Базы данных эксплоитов

Немного ссылок на сайты с информацией о уязвимостях, эксплоитах и т.д., которую полезно знать для обеспечения большей безопасности.

www.exploit-db.com
insecure.org
ussrback.com
www.securitylab.ru
www.securityfocus.com
www.securiteam.com
ru.1337day.com

Восстановление доступа к странице ВКонтакте

В первую очередь можно восстановить пароль от страницы на мобильный телефон который привязан к странице http://vk.com/restore
Если телефон не привязывался к странице или к нему нету доступа, нужно сообщить об этом в техническую поддержку следую инструкциям по ссылке http://vk.com/restore?act=return_page

В случае если появляется сообщение что страница заблокирована и для разблокировки необходимо перевести деньги или отправить смс, это значит что на компьютере вирусы. Почистить можно лечащей утилитой Dr.Web CureIt! либо открыть в любом текстовом редакторе файл C:\WINDOWS\system32\drivers\etc\hosts и удалить все/ненужное содержимое оставив только строчку 127.0.0.1 localhost.

Установка и настройка Tripwire

Tripwire хранит снимок текущей файловой системы и сообщает о любых изменениях. Файлы конфигурации и базы данных tripwire хранятся в зашифрованном виде.

Установка tripwire в Linux Ubuntu/Debian:

apt-get install tripwire

Во время установки создадим пароль ключа узла и локального ключа.
База данных хранится в директории /var/lib/tripwire/имяхоста.twd
Изменить параметры автозапуска можно в файле /etc/cron.daily/tripwire

Редактируем конфиг /etc/tripwire/twcfg.txt и файл политик /etc/tripwire/twpol.txt
Применяем изменения в файле политик:

sudo tripwire --update-policy /etc/tripwire/twpol.txt

Пример команд для генерации базы данных снимка файловой системы:

sudo tripwire --init
sudo tripwire -m i

Пример команд для запуска проверки:

sudo tripwire --check
sudo tripwire -m c

Отчет будет выведен на экран и сохранен по адресу /var/lib/tripwire/report/имяхоста-дата-время.twr

Пример команды для просмотра отчета:

sudo twprint --print-report -r /var/lib/tripwire/report/имяхоста-дата-время.twr | less

Обновление базы данных снимка файловой системы исходя из отчета:

sudo tripwire -m u -a -r /var/lib/tripwire/report/имяхоста-дата-время.twr

Проверяем приходит ли почта:

tripwire --test --email test@example.net

Просмотр документации:

man tripwire
tripwire --help all

Настройка IPTables

IPTables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра).

Читать далее «Настройка IPTables»

Поиск руткитов в системе с помошью rkhunter

rkhunter — программа для отслеживания руткитов.

Установка в Linux Ubuntu/Debian:

sudo apt-get install rkhunter

В процессе установки, если нету сервера отправки почты, устанавливается postfix.

Обновление баз:

sudo rkhunter --update

Конфигурационный файл находится по адресу /etc/rkhunter.conf
Над каждым параметром довольно подробные описания. В MAIL-ON-WARNING=»» можно указать свой email чтобы получать уведомления.

Еще один конфигурационный файл находится по адресу /etc/default/rkhunter.conf. В нем можно указать параметры автоматического запуска сканирования системы, обновления баз и email на который будут приходить отчеты.

Лиги находятся по адресу /var/log/rkhunter.log

Запуск проверки:

sudo rkhunter --check

Домашняя страница: rkhunter.sourceforge.net

Настройка SSHGuard

SSHguard мониторит логи, выявляет атаки и с помощью фаервола блокирует адреса злоумышленников.

Установка в Linux Ubuntu/Debian:

sudo apt-get install sshguard

Команда информации:

man sshguard

Белый список адресов для исключения находится по адресу /etc/sshguard/whitelist.

Официальная документация www.sshguard.net/docs/

sshguard не имеет конфигурационного файла, поэтому нужно создать правило «sshguard» в iptables:

#Для IPv4
iptables -N sshguard
#Если используется IPv6 то вводим
ip6tables -N sshguard
# указываем чтобы входящий трафик шел через sshguard
iptables -A INPUT -j sshguard
# IPv6
ip6tables -A INPUT -j sshguard

# Либо указываем что нужно блокировать плохой трафик на порты SSH, FTP, POP и IMAP с использованием «multiport»

iptables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard
ip6tables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard

Списки proxy серверов

В интернете достаточно много бесплатных и платных прокси-серверов. Безусловно лучшими являются платные приватные прокси сервера, они не загружены, отличный пинг, десятки тысяч рабочих. С бесплатными все наоборот, низкая скорость, многие то работают, то не работают. Приведу список первых попавшихся сайтов со списками:
www.proxybox.ru
hideme.ru/proxy-list/
2ip.ru/proxy/
foxtools.ru/Proxy
www.freeproxy.ru/
hidemyass.com/proxy-list/
proxy-list.org/ru/
tsk.h18.ru/
www.cool-tests.com/
spys.ru/

Подавление DHCP серверов (dhcdrop)

dhcdrop — утилита для подавления ненужных DHCP серверов и стресс-тестирования.

Читать далее «Подавление DHCP серверов (dhcdrop)»

Настройка AppArmor

AppArmor — программный инструмент упреждающей защиты, основанный на профилях, которые определяют привилегиями доступа к тому или иному приложению. По умолчанию включен в операционных системах Ubuntu.

Установка дополнительных профилей:

sudo apt-get install apparmor-profiles

Проверка статуса:

sudo apparmor_status
sudo /etc/init.d/apparmor status

Профили могут быть запущены в щадящем режиме «complain mode» или вынужденном «enforce mode».

Справка по AppArmor:

man apparmor

Директория хранения профилей:

/etc/apparmor.d

Включение профиля:

cp /usr/share/doc/apparmor-profiles/extras/usr.bin.firefox /etc/apparmor.d

Удаляем из директории с отключенными профилями (если есть):

sudo rm /etc/apparmor.d/disable/usr.bin.firefox

Отключение профиля:

sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/

Пример переключения режимов:

aa-enforce usr.bin.firefox
aa-complain usr.bin.firefox

Перезапускаем AppArmor:

sudo /etc/init.d/apparmor restart