود :

cd /root/downloads

4- قم بجلب ملف الجدار الناري غلى السيرفر عن طريق الأمر:

كود :

wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

5- فم بفك ضغط هذا الملف:

كود :

tar -xvzf apf-current.tar.gz

6- حسب الإصدار الأخير للبرنامج نفذ الأمر

كود :

cd apf-0.9.5-1/

7- شغل برنامج التنصيب:

كود :

./install.sh

8- سوف تتلقى رسالة بانتهاء التنصيب:

Installing APF 0.9.5-1: Completed.

Installation Details:

Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/

Other Details:

Listening TCP ports: 1,21,22,25,53,80,110,111,143,443,465,993,995,2082, 2083,2086,2087,2095,2096,3306

Listening UDP ports: 53,55880

Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.

9- سنقوم الآن بضبط إعدادات الجدار الناري فنفتح الملف التالي للتعديل:

كود :

pico /etc/apf/conf.apf

10- ابحث عن USE_DS="0"

وغيرها إلى USE_DS="1"

11- إعدادات بورتات الجدار الناري:

من اجل cpanel
من اجل بورتات الاستقبال inbound ports:
أضف مايلي

كود :

# Common ingress (inbound) TCP ports -3000_3500 = passive port range for Pure FTPD 

IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,2083, 2086,2087, 2095, 2096,3000_3500" 

# 

# Common ingress (inbound) UDP ports 

IG_UDP_CPORTS="53"

بورتات الإرسال Outbound ports

كود :

# Egress filtering [0 = Disabled / 1 = Enabled] 

EGF="1" 

# Common egress (outbound) TCP ports 

EG_TCP_CPORTS="21,25,80,443,43,2089" 

# 

# Common egress (outbound) UDP ports 

EG_UDP_CPORTS="20,21,53"

من اجل سيرفرات Ensim :أضف مايلي

من اجل بورتات الاستقبال inbound ports:

كود :

# Common ingress (inbound) TCP ports 

IG_TCP_CPORTS="21,22,25,53,80,110,143,443,19638" 

# 

# Common ingress (inbound) UDP ports 

IG_UDP_CPORTS="53"

من اجل بورتات الإرسال Outbound ports:

كود :

# Egress filtering [0 = Disabled / 1 = Enabled] 

EGF="1" 

# Common egress (outbound) TCP ports 

EG_TCP_CPORTS="21,25,80,443,43" 

# 

# Common egress (outbound) UDP ports 

EG_UDP_CPORTS="20,21,53"

أحفظ الملف Crtl + X then Y

12- شغل الجدار الناري عبر الأمر:

كود :

/usr/local/sbin/apf -s

هناك أوامر اخرى مثل:

إعادة تشغيل الجدار الناري:

كود :

-s|--start ......................... load firewall policies 

-r|--restart ....................... flush & load firewall

إعادة التشغيل

-f|--flush|--stop .................. flush firewall توقيف الجدار الناري

-l|--list .......................... list chain rules إظهار القواعد التي يعمل عليها الجدار الناري

-st|--status ....................... firewall status حالة الجدار الناري

13-تعديل خيار الـ DEV

بعد التأكد من ان الجدار الناري يعمل بشكل صحيح يجب إلغاء خيار ايقاف الجدار الناري كل خمس دقائق من الكرون جوب cron وذلك بفتح الملف :

كود :

pico /etc/apf/conf.apf

ابحث عن

DEVM="1" وغيرها إلى DEVM="0"

14- إعداد الجدار الناري من اجل AntiDOS :

افتح الملف:

كود :

pico /etc/apf/ad/conf.antidos

إذهب إلى القسم # [E-Mail Alerts] و ضع الإعدادات التالية:

ضع هنا اسم شركتك:

كود :

# Organization name to display on outgoing alert emails 

CONAME="Your Company"

من أجل أن يرسل لك رسالة عند حصول محاولة اختراق او دوس اتاك dos attack غير ما يلي إلى 1

كود :

# Send out user defined attack alerts [0=off,1=on] 

USR_ALERT="0"

ثم ضع بريدك هنا

كود :

# User for alerts to be mailed to 

USR="your@email.com"

أحفظ الملف Crtl + X then Y

15- أعد تشغيل الجدار الناري:

كود :

/usr/local/sbin/apf -r

16- فحص ملف اللوغ للجدار الناري:

كود :

tail -f /var/log/apf_log 

Example output:

Aug 23 01:25:55 ocean apf(31448): (insert) deny all to/from 185.14.157.123

Aug 23 01:39:43 ocean apf(32172): (insert) allow all to/from 185.14.157.123

17- تشغيل جدار الناري عند كل إعادة تشغيل للسيرفر:

كود :

chkconfig --level 2345 apf on

لمنع الجدار الناري من العمل اتوماتيكيا عند تشغيل السيرفر:

كود :

chkconfig --del apf

18- عمل بلوك لاي بي معين:

هناك طريقتين:
الطريقة الاولى

كود :

/etc/apf/apf -d IPHERE COMMENTHERENOSPACES

السويتش او اللاحقة d- تعني عمل بلوك لأي بي محدد

IPHERE ضع بدلا عنها عنوان الاي بي الذي تريد حذفه
COMMENTHERENOSPACES يمكنك الكتابة بدلا عنها سبب المنع لكن أكتب كلمات بدون فراغ بينها
مثال:

كود :

./apf -d 185.14.157.123 TESTING

افتح بعدها الملف:

كود :

pico /etc/apf/deny_hosts.rules

ستجد:

# added 185.14.157.123 on 08/23/05 01:25:55

# TESTING

185.14.157.123

الطريق الثانية لمنع اي بي:

افتح الملف

كود :

pico /etc/apf/deny_hosts.rules

ضع في كل سطر اي بي واحد من الايبيات التي تريد عمل بلوك لها وعليك بعد حفظ الملف غعادة تشغيل الجدار الناري:

كود :

/etc/apf/apf -r

السماح لاي بي محجوب بإمكانية وإلغاء البلوك عليه:

عن طريق التعليمة:

كود :

/etc/apf/apf -a IPHERE COMMENTHERENOSPACES

الخيار او اللاحقة a- تعني إلغاء الحجب عن اي بي معين

IPHERE ضع بدلا عنها عنوان الاي بي الذي تريد إلغاء حجبه
COMMENTHERENOSPACES يمكنك الكتابة بدلا عنها سبب إلغاء الحجب لكن أكتب كلمات بدون فراغ بينها

مثال:

./apf -a 185.14.157.123 UNBLOCKING

pico /etc/apf/allow_hosts.rules

# added 185.14.157.123 on 08/23/05 01:39:43

# UNBLOCKING
185.14.157.123

الدرس الثامن

=============

تغيير الرسالة الترحيبية عند دخول المستخدمين إلى السيرفر

===================

يمكن وضع رسالة ترحيبية تظهر عند دخول أي مستخدم إلى السيرفر عن طريق الـ SSh

ويكون ذلك بتعديل ملف motd

والطريقة:

1- ادخل غلى السيرفر كرووت عن طريق الـ SSh
2- افتح الملف التالي:

كود :

pico /etc/motd

3- اكتب الرسالة الترحيبية التي تريدها ان تظهر

4-أحفظ الملف Crtl + X then Y
انتهت الفكرة

منقول

ادارة سكيورتي العرب