На тесте установлю Let’s Encrypt который позволяет установить бесплатные SSL сертификаты на 90 дней и автоматически перевыдавать их.
Читать далее «Установка и настройка Let’s Encrypt SSL»Архивы рубрик:Безопасность
Настройка Fail2Ban под ProFTPd
Допустим Fail2Ban уже установлен, если нет, то смотрите мою статью — Установка и настройка Fail2ban.
В Fail2Ban по умолчанию уже есть фильтры для ProFTPd и он знает что файл логов находится по адресу /var/log/proftpd/proftpd.log, поэтому достаточно создать файл:
sudo nano /etc/fail2ban/jail.d/proftpd.local
И внести данные ниже, тем самым активировав проверку лог файла /var/log/proftpd/proftpd.log:
[proftpd] enabled = true bantime = 86400
Перезапустим Fail2Ban чтобы применить изменения:
sudo service fail2ban restart
Можно проверить статус:
sudo fail2ban-client status proftpd
Установка Nessus в Linux
Nessus — сканер уязвимостей в Linux.
Переходим на официальный сайт http://www.tenable.com/products/nessus/select-your-operating-system и скачиваем Nessus под операционную систему которая у вас установлена.
Переключимся на root пользователя:
su
Запускаем установку скачанного файла, например:
dpkg -i Nessus-7.0.2-debian6_amd64.deb
Запускаем Nessus:
/etc/init.d/nessusd start
После этого Nessus можно открыть в браузере по ссылке https://IP:8834/
Для дальнейшей работы необходимо зарегистрироваться по ссылке https://www.tenable.com/products/nessus/activation-code.
Установка Snort в Ubuntu
Snort — сетевая система предотвращения (IPS) и обнаружения вторжений (IDS) путем анализа трафика.
Читать далее «Установка Snort в Ubuntu»Как сделать загрузочную флешку с CAINE
Чтобы сделать загрузочную флешку с CAINE выполним несколько действий:
1) Скачаем образ CAINE с официального сайта www.caine-live.net
2) Скачаем установщик Universal USB Installer http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/
3) Подключим флешку к компьютеру и запустим установщик Universal USB Installer. В нем согласимся с лицензионным соглашением нажав «I Agree«, во втором окне где «Step 1:» выберем «CAINE Linux«, где «Step 2» нажмем «Browse» и укажем на скачанный образ CAINE (например caine9.0.iso). В «Step 3:» выберем букву флешки, поставим галочку на «Format» (это переразметит таблицу файловой системы и сотрет все данные на флешке).
4) Жмем «Create» и ждем завершения процесса.
Использование netwox
Приведу примеры использования netwox и опишу их.
Установку netwox я описывал в этой статье — Установка netwox
Пример стандартного запуска:
sudo netwox
netwox имеет достаточно много функций, посмотреть их можно нажав после запуска цифру 3 и Enter.
Отображение конфигурации сети:
sudo netwox 1
Отображение отладочной информации:
sudo netwox 2
Отображение информации об IP-адресе или имени хоста:
sudo netwox 3 example.com
Отображение информации об MAC-адресе:
sudo netwox 4 -e 00:15:5D:38:01:08
Получение MAC-адресов из списка IP:
sudo netwox 5 -i 192.168.1.0/24
Отображение информации которая будет использована чтобы достичь указанного IP адреса:
sudo netwox 6 192.168.24.254
Сниффер, отображение передающихся пакетов на экране:
sudo netwox 7
Сниффер, отображение только списка открытых портов, которые использовались в захваченных пакетах:
sudo netwox 8
Сниффер, отображение MAC и IP адресов:
sudo netwox 9
Пример захвата пакетов и отображение краткой статистики (отображается количество пакетов (count), сумма размеров пакетов (size), процент количества пакетов (c%) процент из размера (s%)):
netwox 10 -d eth0
Преобразование цифры в шифрованную:
sudo netwox 21 -n number
Преобразование строки в шифрованную (sha256, md5 и т.д.):
sudo netwox 22 -d text
Показать таблицу ASCII:
sudo netwox 23
Проверить безопасность каталога:
sudo netwox 25 /tmp/
Пример выполнения ICMP PING:
sudo netwox 49 -i 192.168.24.253
Пример выполнения ARP PING:
sudo netwox 55 -i 192.168.24.253
Пример ICMP трассировки маршрута:
sudo netwox 57 -i examle.com
Пример TCP трассировки маршрута:
sudo netwox 59 -i examle.com
Пример UDP трассировки маршрута:
sudo netwox 61 -i examle.com
Пример сканирования портов:
sudo netwox 67 -i 192.168.24.254 -p 1-1000
ICMP сканирование на доступность:
sudo netwox 65 -i 192.168.1.0/24
TCP сканирование на доступность по порту:
sudo netwox 67 -i 192.168.1.0/24 -p 80
UDP сканирование на доступность по порту:
sudo netwox 69 -i 192.168.1.0/24 -p 80
ARP сканирование:
sudo netwox 71 -i 192.168.1.0/24
Флуд случайными фрагментами:
sudo netwox 74 -i 192.168.24.254
Заполнение таблицы MAC-адресов коммутатора отправкой флуда:
sudo netwox 75
Synflood:
sudo netwox 76 -i 192.168.24.254 -p 80
и т.д.
Использование wipe в Linux
wipe — утилита для безопасного полного стирания информации.
Команда установки в Linux Ubuntu/Debian:
sudo apt-get install wipe
Опишу некоторые ключи запуска:
-f Отключение запросов подтверждения.
-r Рекурсивно. Удаляет все подкаталоги, символические ссылки не трогаются.
-c Если права каталога только для чтения, то будут изменены на запись.
-i Подробный информационный режим.
-s Тихий режим, большинство сообщений не выводятся.
-q Быстрый режим, директории перезаписываются случайными данными 4 раза.
-Q Количество циклов перезаписи. Стандартно 4.
-a Остановить выполнение при ошибке.
-R Установка случайного устройства.
-l
-D Следовать по символическим ссылкам, стандартно они не трогаются.
-v Отображение версии программы.
-h Отображение справки.
Предотвращение атак на WordPress xmlrpc.php и wp-login.php
Заметил однажды на некоторых серверах с WordPress сайтами большое количество обращений к файлу xmlrpc.php и wp-login.php
Читать далее «Предотвращение атак на WordPress xmlrpc.php и wp-login.php»Немного о вирусе шифровальщике Trojan.Encoder.12544 атаковавшего 27.06.2017
27.06.2017 после обеда мне позвонили из одной организации и сообщили что много компьютеров перестали работать, однако некоторые работали, я так понял на которых было включено автообновление Windows и установлены все обновления, в том числе критическое исправляющее уязвимость которое использует вирус — Microsoft Security Bulletin MS17-010 — Critical
На одних зараженных компьютерах было следующее окно (зараженная область MBR):
На других шла проверка диска на ошибки через CHDISK, как оказалось это второй этап вируса — шифрование диска с использованием алгоритмов AES-128-CBC и в этом случае необходимо немедленное выключение, чтобы можно было восстановить оставшиеся не зашифрованные данные.
Через специальные утилиты было видно лишь немного не зашифрованных данных которые можно восстановить, ну а остальную часть можно вернуть лишь из резервных копий которые делали системные администраторы так как расшифровщика на данный момент нету.
Под старую прошлогоднюю версию вируса был написан расшифровщик https://github.com/leo-stone/hack-petya
Почта которая указана для запроса ключа расшифровки через некоторое время после появления вируса была заблокирована, на кошелек как оказалось даже поступило около 45 транзакций.
Скрипт перезагрузки Wi-Fi маршрутизаторов TP-Link
Приведу ниже пример скрипта перезагрузки маршрутизаторов TP-Link, на тесте проверю его на TL-WR720N 2.0 из Ubuntu Server.
#!/bin/sh ROUTER_IP="192.168.24.174" USERNAME="admin" PASSWORD="admin" # exit if router is down ping -q -c 1 "$ROUTER_IP" > /dev/null || exit curl --basic --user "$USERNAME:$PASSWORD" -A "Mozilla/4.73 [en] (X11; U; Linux 2.2.15 i686)" --refer "http://$ROUTER_IP" "$ROUTER_IP/userRpm/SysRebootRpm.htm?Reboot=reboot"
Содержимое скрипта поместим в новый файл, например используя редактор nano («CTRL+X» для выходя и «y» для сохранения изменений):
nano file.sh
И сделаем его исполняемым:
chmod 777 file.sh
После этого выполним:
./file.sh
Аналогичным образом можно вместо перезагрузки выполнить другие функции.