Установка и настройка Tripwire

Tripwire хранит снимок текущей файловой системы и сообщает о любых изменениях. Файлы конфигурации и базы данных tripwire хранятся в зашифрованном виде.

Установка tripwire в Linux Ubuntu/Debian:

apt-get install tripwire

Во время установки создадим пароль ключа узла и локального ключа.
База данных хранится в директории /var/lib/tripwire/имяхоста.twd
Изменить параметры автозапуска можно в файле /etc/cron.daily/tripwire

Редактируем конфиг /etc/tripwire/twcfg.txt и файл политик /etc/tripwire/twpol.txt
Применяем изменения в файле политик:

sudo tripwire --update-policy /etc/tripwire/twpol.txt

Пример команд для генерации базы данных снимка файловой системы:

sudo tripwire --init
sudo tripwire -m i

Пример команд для запуска проверки:

sudo tripwire --check
sudo tripwire -m c

Отчет будет выведен на экран и сохранен по адресу /var/lib/tripwire/report/имяхоста-дата-время.twr

Пример команды для просмотра отчета:

sudo twprint --print-report -r /var/lib/tripwire/report/имяхоста-дата-время.twr | less

Обновление базы данных снимка файловой системы исходя из отчета:

sudo tripwire -m u -a -r /var/lib/tripwire/report/имяхоста-дата-время.twr

Проверяем приходит ли почта:

tripwire --test --email test@example.net

Просмотр документации:

man tripwire
tripwire --help all

Kак удалить страницу в Facebook?

Первый простой вариант удаления аккаунта в Facebook — перейти по ссылке https://www.facebook.com/help/contact.php?show_form=delete_account, нажать на кнопку «Удалить мой аккаунт», в следующем появившемся окне ввести пароль от страницы, символы с капчи и нажать «ОК».
Если все введено верно, появится сообщение с текстом «Ваш профиль был выключен на сайте и будет полностью удален по окончании последующих 14 дней, в течение которых вы сможете восстановить свой профиль.»

Помощь на Facebook: https://www.facebook.com/help/223786757631885

Настройка IPTables

IPTables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра).

Ключи для работы с цепочками:
-A — добавить новое правило.
-D — удалить правило.
-F — удалить все правила.
-R — замена правила.
-L — вывод списка всех правил.

INPUT — входящий трафик.
OUTPUT — исходящий трафик.
FORWARD — пересылаемый(транзитный) трафик.

Параметры:
-p — протокол, может быть all,icmp,tcp,udp.
-s — ip адрес/хост источника.
-d — ip адрес/хост назначения.
-i — интерфейс на который пришел пакет.
-o — интерфейс с которого уйдет пакет.
—sport — порт источника.
—dport — порт назначения.

Действия:
ACCEPT — разрешить пакеты.
REJECT — блокировать пакеты с сообщением об отказе.
DROP — блокировать пакеты (более приоритетный вариант чем REJECT).

Примеры просмотра правил:

iptables -nvL
iptables -n -L -v --line-numbers
iptables -L INPUT -n -v
iptables -L OUTPUT -n -v --line-numbers
iptables -L OUTPUT -n --line-numbers | less
iptables -L OUTPUT -n --line-numbers | grep 192.168.2.14
iptables -L INPUT --line-numbers

Просмотр NAT правил:

iptables -L -t nat

Примеры удаления правил:

iptables -D INPUT 3
iptables -D INPUT -s 192.168.2.14 -j DROP

Пример удаления и добавления NAT правил:

iptables -t nat -D POSTROUTING -s 172.16.2.0/16 -o eth1 -j SNAT --to-source 192.168.1.251-192.168.1.254 --persistent
iptables -t nat -A POSTROUTING -s 172.16.2.0/17 -o eth1 -j SNAT --to-source 192.168.1.218-192.168.1.222 --persistent

Сброс правил:

iptables -F

Управление службой:

service iptables stop/start/restart/save

Например разрешаем доступ на порт 22 только с определенной подсети (для ssh можно также ограничить конфигом самого ssh):

iptables -A INPUT -d 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT

Лимит подключений на порт 80:

iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/second -j ACCEPT

Пример для FTP сервера:

iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Пример для pop3, pop3s:

iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -j ACCEPT

Пример для imap , imaps:

iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPT

Установка политик по умолчанию на отбрасывание:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Чтобы разрешить ping:

iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

Бан IP:

iptables -A INPUT -s xx.xx.xx.xx -j DROP
Бан подсети:
iptables -A INPUT -s xx.xx.xx.xx/24 -j DROP
Разбан:
iptables -D INPUT -s xx.xx.xx.xx -j DROP

Ограничить количество подключений на определенный порт:

iptables -A INPUT -p tcp -m tcp --dport ПОРТ -m connlimit --connlimit-above КОЛИЧЕСТВО_ПОДКЛЮЧЕНИЙ --connlimit-mask 32 -j DROP
iptables -A INPUT -p tcp -m tcp --dport ПОРТ --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

Вариант запрета сканирования портов (блокируются IP с которых идут пакеты помимо разрешенных портов):

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p all -i ИНТЕРФЕЙС -j ACCEPT
iptables -A OUTPUT -p all -o ИНТЕРФЕЙС -j ACCEPT
iptables -A INPUT -m recent --rcheck --seconds ВРЕМЯ_БАНА_В_СЕК --name STOPSCAN -j DROP
iptables -A INPUT -p tcp -m multiport ! --dports ПОРТ1,ПОРТ2,ПОРТn -m recent --set --name STOPSCAN -j DROP
iptables -A INPUT -p tcp --syn --dport ПОРТ1 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport ПОРТ2 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport ПОРТn -j ACCEPT
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Можно сделать резервную копию правил в файл, а также восстановить их из него командами:

iptables-save > iptables.dump
iptables-restore < iptables.dump

Искать текст по правилам можно так:

iptables-save|grep 172.16.2.0/24

Смотрите также:
Скрипт быстрой настройки IPTables

ПриватБанк стал крупнейшим в мире корпоративным пользователем Linux

ПриватБанк стал самым крупным корпоративным пользователем операционной системы Linux в мире. Как сообщили в банке, на сегодняшний день корпоративная версия системы Ubuntu Linux установлена на более чем 36 500 компьютерах сотрудников банка в четырех странах мира. Для сравнения: во второй по размеру сети корпорации Peugeot Citroen Linux установлен на более чем 22 000 компьютеров.

«Главное преимущество, которое мы получаем с Linux – невероятная гибкость в настройках, а также возможность централизованного управления компьютерами сотрудников. Эти возможности позволяют нам буквально на ходу внедрять новые продукты для клиентов, – говорит IT-директор ПриватБанка Дмитрий Дубилет. – В свое время, когда мы выбирали между Linux и Windows, экономия на платных лицензиях была далеко не главным фактором».

В качестве базовой операционной системы в банке выбрана Ubuntu. Ее используют ведущие мировые корпорации, такие как Google, Amazon и другие мировые бренды.

ПриватБанк является одним из самых высокотехнологичных мировых банков. В числе технологий, которые были внедрены ПриватБанком впервые в мире – SMS-банкинг (1999 год), ОТР-пароли через SMS (2000 год), Р2Р-переводы между картами (2003 год), «Электронная сдача» (2009 год), «Онлайн-инкассация» (2010 год) и другие. ПриватБанк стал одним из первых банков, внедрившим технологию бесконтактного обслуживания клиентов с помощью QR-кодов. С помощью QR-кодов клиенты ПриватБанка могут входить в свой аккаунт Интернет-банка, снимать наличные в банкоматах, заправлять автомобиль на АЗС, а также делать и оплачивать заказы в мобильном меню ресторанов. Сегодня каждый третий клиент пользуется услугами банка через Интернет и мобильные приложения.

Источник: privatbank.ua

Просмотр и управление журналами событий Windows

За пример возьмем Windows 8.

Открыть можно так: Панель управления — Система и безопасность — Администрирование — Просмотр событий.
либо
Win+X — Управление компьютером — Просмотр событий.
либо
В командной строке набрать Eventvwr.msc

Операции через командную строку:
Справка:

wevtutil cl -?
wevtutil epl /?

Просмотр существующих журналов:

wevtutil el

Просмотр информации о журнале:

wevtutil gl журнал

Поиск по журналу:

wevtutil qe журнал | findstr слово

Пример очистки:

wevtutil cl журнал

Пример экспорта:

wevtutil epl журнал C:\журнал.evtx

Просмотреть журнал можно через тот же Просмотр событий (Event Viewer).

Стандартная директория хранения журналов — %SystemRoot%\System32\Winevt\Logs\

Поиск руткитов в системе с помошью rkhunter

rkhunter — программа для отслеживания руткитов.

Установка в Linux Ubuntu/Debian:

sudo apt-get install rkhunter

В процессе установки, если нету сервера отправки почты, устанавливается postfix.

Обновление баз:

sudo rkhunter --update

Конфигурационный файл находится по адресу /etc/rkhunter.conf
Над каждым параметром довольно подробные описания. В MAIL-ON-WARNING=»» можно указать свой email чтобы получать уведомления.

Еще один конфигурационный файл находится по адресу /etc/default/rkhunter.conf. В нем можно указать параметры автоматического запуска сканирования системы, обновления баз и email на который будут приходить отчеты.

Лиги находятся по адресу /var/log/rkhunter.log

Запуск проверки:

sudo rkhunter --check

Домашняя страница: rkhunter.sourceforge.net

Бразильские хакеры перепутали NASA и NSA в операции возмездия

Бразильские хакеры-патриоты решили отомстить Америке за шпионаж, который осуществляло Агентство национальной безопасности (NSA) в отношении латиноамериканских стран, в том числе Бразилии. Но они плохо поняли, как конкретно называется американская разведка — и по ошибке атаковали сайт Национального космического агентства (NASA), пишут бразильские СМИ.

10 сентября хакерская группировка BMPoC осуществила дефейс 14-ти поддоменов NASA, в том числе сайты института исследования Луны, телескопа Кеплер и портала по астробиологии. На всех разместили фото раненого арабского мальчика, показывающего фигу, и следующий текст:

NASA взломано! Группой #BMPoC
Мы: Cyclone – MMxM – ГЕ0З
Хватит шпионить за нами!
Населению Бразилии не нравится ваша позиция!
Иллюминатов увидели в действии!
Бессердечный Обама! Жестокий! У тебя нет семьи? Кто на всей Земле поддерживает тебя? Никто! Мы не хотим войны, мы хотим мира!!! Не атакуй сирийцев!

nasa

Некоторые из взломанных сайтов не работают до сих пор.
kepler.arc.nasa.gov
amase2008.arc.nasa.gov
event.arc.nasa.gov
amesevents.arc.nasa.gov
academy.arc.nasa.gov
planetaryprotection.nasa.gov
virtual-institutes.arc.nasa.gov
astrobiology2.arc.nasa.gov
nextgenlunar.arc.nasa.gov
lunarscience.nasa.gov
moonfest.arc.nasa.gov
iln.arc.nasa.gov
lunarscience.arc.nasa.gov

Источник: www.xakep.ru