Messages posted by: mapthulu

Trong phiên bản Apache 2.4 này, nếu biên dịch không đặt giới hạn, nó sẽ biên dịch tất cả
Sau khi chọn module mà mình muốn, cần phải có tùy chịn để giới hạn chỉ những module được chọn
Code:

--disable-FEATURE --enable-MODULE=static --enable-mods-static=few

BlueMM wrote:

Trường nào cũng vậy thôi, vào học mới biết chán, mình học tới năm 3 rồi mà chẳng hiểu cái gì, họ chẳng dạy mình làm hacker, toàn mấy thuật toán, định lý

Những tinh túy chỉ có thể gói gọn trong đó, quan trọng làm sao để bung (hoặc giải nén) nội dung từ nó mà thôi.
Điều này thì tự học vì không ai đủ thời gian dạy cho bạn.

Nôm na: Bạn đi học tức là bạn được định hướng từ giáo viên, được giúp chỉ đường. Còn đi được hay không là do bạn.

Uchiha-Itachi wrote:

Tính năng Sandbox đã có từ lâu rồi, nhớ không nhầm là 1 chương trình Antivirus free.

Của Comodo, xài free mà ngon nữa, bao gồm gói tường lửa

TND.VN wrote:

em có mấy phương án sau đây mọi người xem qua tư vấn giúp em để chống localhack tốt nhất

ví dụ 1 thư mục web là D:\Web\Domain.com\www\ và open_basedir là: C:\Temp
Tất cả các domain đều dùng chung 1 temp là C:\Temp

ví dụ 2 thư mục web là D:\Web\Domain.com\www\ và open_basedir là: D:\Web\Domain.com\Temp\
Mỗi domain sẽ dùng 1 temp riêng

vậy cách nào sẽ tốt hơn ?

Mỗi cái thì xài "temp" riêng, an toàn, hạn chế xung đột

Cái này ghê thật, mấy chú tàu đủ thứ trò hổ lốn

Kiểm tra lại như anh conmale nói nhé bồ
Thêm dòng sau cho nó xóa sạch bách các luật đi rồi kiểm lại cho dễ
echo > /etc/sysconfig/iptables
/etc/init.d/iptables restart

http://winsrvtuts.com/2011/09/windows-2008-tcpip-protocol-stack-hardening-part-1/

http://www.google.com.vn/search?q=harden+tcp+windows+2008&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:vi:official&client=firefox-a

Windows khó xài hơn so với Linux smilie

Dẹp quách cái tính năng ajax thống kê đi. Ai thích xài thì đặt cái nút, cần thì bấm nút.
Tăng thời gian nạp tự động lên.

Vấn nạn của forum thường là SEO, của xì tin thì thêm cái mod đủ thứ bà lằng, trong khi nội dung thì rỗng ruột

Thích hệ debian thì cài mint đi bạn, nhẹ nhõm hơn ubuntu nhiều
Riêng mình thì thích dùng hệ fedora hơn

Em cảm ơn vì sự hồi âm nhiệt tình của anh conmale smilie

Xin chào mọi người,

Mọi người cho em hỏi một chút thắc mắc về việc kết hợp các rule trong .htaccess.

Thí dụ, em có 2 điều kiện là A và B, em muốn kết hợp điều kiện theo dạng:
_Nếu chỉ thỏa điều kiện A => luật không có tác dụng
_Nếu chỉ thỏa điều kiện B => luật không có tác dụng
_Nếu thỏa cả điều kiện A và B đồng thời => luật mới có tác dụng

Trong modsecurity thì khá dễ dàng bởi:
Code:

rule 1 chain,action
rule 2

Còn trong .htaccess thì em chưa tìm thấy, em có đọc qua: http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html , mà vẫn chưa thấy [flag] đáp ứng được yêu cầu của mình.
Trong modrewrite thì "cờ" [OR] không đáp ứng được yêu cầu này vì nó là "hoặc" (chỉ A hoặc B xuất hiện thì mới có hiệu lực)

Anh chị nào có thể giải đáp giúp em với.

Chân thành cảm ơn.

Cảm ơn anh và chúc anh sức khỏe smilie

Cảm ơn anh đã hồi âm,

Đoạn anh tô đỏ, em hiểu đã hiểu vấn đề là thư mục root nên các user khác không thể "dòm ngó" được.

Em thử chuyển đoạn blocker_modsec.sh sang thư mục /home thì cũng chưa thực thi được

Cấu hình Apache và PHP của em như sau:
_Apache: SuExec
_PHP: SuPHP

Do vậy, nếu mình đưa vào từng thư mục đúng với /home/$user đó thì không thể (hệ thống bên em là share hosting khá nhiều user)

Xin chào các anh,

Em áp dụng luật từ đoạn anh comale đưa vào, nhưng không thể hoạt động được. Em có tìm hiểu thì ở đây có nói là Apache chạy SuExec sẽ không chạy được (bài cuối cùng): http://www.webhostingtalk.com/archive/index.php/t-357782.html

Cấu hình cho iptables
Code:

iptables -N MOD_SECURITY
iptables -A MOD_SECURITY -j LOG --log-prefix "MOD_SECURITY: "
iptables -A MOD_SECURITY -m recent --name MOD_SECURITY_CHECK --set -j DROP
iptables -A INPUT -m recent --name MOD_SECURITY_CHECK --update --seconds 120 -j MOD_SECURITY

Các luật trên nạp vào iptables thành công
Đã chown nobody.nobody /proc/net/ipt_recent/MOD_SECURITY_CHECK để cho tất cả user đều chạy được

Phần lệnh cho chạy ModSecurity
Code:

SecAction "phase:1,t:none,pass,nolog,initcol:global=global,initcol:ip=%{remote_addr}"
SecRule &REQUEST_HEADERS:Accept "@eq 0" "phase:1,id:20002,log,setvar:ip.ddos=+1,deprecatevar:ip.ddos=30/60,expirevar:ip.ddos=120"
SecRule IPDOS "@gt 0" "phase:1,log,msg:'DDoS_from: %{REMOTE_ADDR}',exec:/root/check/fw/blocker_modsec.sh"

Cũng đã chown nobody.nobody cho /root/check/fw/blocker_modsec.sh

Khi xem qua ghi nhận lại từ mod_security báo về thì
Code:

Exec: Execution failed while reading output: /root/check/fw/blocker_modsec.sh (End of file found)
Failed to execute: /root/check/fw/blocker_modsec.sh
Access denied with connection close (phase 1). Operator GT matched 0 at IP:ddos. [file "/usr/local/apache/conf/modsec2.user.conf"] [line "51"] [msg "DDoS_from: 113.180.94.59"]

Theo như vậy và bài ở trên của anh comale thì đã được thực thi thành công.
Tuy nhiên em xem thử nội dung của /proc/net/ipt_recent/MOD_SECURITY_CHECK thì rỗng.

Em xin cảm ơn đã xem

conmale wrote:

1. Vẫn cho phép các chuỗi IP của google access và kiểm tra user-agent.
2. Nếu user-agent đúng là của google nhưng IP không thuộc google --> trảm đẹp.
3. Nếu user-agent và IP đúng là của google, nhưng "fetch" mà lại không đụng gì tới một URI có rss (feed) thì ---> trảm nốt.

Cảm ơn anh vì gợi ý, ở điều 1 và 2 có thể gộp chung lại thành 1 Rule [chain] trong Mod_Security
Còn điều 3 em sẽ tìm hiểu thêm.

Bạn nào cần xem tại đây: /hvaonline/readingRoom/item/237042.html

edge wrote:

Sau khi thêm dòng:

iptables -t mangle -I PREROUTING -p udp -j REDIRECT --to-ports 9

vào iptables, e gặp lỗi sau:

[7258252.635604] x_tables: ip_tables: REDIRECT target: only valid in nat table, not mangle

Trong khi đó trong "man iptables", table mangle có chain PREROUTING:

mangle:
This table is used for specialized packet alteration. Until kernel 2.4.17 it had two built-in chains: PREROUTING (for altering incoming packets before routing) and OUTPUT (for altering locally-generated packets before routing). Since kernel 2.4.18, three other built-in chains are also supported: INPUT (for packets coming into the box itself), FORWARD (for altering packets being routed through the box), and POSTROUTING (for altering packets as they are about to go out)

$iptables --version
iptables v1.4.10
$ uname -a
Linux ubuntu 2.6.38-8-generic-pae #42-Ubuntu SMP Mon Apr 11 05:17:09 UTC 2011 i686 i686 i386 GNU/Linux

Em không hiểu sao lại bị lỗi trên, mong anh xem giúp.

Ở đây, lỗi mà bạn gặp cũng giống mình, điều chắc chắn là phải biên dịch lại nhân của hệ thống để có tuỳ chọn cho việc REDIRECT khi dùng PREROUTING trong mangle

Cú pháp ở đoạn 2 buộc các tên bảng phải được dịch sang hex (vì server được cấu hình hiểu hex)
unhex thì giải mã để đưa ra cho người đọc

Nôm na vậy

Chân thành cảm ơn về sự hồi âm của anh.

Hệ thống bên em đang chạy kiểu RAID onboard nên chưa thể cập nhật được kernel (đã có phần phát sinh panic, đành phải hiệu chỉnh về bản cũ hơn)
Riêng về biên dịch dựa trên thành phần có sẵn cũng chưa thể vì hệ thống đang chạy dạng hosting.

Chúc anh sức khỏe

kutruoi wrote:

em xin có vài ý kiến như sau :

ngoài biện pháp sử dụng một antivirus/malware thật tốt với các signatures/definitions mới nhất ra thì biện pháp em nghĩ là an toàn nhất vẫn là sự kết hợp với việc tạo thói quen cẩn thận khi sử dụng máy tình của mình; bằng cách cài thêm một hệ điều hành ảo sài Unix hay linux gì đó. chỉ sử dụng những giao dịch "kô quan trọng" trên một hệ điều hành window, còn lại khi cần dùng những accounts, khi cần giao dịch với nhưng thông tin quan trọng và nhạy cảm, mở và sài thằng hệ điều hành ảo kia . tất nhiên con ảo kia cũng phải config cho thật sạch và sài những av mới nhất.

thói quen an toàn thông tin quan trọng hơn cả AV sometime . vì

chỉ cần code một con keylogger đơn giản gi lại nhật ký bàn phím và save thành một file txt nhỏ bé một nơi nào đó. rùi cho nó đếm thời gian đủ 2 ngày sau mới gửi vào mail . thì nhiều AV mới cũng ..bỏ qua vụ này; và điều này thì ...av cũng vô dụng .

xin các bác cho ý kiến ạ .

Mình thấy hông ổn vì keylogger hoạt động trên quy tắc ghi nhận lại các sự kiện mà chuột và phím đưa vào. Vậy máy ảo cũng vô tác dụng, vì mấy "thật" vẫn phải gõ. Trong khi máy thật ở đây là Win.

Dùng http://www.qfxsoftware.com khá hay, hồi đó Sony "nhúng" luôn trình này vào những máy laptop bán ra

Cảm ơn anh hồi âm, đây là 4 con máy chủ vật lý của bên em

Máy 1:
Code:

#iptables --version
iptables v1.3.5
#uname -a
Linux server1 2.6.18-164.el5 #1 SMP Thu Sep 3 03:28:30 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux

Máy 2:
Code:

#iptables --version
iptables v1.3.5
#uname -a
Linux server2 2.6.18-194.el5 #1 SMP Fri Apr 2 14:58:14 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

Máy 3:
Code:

#iptables --version
iptables v1.3.5
#uname -a
Linux server3 2.6.18-164.el5 #1 SMP Thu Sep 3 03:28:30 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux

Máy 4:
Code:

#iptables --version
iptables v1.3.5
#uname -a
Linux server4 2.6.18-164.el5 #1 SMP Thu Sep 3 03:28:30 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux

Em xin cảm ơn

conmale wrote:

iptables -t mangle -I PREROUTING -p udp -j REDIRECT --to-ports 9

Chào anh,

Khi em dùng đoạn này để thử nghiệm thì nhận được thông báo lỗi từ phía máy chủ:
Code:

iptables: Unknown error 18446744073709551615

Dịch vụ Discard đã được khởi chạy cho cả UDP và TCP. Nếu em thay thế REDIRECT --to-ports 9 bằng DROP thì lại được.

Nếu em không dùng mangle mà dùng nat thì bình thường
Code:

iptables -t nat -I PREROUTING -p udp -j REDIRECT --to-ports 9

Em chưa rõ vấn đề do đâu, mong nhận được sự hỗ trợ.

Nội dung cấu hình Discard cho TCP
Code:

service discard
{
disable = no
id = discard-stream
type = INTERNAL
wait = no
socket_type = stream
protocol = tcp
user = root
}

Nội dung cấu hình Discard cho UDP
service discard
Code:

{
disable = no
id = discard-dgram
type = INTERNAL
wait = yes
socket_type = dgram
protocol = udp
user = root
}

Em xin cảm ơn.

Bài trả lời của mình sẽ không ăn nhập gì đến những bài trên, nhưng vì sao thấy nó có nét giống giống nên mình đưa lên xem có được gì hay không.
Hôm nay server mình bị tấn công, nên mình lọc được vài thông tin
Code:

115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.css HTTP/1.1" 200 20399 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /clientscript/vbulletin-core.js?v=408 HTTP/1.1" 200 47757 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.min.js HTTP/1.1" 200 54296 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET / HTTP/1.1" 302 0 "http://abcdef-site.com/" "-"

Không có user-agent, abcd... là domain mình đã ẩn
http://cC2.upanh.com/25.587.32753521.OoE0/1.png

http://cC5.upanh.com/25.587.32753524.bi30/2.png

http://www.stopforumspam.com/ipcheck/115.78.4.183
http://cC7.upanh.com/25.587.32753526.mkB0/3.png

Kiểm thử nguyenvietcam77 thì cũng ra nethoabinh
http://cC1.upanh.com/25.587.32753540.4vt0/5.png

Kiểm thử vài cái nữa thì ra user khác, vậy là IP động rồi
http://cC1.upanh.com/25.587.32753530.F8s0/4.png

sửa wrote:

Chỉnh lại cho đỡ kéo màn hình khi mọi người xem

p/p có nghĩa là gì?

Nếu dùng .htaccess bạn có thể giảm thểu đó

Lọc User-Agent này Media Center PC

Mới nhìn phần DUMP sơ qua của bạn thôi

IP Source: 4.x.y.z | 5.x.y.z | 6.x.y.z | 7.x.y.z | 8.x.y.z
Source Port: cadlock2 [1000]

Sửa thêm: hỗm nay mấy máy chủ VN cũng hay gặp dạng tấn công này. Đặc điểm này

@anh mrro: sử dụng varnish em nhận thấy nó 'nặng' hơn nếu so sánh với nginx. Vả lại nginx việc cache cũng khá tốt.

@nightwishx: bạn yên tâm là chủ để bạn có liên quan mật thiết đến vấn đề ai-cũng-biết và sẽ đưa ra những phương án hỗ trợ cho bạn, chẳng hạn anh comale và anh mrro.
Về cache, bạn có thể tìm hiểu thêm về memcached nữa nhé

Việc sử dụng hàm getloadavg của php không phải lúc nào cũng hoạt động. Nhất là với hosting, có thể nhà cung cấp sẽ chặn những hàm liên quan mật thiết đến hệ thống.

Còn khi bạn dùng máy chủ riêng thì 'chết'

denmilu wrote:

Nhìn vào là tuyển bảo mật nhưng sao bác lại có vẻ đề cao lập trình vậy nhỉ? . Muốn tuyển giỏi cả 2 lĩnh vực đó chắc là các bank hoặc các nơi trả lương cực cao rồi!

Bảo mật là vấn đề cực lớn. Nếu bạn biết lập trình sẽ có lợi thế phân tích mã nguồn, debug, ...
Nhưng chính vì quá rộng lớn nên không thể kham hết, sẽ có từng người, từng việc cụ thể.