security | Записки системного администратора

Записи с меткой ‘security’

Усиление безопасности WordPress с помощью .htaccess

Октябрь 16th, 2017

Evgeniy Kamenev

Как правило, изменения необходимо вносить в корневой файл .htaccces за исключением случаев, когда необходимо защитить отдельные каталоги(например, wp-content/uploads) По умолчанию корневой .htaccess в WordPress имеет вид

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

# BEGIN WordPress

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress

Между строками, указанными ниже, никаких изменений не вносим # BEGIN WordPress # END WordPress Например, все строки будем добавлять после строки # END WordPress 1.Запрет доступа к […]

Опубликовано в рубрике Linux/Unix General, Security, Web

Метки: htaccess, security, wordpress

Комментарии отключены

Использование .htaccess

Июнь 23rd, 2017

Evgeniy Kamenev

Включение поддержки файла .htaccess Параметр,опредлеяющий имя файла .htaccess в конфигурационном файле Apache AccessFileName Например, для Debian/Ubuntu

# nano /etc/apache2/apache2.conf

1	# nano /etc/apache2/apache2.conf

AccessFileName .htaccess

1	AccessFileName .htaccess

Включение поддержки файла .htaccess возможно Либо в конфигурационном файле Apache – глобально для каталога, внутри которого размещаются все сайты. Например, для Debian/Ubuntu

# nano /etc/apache2/apache2.conf

1	# nano /etc/apache2/apache2.conf

<Directory /var/www/>
AllowOverride All
………
</Directory>

AllowOverride All

………

</Directory>

Либо в конфигурацаионном файле конкретного виртуального хоста Apache (что более предпочтительно) Например, для […]

Опубликовано в рубрике Web

Метки: htaccess, redirect, security

Комментарии отключены

Настройка Let’s Encrypt SSL-сертификата на Ubuntu/Centos

Апрель 9th, 2016

Evgeniy Kamenev

1.Установка Let’s Encrypt При использовании Nginx в качестве Web-сервера Установка git Ubuntu/Debian

# apt-get install git

1	# apt-get install git

Centos

# yum install git

1	# yum install git

# cd /usr/local/

1	# cd /usr/local/

# git clone https://github.com/letsencrypt/letsencrypt

1	# git clone https://github.com/letsencrypt/letsencrypt

# cd /usr/local/letsencrypt/

1	# cd /usr/local/letsencrypt/

Остановка Nginx, который прослушивает 80 порт. Перед генерацией сертификатов необходимо убедиться, что все имена домена(включая www-поддомен ,если он должен быть включен в сертификат), для которых генерируются сертификаты имеют запись типа А в ДНС. Также необходимо остановить […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Web, Web, Web

Метки: https, let's encrypt, security, SSL

Комментарии отключены

Настройка Fail2ban для защиты WordPress

Февраль 21st, 2016

Evgeniy Kamenev

1.Настройка конфигурационного файла fail2ban

# grep -E -v '(#|^$)' /etc/fail2ban/fail2ban.conf

1	# grep -E -v '(#\|^$)' /etc/fail2ban/fail2ban.conf

[Definition]
loglevel = INFO
logtarget = /var/log/fail2ban.log
syslogsocket = auto
socket = /var/run/fail2ban/fail2ban.sock
pidfile = /var/run/fail2ban/fail2ban.pid
dbfile = /var/lib/fail2ban/fail2ban.sqlite3
dbpurgeage = 86400

[Definition]

loglevel = INFO

logtarget = /var/log/fail2ban.log

syslogsocket = auto

socket = /var/run/fail2ban/fail2ban.sock

pidfile = /var/run/fail2ban/fail2ban.pid

dbfile = /var/lib/fail2ban/fail2ban.sqlite3

dbpurgeage = 86400

2.Настройка Fail2ban-фильтров для мониторинга логов Защита против brutoforce админки

# nano /etc/fail2ban/filter.d/wordpress-wp-login.conf

1	# nano /etc/fail2ban/filter.d/wordpress-wp-login.conf

[Definition]
failregex = .*POST /wp-login.php
ignoreregex =

[Definition]

failregex = .*POST /wp-login.php

ignoreregex =

Защита против атаки brutoforce XMLRPC https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.html

# nano /etc/fail2ban/filter.d/wordpress-wp-xmlrpc.conf

1	# nano /etc/fail2ban/filter.d/wordpress-wp-xmlrpc.conf

[Definition]
failregex = .*POST /xmlrpc.php
ignoreregex =

[Definition]

failregex = .*POST /xmlrpc.php

ignoreregex =

Защита против проверки возможности создания WordPress-аккаунта

# nano /etc/fail2ban/filter.d/wordpress-wp-register.conf

1	# nano /etc/fail2ban/filter.d/wordpress-wp-register.conf

[Definition]
failregex = ^ .* "GET /wp-login.php\?action=register HTTP/.*" .*$
ignoreregex =

[Definition]

failregex = ^ .* "GET /wp-login.php\?action=register HTTP/.*" .*$

ignoreregex =

3. Настройка Fail2ban для мониторинга логов

# nano /etc/fail2ban/jail.conf

1	# nano /etc/fail2ban/jail.conf

[INCLUDES]
before = paths-fedora.conf
[DEFAULT]
ignoreip = 127.0.0.1/8 159.224.XXX.YYY
ignorecommand =
bantime = 86400
findtime = 7200
maxretry = 5
backend = auto
usedns = warn
logencoding = auto
enabled = false
filter = %(__name__)s
destemail = myname@mydomain.com
sender = root@mydomain.com
mta = sendmail
protocol = tcp
chain = INPUT
port = 0:65535
banaction = iptables-multiport
action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]
action_xarf = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath=%(logpath)s, port="%(port)s"]
action_blocklist_de = blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]
action_badips = badips.py[category="%(name)s", banaction="%(banaction)s"]
action = %(action_)s

####Этот блок касается непосредственно защиты Wordpress

[wordpress-wp-login]
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 3
enabled = true
filter = wordpress-wp-login
action = %(action_mwl)s
bantime = 86400
findtime = 7200
maxretry = 3

[wordpress-wp-xmlrpc]
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 3
enabled = true
filter = wordpress-wp-xmlrpc
action = %(action_mwl)s
bantime = 86400
findtime = 7200
maxretry = 3

[wordpress-wp-register]
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 3
enabled = true
filter = wordpress-wp-register
action = %(action_mwl)s
bantime = 86400
findtime = 7200
maxretry = 3

[INCLUDES]

before = paths-fedora.conf

[DEFAULT]

ignoreip = 127.0.0.1/8 159.224.XXX.YYY

ignorecommand =

bantime = 86400

findtime = 7200

maxretry = 5

backend = auto

usedns = warn

logencoding = auto

enabled = false

filter = %(__name__)s

destemail = myname@mydomain.com

sender = root@mydomain.com

mta = sendmail

protocol = tcp

chain = INPUT

port = 0:65535

banaction = iptables-multiport

action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

action_xarf = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath=%(logpath)s, port="%(port)s"]

action_blocklist_de = blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]

action_badips = badips.py[category="%(name)s", banaction="%(banaction)s"]

action = %(action_)s

####Этот блок касается непосредственно защиты Wordpress

[wordpress-wp-login]

port = http,https

logpath = /var/log/nginx/*.log

maxretry = 3

enabled = true

filter = wordpress-wp-login

action = %(action_mwl)s

bantime = 86400

findtime = 7200

maxretry = 3

[wordpress-wp-xmlrpc]

port = http,https

logpath = /var/log/nginx/*.log

maxretry = 3

enabled = true

filter = wordpress-wp-xmlrpc

action = %(action_mwl)s

bantime = 86400

findtime = 7200

maxretry = 3

[wordpress-wp-register]

port = http,https

logpath = /var/log/nginx/*.log

maxretry = 3

enabled = true

filter = wordpress-wp-register

action = %(action_mwl)s

bantime = 86400

findtime = 7200

maxretry = 3

Перезапускаем fail2ban

# /etc/init.d/fail2ban restart

1	# /etc/init.d/fail2ban restart

4.Проверка работы фильтра

# fail2ban-regex /var/log/nginx/mydomain.com.log /etc/fail2ban/filter.d/wordpress-wp-login.conf

1	# fail2ban-regex /var/log/nginx/mydomain.com.log /etc/fail2ban/filter.d/wordpress-wp-login.conf

Если необходимо посмотреть строки,которые […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security, Security

Метки: brutoforce, fail2ban, security, wordpress

Комментарии отключены

Nginx — полезные мелочи (security, redirect)

Декабрь 22nd, 2015

Evgeniy Kamenev

Безопасность 1.Блокировка определенных User-Agents. Создаем файл с запрещенными User-Agent-ами

# nano /etc/nginx/blockuseragents.rules

1	# nano /etc/nginx/blockuseragents.rules

map $http_user_agent $blockedagent {
        default         0;
        ~*malicious     1;
        ~*bot           1;
        ~*backdoor      1;
        ~*crawler       1;
        ~*bandit        1;
}

map $http_user_agent $blockedagent {

default 0;

~*malicious 1;

~*bot 1;

~*backdoor 1;

~*crawler 1;

~*bandit 1;

}

Подключаем файл с запрещенными User-Agent-ами(вставляем перед секцией server)

include /etc/nginx/blockuseragents.rules;

1	include /etc/nginx/blockuseragents.rules;

Добавляем в секцию server запрет для указанных в файле User-Agents

server {
if ($blockedagent) {
   return 444;
  }
……
}

server {

if ($blockedagent) {

return 444;

}

……

}

Либо второй вариант. Например , защита от сканеров

server {
if ( $http_user_agent ~* (nmap|nikto|wikto|sf|sqlmap|bsqlbf|w3af|acunetix|havij|appscan) ) {
    return 444;
   }
}

server {

if ( $http_user_agent ~* (nmap|nikto|wikto|sf|sqlmap|bsqlbf|w3af|acunetix|havij|appscan) ) {

return 444;

}

Тестируем

# wget --user-agent "I am a bandit" http://example.com/index.html

1	# wget --user-agent "I am a bandit" http://example.com/index.html

2.Защита от HotLink. Для конкретного location

location /images/  {
# Или для определенных типов файлов
#location ~ .(gif|png|jpe?g)$  {
  valid_referers none blocked example.com *.example.com;
   if ($invalid_referer) {
     return   444;
   }
}

location /images/ {

# Или для определенных типов файлов

#location ~ .(gif|png|jpe?g)$ {

valid_referers none blocked example.com *.example.com;

if ($invalid_referer) {

return 444;

}

3.Защита от реферального спама. […]

Опубликовано в рубрике Linux/Unix General, Web

Метки: hotlink, Nginx, rewrite, security, SSL, user agent

Комментарии отключены

Полезные команды для определения взлома сервера

Май 6th, 2015

Evgeniy Kamenev

# last

# last

– просмотр списка пользователей, IP-адресов и времени входа в систему

# ls -lart /

1	# ls -lart /

— отсортированный по времени список измененных/добавленных/удаленных папок и файлов в системе

# netstat –na

1	# netstat –na

– спсиок текущих сокетов, подключений

# ps –wauxef

1	# ps –wauxef

– просмотр запущенных процессов

# cat .bash_history

1	# cat .bash_history

– просмотр истории команд(как для root, та ки для всех пользов с корректной оболочкой в /etc/passwd)

# top

# top

– проверка процессов, […]

Опубликовано в рубрике Linux/Unix General, Security

Метки: compromised server, exploit, malware, security

Комментарии отключены

Установка и использование Chkrootkit на Centos/Debian

Май 6th, 2015

Evgeniy Kamenev

1.Установка chkrootkit Centos

# yum install chkrootkit

1	# yum install chkrootkit

Просмотр списка файлов установленных пакетом

# rpm -ql chkrootkit

1	# rpm -ql chkrootkit

Debian

# apt-get install chkrootkit

1	# apt-get install chkrootkit

Просмотр списка файлов установленных пакетом

# apt-file list chkrootkit

1	# apt-file list chkrootkit

Установка из исходников wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

# tar -xzfм chkrootkit.tar.gz

1	# tar -xzfм chkrootkit.tar.gz

# cd chkrootkit-*

1	# cd chkrootkit-*

Собираем модули

# make sense

1	# make sense

Запуск shell-скрипта

# ./chkrootkit

1	# ./chkrootkit

2.Использование chkrootkit Опции утилиты chkrotkit

-h

-h

– просмотр справки

-V

-V

– просмотр версии

-l

-l

– просмотр списка тестов/проверок, которые […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security

Метки: chkrootkit, security

Комментарии отключены

Установка и настройка Config Server Firewall на Centos/Debian

Апрель 17th, 2015

Evgeniy Kamenev

1.Установка необходимых зависимостей Config Server Firewall Centos

# yum install perl-libwww-perl

1	# yum install perl-libwww-perl

# yum install perl-Time-HiRes

1	# yum install perl-Time-HiRes

Debian

# apt-get install libwww-perl

1	# apt-get install libwww-perl

# apt-get install Time-HiRes

1	# apt-get install Time-HiRes

2.Установка Config Server Firewall

# wget http://www.configserver.com/csf.tgz

1	# wget http://www.configserver.com/csf.tgz

# tar xvfz csf.tgz

1	# tar xvfz csf.tgz

# cd csf

# cd csf

# sh install.sh

1	# sh install.sh

3.Проверка необходимых модулей iptables

# perl /usr/local/csf/bin/csftest.pl либо perl /etc/csf/csftest.pl

1	# perl /usr/local/csf/bin/csftest.pl либо perl /etc/csf/csftest.pl

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK 

RESULT: csf should function on this server

Testing ip_tables/iptable_filter...OK

Testing ipt_LOG...OK

Testing ipt_multiport/xt_multiport...OK

Testing ipt_REJECT...OK

Testing ipt_state/xt_state...OK

Testing ipt_limit/xt_limit...OK

Testing ipt_recent...OK

Testing xt_connlimit...OK

Testing ipt_owner/xt_owner...OK

Testing iptable_nat/ipt_REDIRECT...OK

Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

4.Удаление,если уже были установлены другие firewall, с которыми конфликтует CSF(APF/BFD)

# sh /usr/local/csf/bin/remove_apf_bfd.sh

1	# sh /usr/local/csf/bin/remove_apf_bfd.sh

либо

# sh /etc/csf/remove_apf_bfd.sh

1	# sh /etc/csf/remove_apf_bfd.sh

5.Настройка Config Server Firewall

/etc/csf

/etc/csf

– каталог,содеражащий все конфигураионные файлы

csf.conf

csf.conf

– […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security

Метки: config server firewall, csf, iptables, lfd, security

Комментарии отключены

Оптимизация настроек ядра для высоконагруженных серверов и защиты от DDOS-атак

Ноябрь 10th, 2014

Evgeniy Kamenev

На просторах Интернета нашел толковое описание sysctl настроек ядра для оптимизации большого кол-ва подключений и защиты от DDOS-атак

net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.all.send_redirects = 0

Не принимать и не отправлять ICMP-пакеты перенаправления. ICMP-перенаправления могут быть использованы злоумышленником для изменения таблиц маршрутизации. Целесообразно выставить в «0». Единица имеет смысл только для хостов, использующихся в качестве маршрутизаторов.

net.ipv4.tcp_max_orphans = 65536

1	net.ipv4.tcp_max_orphans = 65536

Целочисленное значение параметра tcp_max_orphans […]

Опубликовано в рубрике Security, Security

Метки: DDoS, security, sysctl

Комментарии отключены

Анализ и защита от DDOS-атак

Ноябрь 7th, 2014

Evgeniy Kamenev

Диагностика DDOS-атаки Подсчет кол-ва подключений к серверу

# cat /proc/net/ip_conntrack | wc -l

1	# cat /proc/net/ip_conntrack \| wc -l

— для Centos5

# cat /proc/net/nf_conntrack | wc -l

1	# cat /proc/net/nf_conntrack \| wc -l

— для Centos6 SYN—flood Подсчет кол-ва попыток установить соединение

# netstat -nap | grep SYN_RECV | wc -l

1	# netstat -nap \| grep SYN_RECV \| wc -l

Просмотр кол-ва запросов с каждого адреса на установку соединений

# netstat -nap | grep SYN_RECV | awk {'print $5'} | awk -F: {'print $1'} | sort -rn | uniq -c | sort -rn

1	# netstat -nap \| grep SYN_RECV \| awk {'print $5'} \| awk -F: {'print $1'} \| sort -rn \| uniq -c \| sort -rn

Проверка кол-ва полузакрытых соединений

# netstat -an | grep FIN* | wc -l

1	# netstat -an \| grep FIN* \| wc -l

Просмотр кол-ва и типов установленных соединений

# netstat -np | awk '{print $6}'|awk -F: '{print $1}' | sort -rn | uniq -c | sort -rn | less

1	# netstat -np \| awk '{print $6}'\|awk -F: '{print $1}' \| sort -rn \| uniq -c \| sort -rn \| less

Просмотр кол-ва […]

Опубликовано в рубрике Security, Security

Метки: DDoS, flood, ipset, security, sysctl

Комментарии отключены

Записи с меткой ‘security’

Усиление безопасности WordPress с помощью .htaccess

Использование .htaccess

Настройка Let’s Encrypt SSL-сертификата на Ubuntu/Centos

Настройка Fail2ban для защиты WordPress

Nginx — полезные мелочи (security, redirect)

Полезные команды для определения взлома сервера

Установка и использование Chkrootkit на Centos/Debian

Установка и настройка Config Server Firewall на Centos/Debian

Оптимизация настроек ядра для высоконагруженных серверов и защиты от DDOS-атак

Анализ и защита от DDOS-атак

Страницы

Свежие записи

Архивы

Рубрики

Админ-панель