السبت، 2 أبريل 2016
حل مشكلة التيلينت بسهولة
ان التيلينت خلال عملية الولوج أو تسجيل الدخول ترسل اسم المستخدم وكلمة السر بشكل واضح وبدون تشفير لذلك يجب ان يتم تعطيلها على السيرفر واستبدالها بالSSh
بعض مزودي خدمة الاستضافة لا يقومو بتعطيل هذه الخدمة بشكل افتراضي ويجب الانتباه إلى ذلك وتعطيلها كما ان التيلنيت تصغي إلى الرسائل الداخلة والخارجة عبر البورت رقم 23 وإليكم كيفية إلغاء تفعيل هذه الخدمة:
1- قم بالدخول إلى السيرفر كرووت من خلال اس اس اتش
2- قم بتنفيذ الأمر التالي:
رمز PHP:
pico /etc/xinetd.d/telnet
3- ابحث عن السطر
disable = no
وغيره إلى
disable = yes
4- قم بإعادة تشغيل خدمة inetd service عبر الأمر:
رمز PHP:
/etc/rc.d/init.d/xinetd restart
5- قد تبقى هذه الخدمة فعالة بعد الذي فعلناه لذلك لضمان أنها ليست فعالة نفذ الامر:
رمز PHP:
/sbin/chkconfig telnet off
6- اعمل سكان للسيرفر للتأكد من أن البورت 23 مغلق:
رمز PHP:
nmap -sT -O localhost
7- نفذ الأمر التالي لكي تتأكد من انه لا يوجد اي عملية خاصة بالتيلينت فعالة وإذا وجدت اي واحدة دمرها ب kill:
رمز PHP:
ps -aux | grep telnet
رمز PHP:
pico /etc/xinetd.d/telnet
رمز PHP:
/etc/rc.d/init.d/xinetd restart
رمز PHP:
/sbin/chkconfig telnet off
رمز PHP:
nmap -sT -O localhost
ps -aux | grep telnet
حل مشكلة Root Check لحماية و زيادة أمن السيرفر
السلام عليكم ورحمة الله وبركاته
أخواني الأكارم أٌقدم لكم هذه المجموعة من الدروس المنتقاة لحماية و زيادة
أمن السيرفر وجعله مستقرا وقد قمت بجمع هذه الدروس من أشهر المواقع
الأجنبية في مجال حماية السيرفر وذلك بعد تجريبها والتأكد من صحتها وخلوها
من أي خطأ وأتمنى أن يلقى عملي هذا ترحيبا وتشجيعا من الجميع وأن يساعد كل
من ليس لديه خبرة في إدارة وحماية السيرفر قد استفاد من هذه الدروس كما قمت
باختيار هذا الموقع اقصد الويب العربي نظرا لتفوقه على جميع الماوقع
العربية على الإطلاق في هذا المجال ولنبدأ بالدرس الأول:
Root Check
يقوم بفحص وعمل سكان للنظام لمعرفة ما إذا كان هناك أي تروجان ويقوم بفحص
البورتات ومعرفة إذا كان هناك أي مخترق كما يقوم بفحص اللوغ و السماحيات
والكثير...
تعليمات التنصيب
-------
قم بالدخول إلى السيرفر كرووت
نفذ التعليمات التالية:
رمز PHP:
wget http://www.ossec.net/rootcheck/files/rootcheck-0.4.tar.gztar -xvzf rootcheck-0.4.tar.gz
cd rootcheck-0.4./install
ذلك تكون قد قمت بتنزيل الرووت تشيك على السيرفر وعندما ينتهي التنصيب ستستقبل الرسالة التالية:
رمز PHP:
Compilation sucessfull. Ready to go.
---------------------------------------------------------Thats it! If everything went ok, you should be ready to run RootCheck. If you any doubts
about installation, please refer to INSTALL file. You can also find additional information
at : http://www.ossec.net/rootcheck/ Improves, patches, comments are very welcome.---------------------------------------------------------
فحص النظام
-------
الآن بعد ان قمت بالتنصيب يمكنك فحص النظام من خلال التعليمة التالية:
رمز PHP:
./rootcheck.pl
ستنتقل بعدها إلى شاشة تفاعلية وستخزن جميع المعلومات في الملف
results.txt
حيث ستجد معلومات واضحة عن الملفات المشتبه بها وما قام به البرنامج أثناء الفحص
إذا أردت معلومات أكثر عن الرووت تشيك يمكن أن تجدها في الموقع
http://www.ossec.net/
والله ولي التوفيق
رمز PHP:
wget http://www.ossec.net/rootcheck/files/rootcheck-0.4.tar.gztar -xvzf rootcheck-0.4.tar.gz
cd rootcheck-0.4./install
رمز PHP:
Compilation sucessfull. Ready to go.
---------------------------------------------------------Thats it! If everything went ok, you should be ready to run RootCheck. If you any doubts
about installation, please refer to INSTALL file. You can also find additional information
at : http://www.ossec.net/rootcheck/ Improves, patches, comments are very welcome.---------------------------------------------------------
رمز PHP:
./rootcheck.pl
شرح تركب الجدار الناري Apf
رمز:
makedir root
رمز:
cd root
اسحب البنامج عن طريق هذا الامر
افتح ضغط الملف
رمز:
tar -xvzf apf-current.tar.gz
اكتب امر dir او ls
و سوف تظهر النتيجة بوجود ملف يسمة
و سوف تظهر النتيجة بوجود ملف يسمة
رمز:
apf-#.# ------------ حيث #.# تساوي اصدار البرنامج
تم اكتب الامر
رمز:
cd(الملف الذي تم التعرف الية في السابق و يتكون من apf #.#.#)
ثم شغل هذا الامر لعمل تثبيت
رمز:
sh ./install.sh
بعد الانتهاء من التثبيت اكتب امر cd للانتقال الى ملف البرنامج
رمز:
cd /etc/apf
حرر ملف التكوين
رمز:
pico -w conf.apf
---------------- انتبة هنا ----------------------
يجب الانتباه لان هذه الخطوة اهم اخطوة و يمكن ان تحجب خادمك او السيرفر عن الخدمة
و بهذا الملف يجب ان تضيف المنافذ الذي يسمح التعامل معها و عادتا تكون منافذ البريد و برتكول http و برتكول نقل الملفات ftp و غيرها
-------------------------------------------------
اضغط على Ctrl + W
لاجراء بحث في النص و ادخل هذه الكلمة # TCP Ports
و تاكد من النص الذي اسفلها يكون
يجب الانتباه لان هذه الخطوة اهم اخطوة و يمكن ان تحجب خادمك او السيرفر عن الخدمة
و بهذا الملف يجب ان تضيف المنافذ الذي يسمح التعامل معها و عادتا تكون منافذ البريد و برتكول http و برتكول نقل الملفات ftp و غيرها
-------------------------------------------------
اضغط على Ctrl + W
لاجراء بحث في النص و ادخل هذه الكلمة # TCP Ports
و تاكد من النص الذي اسفلها يكون
رمز:
TCP_CPORTS و اجعل القيمة تكون 21,22,25,26,53,80,110,143,443,2082,2083,2086,2087, 2095,2096,19638 هذه القيم هي ارقام المنافذ الخاصة بخدم البريد و الاف تي بي و الشيل الويب و السي بنل سيرفرس و التي تتكون من ويب ميل و whm و cpanel
و ابحث عن هذا النص # Common UDP Ports
و تاكد من النص الذي اسفلة يكون
و تاكد من النص الذي اسفلة يكون
رمز:
UDP_CPORTS="53"
بحيث تكون قيمة المنفذ 53
ثم ابحث عن القيمة DEVM و اضبطها لتكون قيمتها 0 بعد الانتهاء من ادخال ارقام المنافذ
الان احفظ الملف عن طريق
ثم ابحث عن القيمة DEVM و اضبطها لتكون قيمتها 0 بعد الانتهاء من ادخال ارقام المنافذ
الان احفظ الملف عن طريق
رمز:
الضغط Ctrl + X
و شغل الجدار الناري عن طريق هذا الامر
رمز:
./apf -start
او
رمز:
service apf start
3
و لاعادة تشغيل الجدار الناري بدل كلمة start في الامرين السابقين الى restart و اذا اردت ايقاف الجدار الناري بدل كلمة start الى stop في الامرين السابقين
* ملاحظة اذا لم يعمل الجدار الناري حاول عمل رستارت
* اذا لاحظت بوجود خطاء معين تتوقع سببة الجدار الناري ابلغنا على الخاص او البريد
* اذا سبب الجدار الناري في انقطاع الاتصال بكافة الخدمات حاول مراجعة الشركة
اذا فشلت فى تركيبه فخبرني
ملحوظه اذا كنت تستخدم دى جى شات فاضف هذه البورتات
8396,58396,11112 وذلك عن طريق التالى
اضغط على Ctrl + W
لاجراء بحث في النص و ادخل هذه الكلمة # TCP Ports
ستجد بورتات كثير اضف معها
8396,58396,11112
و لاعادة تشغيل الجدار الناري بدل كلمة start في الامرين السابقين الى restart و اذا اردت ايقاف الجدار الناري بدل كلمة start الى stop في الامرين السابقين
* ملاحظة اذا لم يعمل الجدار الناري حاول عمل رستارت
* اذا لاحظت بوجود خطاء معين تتوقع سببة الجدار الناري ابلغنا على الخاص او البريد
* اذا سبب الجدار الناري في انقطاع الاتصال بكافة الخدمات حاول مراجعة الشركة
اذا فشلت فى تركيبه فخبرني
ملحوظه اذا كنت تستخدم دى جى شات فاضف هذه البورتات
8396,58396,11112 وذلك عن طريق التالى
اضغط على Ctrl + W
لاجراء بحث في النص و ادخل هذه الكلمة # TCP Ports
ستجد بورتات كثير اضف معها
8396,58396,11112
اوامر مهمة لفحص السيرفر من ssh
امر حبيت اوضعها بين ايديكم لفحص نظام السيرفر لديكم
smartctl -H /dev/sda
او
smartctl -a /dev/sda
و لفحص البلوكات الموجوده بالسيرفر و المواقع التي تحتوي على اي ثغره معينه اليك الامر هذا
badblocks -v -v /dev/sda
الاوامر لفحص النظام و ايضاح اي خطاء موجود و اعلامك بالملف الذي يوجد به الغلط و ايضاحه
سد ثغرة في الأصدار الأخير من php رقم 5.2.14
ثغرة في الأصدار الأخير من php رقم 5.2.14 مكتشف الثغرة : Maksymilian Arciemowicz رابط الأعلان عن الثغرة : http://securityreason.com/achievement_securityalert/90
شرح الترقيع : افتح الشل و طبق الأمر التالي لفتح الملف الموجود فيه الثغره :
nano /home/cpeasyapache/src/php-5.2.14/ext/zip/php_zip.c
ابحث بداخل الملف عن:
comment = zip_get_archive_comment(intern, &comment_len, (int)flags);
اضف اسفله
if(comment==NULL) RETURN_FALSE;
ليصبح بالشكل التالي :
comment = zip_get_archive_comment(intern, &comment_len, (int)flags); if(comment==NULL) RETURN_FALSE;
احفظ العمل داخل الملف ctrl+x ثم y ثم Enter و هكذا ان
شاء الله انتهي أمرها . ملحوظه : في حال عمل تحديث للأباتشي يجب عمل إعادة
تطبيق الشرح مرة أخري - ملحوظه لأخونا علي عمير . الحل موجود في نفس رابط
الثغره :
-
--- 3. Fix --- Fix: Replace 1963 comment =
zip_get_archive_comment(intern, &comment_len, (int)flags); 1964
RETURN_STRINGL((char *)comment, (long)comment_len, 1); to 1963 comment =
zip_get_archive_comment(intern, &comment_len, (int)flags); 1964
if(comment==NULL) RETURN_FALSE;
انتهي الدرس
طريقة حل مشكلة php .ini في suPHP
السلام عليكم ورحمة الله وبركاته
الحين في ناس كثير تشكر suPHP - PHPsuexec وفي ناس تذم فيها بسبب ان العميل بامكانه ان يرفع ملف php.ini لمسار موقعه ويتمكن من ايقاف عدة خصائص حمائية لـ php
لكن طبعا لك شي حل والحمد لله
وبعد بحث دام 5 اشهر لهذا الحل تم الوصول الى حل جذري وفعال 100% تزامن مع صدور cpanel 11 في المرحلة الثانية ( اي دعم apache 2 + php 5 )بدون اطالة سوف اطرح الحل : يجب طبعا توفر :
رمز PHP:
mod_suphp
php handler : suphp
SuExec : On
يفضل استخدام :
رمز PHP:
apache 2.2.x
php 5.2.x
والان ناتي الى الحل
رمز PHP:
pico /usr/local/apache/conf/php.conf
اضف هذا السطر
رمز PHP:
# No local PHP.INI
suPHP_ConfigPath /usr/local/lib/php.ini
ليكون شكل الملف كالتالي :
احفظ الملف
رمز PHP:
httpd restart
طبعا لولا الله عز وجل ما كنت وصلت لهذا الحل
اللهم لك الحمد والشكر
رمز PHP:
mod_suphp
php handler : suphp
SuExec : On
apache 2.2.x
php 5.2.x
رمز PHP:
pico /usr/local/apache/conf/php.conf
رمز PHP:
# No local PHP.INI
suPHP_ConfigPath /usr/local/lib/php.ini
رمز PHP:
httpd restart
حل مشكلة E-mail Alert on Root SSH Login
E-mail Alert on Root SSH Login
بهذه الفكرة التي نتكلم عنها اليوم ستتمكن من استقبال رسالة بريدية مجرد
دخول أي شخص إلى السيرفر كرووت وهذا أمر هام من أجل تتبع كل من يدخل إلى
السيفر كرووت حيث سترسل رسالة فورية لك تخبرك بذلك ويفضل أن تضع عنوان بريد
الكتروني في سيرفر أو استضافة أخرى وليست على نفس سيرفرك الذي سيرسل رسالة
التحذير ويفضل استخدام هذه الطريقة في حال كان هناك أكثر من مدير للسيرفر
واليكم الطريقة:
1- إدخل إلى السيرفر كرووت عن طريق SSh
2- نفذ الأمر :
رمز PHP:
cd /root
3- افتح الملف .bashrc للكتابة:
رمز PHP:
pico .bashrc
4- أضف ما يلي في نهاية الملف مع تغيير الايميل والهوست:
رمز PHP:
echo 'ALERT - Root Shell Access (YourserverName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -
f1`" you@yourdomain.com
5- أحفظ الملف Crtl + X then Y
6- يمكنك الآن الخروج من الـ اس اس اتش والدخول مرة ثانية للتجريب
رمز PHP:
cd /root
رمز PHP:
pico .bashrc
رمز PHP:
echo 'ALERT - Root Shell Access (YourserverName) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -
f1`" you@yourdomain.com
الاشتراك في:
الرسائل (Atom)
