كيفية تأمين سرفر جديد ... شرح سهل

DokFLeed · 21-10-2005, 12:58 AM

لتأمين سرفر جديد للاستضافة يفضل القيام بالخطوات التالية ( جميع الخطوات ما عليك الا نسخها فقط)

لتعطيل خدمات غير ضرورية
---------------------
cd /etc/init.d/
mv portmap .portmap
mv nfs .nfs

cd /etc/xinitd.d/
disable services telnet, talk
=====================

تعطيل البيرل و البرامج الاضافية ( يمكنك اعادة اى برنامج وحده للعمل بتغييره الى 755)
-----------------------------
chmod 744 /usr/bin/perl
chmod 744 /usr/bin/wget
chmod 744 /bin/chmod
===================

لتفعيل مقاومة الفلود Syn Attack
-----------------------------------
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
قم باضافة السطر التالى الى /etc/sysctl.conf
#enable TCP SYN cookie protection
net.ipv4.tcp_syncookies=1
===========================

مواصفات قاعدة البيانات MySql ضعها بملف /etc/my.cnf
-----------------------------------
[mysqld]
bind-address=localhost
set-variable = max_connections=900
safe-show-database
set-variable = record_buffer=4M
set-variable = sort_buffer=6M
set-variable = myisam_sort_buffer_size=32M
set-variable = max_allowed_packet=16M
#set-variable = query_cache_limit=1M
#set-variable = query_cache_size=32M
#set-variable = query_cache_type=1
set-variable = connect_timeout=10
set-variable = interactive_timeout=100
set-variable = wait_timeout=100

[safe_mysqld]
err-log=/var/log/mysqld.log
open_files_limit=8192
==========================

لتأمين مجلد /tmp
---------------------
/scripts/securetmp
===============

ارقام بورتات السى بانل
----------------------------
# Common TCP Ports
TCP_CPORTS=" 20,21,22,25,37,53,80,110,143,443,465,873,993,995,2
080_2099,3306,10000,20000"

# Common UDP Ports
UDP_CPORTS="37,53,873"
===============================

لتأمين البى اتش بى عن طريق ملف php.ini
-------------------------------------------------
safe_mode = On
open_basedir = ..:/tmp
============================

برامج للاعداد
-------------------
http://www.rootkit.nl/projects/rootkit_hunter.html
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
==================================

هناك اوامر اخرى يتم طرحها قريبا مثل استخدام ملفات hosts.allow + hosts.deny
كما يفضل تعطيل ال frontpage + ssl من الاباتشى

ملحوظة: هذة الاوامر للنسخ كما هى وليس بها شرح وافى
و رمضان كريم

jwri · 21-10-2005, 04:14 AM

إقتباس:

المشاركة الأصلية بواسطة DokFLeed

cd /etc/xinitd.d/
disable services telnet, talk
=====================

جميل يعطيك العافيه ومشكور اوامر مهمه
بس الامر هذا في غلطه

الصحيح

cd /etc/xinetd.d/
disable services telnet, talk

لك تحيتي
ننتظر المزيد

KuwaitNET · 21-10-2005, 06:20 AM

او تحط الأوامر في [ code ] تظهربشكل أوضح للقارئ

جزاك الله خير

مشاهدnet · 21-10-2005, 04:30 PM

ما شاء الله

مشاهدnet · 21-10-2005, 04:31 PM

جزاك الله كل خير

مشاهدnet · 21-10-2005, 04:32 PM

*. كل عام وانت بخير . رمضان كريم .*

تحياتي
احمد

MR_MAMI · 21-10-2005, 06:35 PM

طرق مفيدة جدا جدا
الف شكر لك اخوى
على المعلومات القيمة

DokFLeed · 23-10-2005, 09:29 AM

افتح ملف للكتابة

كود:

vi /usr/local/apache/conf/httpd.conf

قم بتهميش التالى

للتهميش فقط قم باضافة # باول السطر ) ليصبح كالتالى
لاستخدام VI اضغط التالى

كود:

i -  لبدء الكتابة
الاسهم للنزول و الطلوع 
ESC -  للخروج من بيئة الكتابة 
:wq -  لحفظ ما كتبتة و الخروج
:q -  للخروج بدون حفظ

لتعطيل امتداد الفرونت بيج ( كله مشاكل بلا فايده) و ال SSL

كود:

#AddModule mod_ssl.c
#AddModule mod_frontpage.c
<IfDefine SSL>
#Listen 80
#Listen 443
</IfDefine>
#ScriptAlias /cgi-sys/ /usr/local/cpanel/cgi-sys/
#Alias /sys_cpanel/ /usr/local/cpanel/sys_cpanel/
#Alias /java-sys/ /usr/local/cpanel/java-sys/
#Alias /img-sys/ /usr/local/cpanel/img-sys/
#Alias /akopia/ /usr/local/cpanel/3rdparty/interchange/share/akopia/
#Alias /mailman/archives/ /usr/local/cpanel/3rdparty/mailman/archives/public/
#ScriptAlias /mailman/ /usr/local/cpanel/3rdparty/mailman/cgi-bin/
#Alias /pipermail/ /usr/local/cpanel/3rdparty/mailman/archives/public/
#Alias /interchange/ /usr/local/cpanel/3rdparty/interchange/share/interchange/
#Alias /interchange-5/ /usr/local/cpanel/3rdparty/interchange/share/interchange-5/

بتهميش الأعلى لن يتم الوصول الى وصلات برنامج القوائم البريدية ميل مان ، و سكربتات السى جى اى مع سى بانل ، برنامج التجارة الالكترونية ايضا

بعد الانتهاء اخرج من الكتابة و قم باعادة تشغيل الاباتشى
httpd restart

و السلام عليكم

مشعل حسين · 25-10-2005, 04:17 AM

جزاك الله كل خير اخى الكريم شرح جميل جدا

web4host · 25-10-2005, 05:40 AM

بلنسبه لبرنامج Rootkit Hunter تحتاج الشركه الي تطويره حتى يتناسب مع الاصدارات الجديده من الابشي وغيرها

Neklawy.com · 25-10-2005, 04:02 PM

شكرا ليك يا باشا على الشرح الجميل

DokFLeed · 26-10-2005, 03:59 PM

إقتباس:

المشاركة الأصلية بواسطة web4host

بلنسبه لبرنامج Rootkit Hunter تحتاج الشركه الي تطويره حتى يتناسب مع الاصدارات الجديده من الابشي وغيرها

هو له مميزات اخرى غير الكشف عن الباك دور ، لذا استخدم chkrootkit للكشف افضل ، هناك برامج اخرى مهمه مثل
Tripwire K

بعض الاوامر المفيدة من الشل

كود:

لمتابعة نشاط برنامج 
 strace -f -v -p PID
لمعرفة الملفات التى تستخدم بواسطة عملية من عمليات السرفر ( PID  هو رقم العمليه)
 lsof -p PID
للبحث عن ملفا يحتوى على كلمة blabla
find / -type f -print | xargs grep -n "blabla"
مثال : للبحث عن من حاول استخدام ثغرة اخر عشرة مواضيع بالمنتدى على اى موقع و حفظ المحتوى بملف gotvb.txt
find /usr/local/apache/domlogs/ -type f -print | xargs grep -n "fsel" > gotvb.txt

اذا كان لاى من الأخوة سؤال رجاء طرحه هنا

mero4net · 28-10-2005, 02:45 PM

thnx man

DokFLeed · 29-10-2005, 01:02 PM

إقتباس:

المشاركة الأصلية بواسطة mero4net

thnx man

welcome dude

و النبى عليه الصلاة و السلام عربى

seheb · 04-11-2005, 07:13 PM

الف شكر لك اخوى
على المعلومات القيمة

web4host · 10:13 AM

إقتباس:

المشاركة الأصلية بواسطة DokFLeed

هو له مميزات اخرى غير الكشف عن الباك دور ، لذا استخدم chkrootkit للكشف افضل ، هناك برامج اخرى مهمه مثل
Tripwire K

بعض الاوامر المفيدة من الشل

كود:

لمتابعة نشاط برنامج strace -f -v -p PID لمعرفة الملفات التى تستخدم بواسطة عملية من عمليات السرفر ( PID هو رقم العمليه) lsof -p PID للبحث عن ملفا يحتوى على كلمة blabla find / -type f -print | xargs grep -n "blabla" مثال : للبحث عن من حاول استخدام ثغرة اخر عشرة مواضيع بالمنتدى على اى موقع و حفظ المحتوى بملف gotvb.txt find /usr/local/apache/domlogs/ -type f -print | xargs grep -n "fsel" > gotvb.txt

اذا كان لاى من الأخوة سؤال رجاء طرحه هنا

نفذ هذا لامر

كود:

/usr/local/bin/rkhunter -c

للحصول على رساله يوميه مع الناتج على البريد

كود:

pico -w /etc/cron.daily/rkhunter.sh

وكتب فيها هذا

كود:

#!/bin/bash
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Resulits" admin@web4host.net)

غير البريد الى بريد يناسبك

لتحديث البرنامج

كود:

/usr/local/bin/rkhunter --update

و ممكن اضافه التحديث في الكورن جوب حتى يكون التحديث اسبوعي او شهري او ... على كيفك

AlwAdy4HosT · 05-11-2005, 01:58 AM

اشكرك يا اخي على الشرح
لكن عند سؤال
اذا افترضنا ان برنامج الـ chkrootkit
اكتشف شيئآ ما
كيف يتم التعامل معاه ؟؟ مثلا مسك اي شيء ما هي الخطوة الى هي المفروض انى اعملها علشان اصلح الى مسكو او بمعنى تانى ازاي اتعامل معاه ؟

web4host · 05-11-2005, 10:18 AM

إقتباس:

المشاركة الأصلية بواسطة AlwAdy4HosT

اشكرك يا اخي على الشرح
لكن عند سؤال
اذا افترضنا ان برنامج الـ chkrootkit
اكتشف شيئآ ما
كيف يتم التعامل معاه ؟؟ مثلا مسك اي شيء ما هي الخطوة الى هي المفروض انى اعملها علشان اصلح الى مسكو او بمعنى تانى ازاي اتعامل معاه ؟

مثال على الرساله التي سوف تصلك في البريد مع بعض المشاكل او الاخطى

إقتباس:

Rootkit Hunter 1.2.7 is running

Determining OS... Ready

Checking binaries
* Selftests
Strings (command) [ OK ]

* System tools
Info: prelinked files found
Performing 'known good' check...
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/dmesg [ OK ]
/bin/egrep [ OK ]
/bin/env [ OK ]
/bin/fgrep [ OK ]
/bin/grep [ OK ]
/bin/kill [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/mount [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/su [ OK ]
/sbin/chkconfig [ OK ]
/sbin/depmod [ OK ]
/sbin/ifconfig [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ OK ]
/sbin/modinfo [ OK ]
/sbin/runlevel [ OK ]
/sbin/sysctl [ OK ]
/sbin/syslogd [ OK ]
/usr/sbin/prelink: /usr/bin/file: at least one of file's dependencies has changed since prelinking
/usr/sbin/prelink: /usr/bin/file: at least one of file's dependencies has changed since prelinking
/usr/bin/file [ BAD ]
/usr/bin/find [ OK ]
/usr/bin/kill [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/users [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
--------------------------------------------------------------------------------
Rootkit Hunter found some bad or unknown hashes. This can be happen due replaced
binaries or updated packages (which give other hashes). Be sure your hashes are
fully updated (rkhunter --update). If you're in doubt about these hashes, contact
the author (fill in the contact form).
--------------------------------------------------------------------------------

Check rootkits
* Default files and directories
Rootkit '55808 Trojan - Variant A'... [ OK ]
ADM Worm... [ OK ]
Rootkit 'AjaKit'... [ OK ]
Rootkit 'aPa Kit'... [ OK ]
Rootkit 'Apache Worm'... [ OK ]
Rootkit 'Ambient (ark) Rootkit'... [ OK ]
Rootkit 'Balaur Rootkit'... [ OK ]
Rootkit 'BeastKit'... [ OK ]
Rootkit 'beX2'... [ OK ]
Rootkit 'BOBKit'... [ OK ]
Rootkit 'CiNIK Worm (Slapper.B variant)'... [ OK ]
Rootkit 'Danny-Boy's Abuse Kit'... [ OK ]
Rootkit 'Devil RootKit'... [ OK ]
Rootkit 'Dica'... [ OK ]
Rootkit 'Dreams Rootkit'... [ OK ]
Rootkit 'Duarawkz'... [ OK ]
Rootkit 'Flea Linux Rootkit'... [ OK ]
Rootkit 'FreeBSD Rootkit'... [ OK ]
Rootkit 'Fuck`it Rootkit'... [ OK ]
Rootkit 'GasKit'... [ OK ]
Rootkit 'Heroin LKM'... [ OK ]
Rootkit 'HjC Kit'... [ OK ]
Rootkit 'ignoKit'... [ OK ]
Rootkit 'ImperalsS-FBRK'... [ OK ]
Rootkit 'Irix Rootkit'... [ OK ]
Rootkit 'Kitko'... [ OK ]
Rootkit 'Knark'... [ OK ]
Rootkit 'Li0n Worm'... [ OK ]
Rootkit 'Lockit / LJK2'... [ OK ]
Rootkit 'MRK'... [ OK ]
Rootkit 'Ni0 Rootkit'... [ OK ]
Rootkit 'RootKit for SunOS / NSDAP'... [ OK ]
Rootkit 'Optic Kit (Tux)'... [ OK ]
Rootkit 'Oz Rootkit'... [ OK ]
Rootkit 'Portacelo'... [ OK ]
Rootkit 'R3dstorm Toolkit'... [ OK ]
Rootkit 'RH-Sharpe's rootkit'... [ OK ]
Rootkit 'RSHA's rootkit'... [ OK ]
Sebek LKM [ OK ]
Rootkit 'Scalper Worm'... [ OK ]
Rootkit 'Shutdown'... [ OK ]
Rootkit 'SHV4'... [ OK ]
Rootkit 'SHV5'... [ OK ]
Rootkit 'Sin Rootkit'... [ OK ]
Rootkit 'Slapper'... [ OK ]
Rootkit 'Sneakin Rootkit'... [ OK ]
Rootkit 'Suckit Rootkit'... [ OK ]
Rootkit 'SunOS Rootkit'... [ OK ]
Rootkit 'Superkit'... [ OK ]
Rootkit 'TBD (Telnet BackDoor)'... [ OK ]
Rootkit 'TeLeKiT'... [ OK ]
Rootkit 'T0rn Rootkit'... [ OK ]
Rootkit 'Trojanit Kit'... [ OK ]
Rootkit 'Tuxtendo'... [ OK ]
Rootkit 'URK'... [ OK ]
Rootkit 'VcKit'... [ OK ]
Rootkit 'Volc Rootkit'... [ OK ]
Rootkit 'X-Org SunOS Rootkit'... [ OK ]
Rootkit 'zaRwT.KiT Rootkit'... [ OK ]

* Suspicious files and malware
Scanning for known rootkit strings [ OK ]
Scanning for known rootkit files [ OK ]
Testing running processes... [ OK ]
Miscellaneous Login backdoors [ OK ]
Miscellaneous directories [ OK ]
Software related files [ OK ]
Sniffer logs [ OK ]

* Trojan specific characteristics
shv4
Checking /etc/rc.d/rc.sysinit
Test 1 [ Clean ]
Test 2 [ Clean ]
Test 3 [ Clean ]
Checking /etc/inetd.conf [ Not found ]
Checking /etc/xinetd.conf [ Clean ]

* Suspicious file properties
chmod properties
Checking /bin/ps [ Clean ]
Checking /bin/ls [ Clean ]
Checking /usr/bin/w [ Clean ]
Checking /usr/bin/who [ Clean ]
Checking /bin/netstat [ Clean ]
Checking /bin/login [ Clean ]
Script replacements
Checking /bin/ps [ Clean ]
Checking /bin/ls [ Clean ]
Checking /usr/bin/w [ Clean ]
Checking /usr/bin/who [ Clean ]
Checking /bin/netstat [ Clean ]
Checking /bin/login [ Clean ]

* OS dependant tests

Linux
Checking loaded kernel modules... [ OK ]
Checking files attributes [ OK ]
Checking LKM module path [ OK ]

Networking
* Check: frequently used backdoors
Port 2001: Scalper Rootkit [ OK ]
Port 2006: CB Rootkit [ OK ]
Port 2128: MRK [ OK ]
Port 14856: Optic Kit (Tux) [ OK ]
Port 47107: T0rn Rootkit [ OK ]
Port 60922: zaRwT.KiT [ OK ]

* Interfaces
Scanning for promiscuous interfaces [ OK ]

System checks
* Allround tests
Checking hostname... Found. Hostname is server6.bahrain.web.com
Checking for passwordless user accounts... OK
Checking for differences in user accounts... Found differences
Info:
----------------------
> master:x:514:515::/home/master:/bin/false
----------------------
Info: Some items have been removed (items marked with '>')
Checking for differences in user groups... Found differences
Info:
----------------------
> master:x:515:
----------------------
Info: Some items have been removed (items marked with '>')
Checking boot.local/rc.local file...
- /etc/rc.local [ OK ]
- /etc/rc.d/rc.local [ OK ]
- /usr/local/etc/rc.local [ Not found ]
- /usr/local/etc/rc.d/rc.local [ Not found ]
- /etc/conf.d/local.start [ Not found ]
- /etc/init.d/boot.local [ Not found ]
Checking rc.d files...
Processing........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
......................................
Result rc.d files check [ OK ]
Checking history files
Bourne Shell [ OK ]

* Filesystem checks
Checking /dev for suspicious files... [ OK ]
Scanning for hidden files... [ OK ]

Application advisories
* Application scan
Checking Apache2 modules ... [ Not found ]
Checking Apache configuration ... [ OK ]

* Application version scan
- Exim MTA 4.50 [ OK ]
- GnuPG 1.2.7 [ OK ]
- Apache 1.3.34 [ OK ]
- Bind DNS 9.2.4 [ OK ]
- OpenSSL 0.9.8a [ OK ]
- PHP 4.4.0 [ OK ]
- Procmail MTA 3.22 [ OK ]
- ProFTPd 1.2.10 [ OK ]
- OpenSSH Unsupported [ Unknown ]

Your system contains some unknown version numbers. Please run Rootkit Hunter
with the --update parameter or fill in the contact form (www.rootkit.nl)

Security advisories
* Check: Groups and Accounts
Searching for /etc/passwd... [ Found ]
Checking users with UID '0' (root)... [ OK ]

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... [ OK (Remote root login disabled) ]
Checking for allowed protocols... [ OK (Only SSH2 allowed) ]

* Check: Events and Logging
Search for syslog configuration... [ OK ]
Checking for running syslog slave... [ OK ]
Checking for logging to remote system... [ OK (no remote logging) ]

---------------------------- Scan results ----------------------------

MD5
MD5 compared: 92
Incorrect MD5 checksums: 1

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 0

Scanning took 46 seconds

-----------------------------------------------------------------------

Do you have some problems, undetected rootkits, false positives, ideas
or suggestions?
Please e-mail me by filling in the contact form (@http://www.rootkit.nl)

-----------------------------------------------------------------------

يجب التعامل عم الاخطاء يدويا

البرنامج يكشف لك و انت تعدل
الموجود في الاعلى كان لسيرفر بحرين ويب bahrain.web.com

أدوات الموضوع
مشاهدة نسخة مطبوعة إرسال هذه الصفحة