1
|
Сигурност / Системна Сигурност / Почистване на хакната система
|
-: Feb 18, 2015, 15:19
|
Здравейте ,
Тези дни почиствам една машина която е била "хакната" като root достъп не е получен само са качвали разни PHP Shells. Главните сайтове НЕ са готови системи като wordpress / Joomla ...etc. Имат няколко блога които реално са били проблемни.
Какви бяха проблемите:
1. Стари Joomli от 2013г. 2. Нямаше мониторинг на услугите или на ресурсите на системата 3. Нямаше бекъп 4. Няма git/svn за сайтовете
Общо взето много трудно да разбера откъде се е шмугнал дали бот или човек.
Какво съм направил до тук: 1. Ъпдейтнах проблемн и пакети 2. Блоговете и без това не ги ползваха хората решиха да ги спрем вместо да се ъпдейват 3. настроен бекъп 4. Настроен мониторинг на услугите и за системата (CPU ,mem,disk,I/O , Apache, BIND ...etc) всичко което ми трябва да гледам . 5. rkhunter - Няма драми 6. След това започнах с find / php файлове с различни възможности като: 6.1 mtime , ctime за промяна по PHP файловете 6.2 find + grep търся за определени думи за познати шелове 6.3 find + grep тързя за eval , base64_decode 7. Проверил съм за странни потребители , портове , програми работещи на машината. 8. все още нещо съм направил което пропускам.
След като намерих няколко шела започнах да разглеждам access.log -a на Apache-to ,но не намерих нищо особено просто почистих каквото имаше.
В момента ситуацията е ,че реално ако тези шелчета са били качени от дупка(и) в съмият код на сайата ,а не на блоговете немога да бъда сигурен ,че пак няма да се случи.
Идеи : Щях да гледам нещата с iwatch всички .php във /var/www което щеше да засмуче РАМ ,но щях веднага да хвана ако се промени PHP - Само ,че греда /proc/sys/fs/inotify/max_user_watches неможе да бъде променяно ,защото машината е на OpenVZ (VPS) (не съм го тествал на големи сайтове дали е ОК)
Реинстал на машината няма да помогне ,защото съм сигурен ,че няма root достъп и всичко е в /var/www/ и като кача пак сайтовете всичко ще си остане.
Мисля да настроя един tripwire с определни правила за PHP файловете.
В момента машината може да понесе натоварване важното е да разбера откъде са влезнали. Ако е човек ще влезне пак ако е бот все някога пак ще удари същото място.
Немога да седна да гледам кода на всички сайтове ред по ред ,но мога да хвана поне как влизат ,за да прегледам точно определени файле.
Общо взето ситуации всякакви главният въпрос е.... някакви идеи какво още да се направи.
|
|
|
2
|
Linux секция за напреднали / Начини за увеличаване на бързодействието / Load balancing
|
-: May 23, 2008, 15:24
|
Здравейте ,
Имам следната топология няколко сървъра обслужват сайт отделно mysql ,memcache ,flash ,web .
Досегашна топология
Client ----> haproxy ---> web ---> memcache web2--> memcache web3--> memcache
web , web2 ,web3 са Apache servers
в момента имам идея да минат всичките на Nginx ,но проблема идва от това ,че все още доколкото съм запознат nginx неможе да сработва с Cookies а Haproxy ползва точно това.
Идеята ми е някой дали е правил nginx load balancer (reverce proxy) защото искам да оптимизирам сървърите и да разкарам апачетата.
Поздрави
|
|
|
3
|
Linux секция за напреднали / Хардуерни и софтуерни проблеми / Memcached web proxy
|
-: May 14, 2008, 17:07
|
The situation is this. Gentoo servers 2.6.22 kernels here we use apache1.3 php4.4.4 ###### server1 --- Haproxy + web server2 --- Web server3 --- Memcached server4 --- mysql ###### Debian servers 2.6.24 kernel apache2 php5 ### New server --- Web ####################################### ПОлзваме прокси което да е баланс между 2-ва WEB сега се опитваме да вкараме нов сървър и да станат 3 WEB-a ,но явно мемкеш се издънва на новия съвръв вървеше apache2 php5 след това DOWNGRADE то apache1.3 php4.4.4 компилирах и memcache client-a на ръка пробвахме с 3-ри версии 1.3х ,2.0 и3.0 смених и кърнала от 2.6.24 на 2.6.25 ,но проблема си седи Here the haproxy.conf Code: Примерен код | global log 127.0.0.1 local0 log 127.0.0.1 local1 notice #log loghost local0 info #debug #quiet user nobody group nobody
defaults mode http option httplog option dontlognull #2x exp option abortonclose option redispatch retries 10 maxconn 2048 contimeout 5000 clitimeout 50000 srvtimeout 50000
listen Ferm IP:80 mode http stats enable stats auth user:passs1sds stats hide-version stats scope . stats uri /load?stats stats realm Statistics stats refresh 5s balance roundrobin # cookie SID prefix cookie JSESSIONID prefix # cookie SERVERID insert indirect option httpclose option forwardfor # option persist option httpchk HEAD http://x.x.x.x/check.txt HTTP/1.0 server a server3 cookie D check inter 10000 backup # server b Newserver cookie C weight 50 minconn 10 maxconn 600 check inter 1000 server c server1 cookie A weight 10 minconn 40 maxconn 600 check inter 1000 server d server2 cookie B weight 20 minconn 30 maxconn 600 check inter 1000 redispatch
|
Memcached start with :
Code:
Примерен код | /usr/bin/memcached -d -p 11211 -l x.x.x.x -m 4096 -c 20480 -u memcached -P /var/run/memcached/memcached-11211.pid |
Това се връща от MEMCACHED..
Примерен код | <8 set fail1210688324 0 0 7 <7 set fail1210688327 0 0 7 <11 set fail1210688335 0 0 7 <11 set fail1210688338 0 0 7 <9 set fail1210688345 0 0 7
|
Доколкото разбирам проблема идва от мемкеш 1.Клиента си кликва 2.Проссито разпределя заявките и отива примерно към НОВИЯ сървър т 3.Сървъра преда на МЕМКЕШ сървъра който е на друга машина 4.Мемкеша му връща грешка 5.Клиента не взима данните от мемкеш-а и започва да рови из БАЗАТА ДАННИ след 10-15 мин като се натрупат достатъчно клиенти базата явно неможе да смогне и сървъра вдига 30 лоад
Идеи ....
Greetings
|
|
|
4
|
BSD секция / Настройки на софтуер / Memcached web proxy
|
-: May 14, 2008, 17:07
|
The situation is this. Gentoo servers 2.6.22 kernels here we use apache1.3 php4.4.4 ###### server1 --- Haproxy + web server2 --- Web server3 --- Memcached server4 --- mysql ###### Debian servers 2.6.24 kernel apache2 php5 ### New server --- Web ####################################### ПОлзваме прокси което да е баланс между 2-ва WEB сега се опитваме да вкараме нов сървър и да станат 3 WEB-a ,но явно мемкеш се издънва на новия съвръв вървеше apache2 php5 след това DOWNGRADE то apache1.3 php4.4.4 компилирах и memcache client-a на ръка пробвахме с 3-ри версии 1.3х ,2.0 и3.0 смених и кърнала от 2.6.24 на 2.6.25 ,но проблема си седи Here the haproxy.conf Code: Примерен код | global log 127.0.0.1 local0 log 127.0.0.1 local1 notice #log loghost local0 info #debug #quiet user nobody group nobody
defaults mode http option httplog option dontlognull #2x exp option abortonclose option redispatch retries 10 maxconn 2048 contimeout 5000 clitimeout 50000 srvtimeout 50000
listen Ferm IP:80 mode http stats enable stats auth user:passs1sds stats hide-version stats scope . stats uri /load?stats stats realm Statistics stats refresh 5s balance roundrobin # cookie SID prefix cookie JSESSIONID prefix # cookie SERVERID insert indirect option httpclose option forwardfor # option persist option httpchk HEAD http://x.x.x.x/check.txt HTTP/1.0 server a server3 cookie D check inter 10000 backup # server b Newserver cookie C weight 50 minconn 10 maxconn 600 check inter 1000 server c server1 cookie A weight 10 minconn 40 maxconn 600 check inter 1000 server d server2 cookie B weight 20 minconn 30 maxconn 600 check inter 1000 redispatch
|
Memcached start with :
Code:
Примерен код | /usr/bin/memcached -d -p 11211 -l x.x.x.x -m 4096 -c 20480 -u memcached -P /var/run/memcached/memcached-11211.pid |
Това се връща от MEMCACHED..
Примерен код | <8 set fail1210688324 0 0 7 <7 set fail1210688327 0 0 7 <11 set fail1210688335 0 0 7 <11 set fail1210688338 0 0 7 <9 set fail1210688345 0 0 7
|
Доколкото разбирам проблема идва от мемкеш 1.Клиента си кликва 2.Проссито разпределя заявките и отива примерно към НОВИЯ сървър т 3.Сървъра преда на МЕМКЕШ сървъра който е на друга машина 4.Мемкеша му връща грешка 5.Клиента не взима данните от мемкеш-а и започва да рови из БАЗАТА ДАННИ след 10-15 мин като се натрупат достатъчно клиенти базата явно неможе да смогне и сървъра вдига 30 лоад
Идеи ....
Greetings
|
|
|
5
|
Linux секция за напреднали / Хардуерни и софтуерни проблеми / Netboot & net install over 50 computers
|
-: Feb 19, 2008, 19:02
|
Здравейте колеги,
Имам запитване от някой който е инсталирал наведнъж повече от 10 машини.Дотук какво съм правил 1.Преинтсалиране не само на линукс и на Уиндолс с partimage работи има едно SystemRescueCd с което може да се буутне и да се възвърне чисто конфигуриран имейдж . 2.Netboot инсталация по мрежата видях ,че има и auto mode ,но не съм го тествал.
Искам да инсталирам една машина да е настроя след това да клонирам същита конфигурация на поне 10 машини през netboot BIOS някъкви идеи и предложения (: Машините ще са еднакви и може да закачам примерно по 4-5 диска на една машина и да клонирам ,но искам да го направя всичко това по мрежата .
Някъкви идеи и предложения освен тези които може би ще ползвам
Поздрави
|
|
|
6
|
Нетехнически теми / Идеи и мнения / Vnc control
|
-: Oct 12, 2007, 13:22
|
Здравейте колеги,
ОS:Debian testing X: Gnome 2.18.3
От доста време се търся нещо подобно на Apple Remote Desktop , Windows VNCscan , Net control 2 ,
Тоетс идеята е да имам софтуер където мога да виждам повече от 2-ва клиента декстопите примерно имам 50 ПЦ-та искам да мога да виждам в реално време 4-ри какво точно правят.
Имам над 50 макинтоша и с тях е лесно ,но идеята е ,че се конетктвам през моя линукс към друг макинтош посредством VNC server инсталиран на този MAC и от него контролирам маковете.Искам от моя Линукс десктоп да виждам $indows машините като на тях ще сложа VNC servers (real,ultra, ... ). Мерси на отзовалите се предварително.
Поздрави
|
|
|
7
|
Linux секция за начинаещи / Настройка на програми / Vnc control
|
-: Oct 12, 2007, 13:22
|
Здравейте колеги,
ОS:Debian testing X: Gnome 2.18.3
От доста време се търся нещо подобно на Apple Remote Desktop , Windows VNCscan , Net control 2 ,
Тоетс идеята е да имам софтуер където мога да виждам повече от 2-ва клиента декстопите примерно имам 50 ПЦ-та искам да мога да виждам в реално време 4-ри какво точно правят.
Имам над 50 макинтоша и с тях е лесно ,но идеята е ,че се конетктвам през моя линукс към друг макинтош посредством VNC server инсталиран на този MAC и от него контролирам маковете.Искам от моя Линукс десктоп да виждам $indows машините като на тях ще сложа VNC servers (real,ultra, ... ). Мерси на отзовалите се предварително.
Поздрави
|
|
|
8
|
Linux секция за начинаещи / Настройка на програми / Server hang when type reboot
|
-: Aug 29, 2007, 10:28
|
Здравейте колеги, Хардуер:
Model MB: ASUS P5LD2-VH DH PCI-E : 3ware RAID 9650SE 4 ports
Нещо много странно ми се случва с една машина Един така наречен компютър с Ubuntu Server 7.04 kernel 2.6.20 чисто нова инсталация ми прави проблеми при рестартиране. Когато напиша "reboot" or "shutdown -r now" машинта се рестартира и в момента когато ОС е спрял и трябва да тръгне BIOS-a заспива просто все едно е в Sleep режим вентилаторите и въртят ,но не тръгва повече. Zdraveite kolegi,
Какво направих ,за да се опитам да реша проблема. 1.BIOS update до последна версия 2.ACPI настройки на BIOS 3.ACPI modes от Linux kernel ---> pci=noacpi 4.Пуснахл LIVE CD и се опитам да рестартирам и проблема си остана 5.Махнах 3ware контролера и пак пробвах с LIVE CD ,но машината пак заспива. 6.Разкачих всякакъв друг хардуер. 7.Помислих ,че може да се бърка с IRQ-тата и зададах ръчно настройките на PCI-e слота ,но уви.
Някъкви идеи
Благодаря предварително
|
|
|
9
|
Linux секция за напреднали / Хардуерни и софтуерни проблеми / Server hang when type reboot
|
-: Aug 29, 2007, 10:28
|
Здравейте колеги, Хардуер:
Model MB: ASUS P5LD2-VH DH PCI-E : 3ware RAID 9650SE 4 ports
Нещо много странно ми се случва с една машина Един така наречен компютър с Ubuntu Server 7.04 kernel 2.6.20 чисто нова инсталация ми прави проблеми при рестартиране. Когато напиша "reboot" or "shutdown -r now" машинта се рестартира и в момента когато ОС е спрял и трябва да тръгне BIOS-a заспива просто все едно е в Sleep режим вентилаторите и въртят ,но не тръгва повече. Zdraveite kolegi,
Mnogo stranno neshto mi se sluchi. Edin taka narechen server s Ubuntu Server 7.04 kernel 2.6.20 mi pravi problemi instalaciqta e chisto nova i eto kakvo se sluchva. sled kato napisha "reboot" or "shutdown -r now" mashinata se restartira, no ne normalno spira i neshte da tragne poveche prosto vse edno se resva no kato trqbva da tragne BIOS-a ne shte i e nujno HARDWARE reset button inache sedi kato v SLEEP rejim. Какво направих ,за да се опитам да реша проблема. 1.BIOS update do posledna versiq 2.ACPI nastroiki ot BIOS 3.ACPI modes ot Linux kernel ---> pci=noacpi 4.Пуснахл LIVE CD и се опитам да рестартирам и проблема си остана 5.Махнах 3ware контролера и пак пробвах с LIVE CD ,но машината пак заспива. 6.Разкачих всякакъв друг хардуер. 7.Помислих ,че може да се бърка с IRQ-тата и зададах ръчно настройките на PCI-e слота ,но уви.
Някъкви идеи
Благодаря предварително
|
|
|
10
|
Linux секция за начинаещи / Настройка на хардуер / Intel embedded raid technology 2
|
-: Mar 07, 2007, 09:28
|
Здравейте клеги, Искам помощ за тази кофигурация за Debian adm64: MB:INTEL S5000PAL CPU: Intel, процесор, quad-Core Xeon E5320 (box)- 1.86GHz/8192k/Quad-Core Xeon E532 Server INTEL SR2500AL (Rack-Mountable i5000P iXeon (S771) INSR2500ALBRP MEMORY: KEKVR667D2D4F52G Kingston, памет, DDR2 SDRAM/2048MB 667MHz(PC2-5300) DIMM 240p HDD: ST3500630NS Seagate, твърд диск,500GB/7200RPM/Serial ATA II-300/16MB !!Embedded Server RAID Technology II on server boards enabled for S5000 (ESB2) SATAТова ми е големият проблем. What I do fist time: 1.Enable RAID via BIOS 2.Configure RAID massive from RAID menu (after BIOS <ctrl+e> entering BIOS menu) .Използвам RAID 10. 3.Инсталирах Debian custom iso with kernel-2.6.18-2-amd64 и всичко си го хваща и работи ,но RAID-а не тръгва .Пуснах ръчно модула ata_piix и libata но ефект никакъв. 4.RAID info for linux Package Information ================ Driver Version = 06.06.0728.2006-1 OS supported = RHEL3U6-U7, RHEL4U2-u3, SLES9SP2-SP3; (both x86 & x64 versions for these OS versions)
==================== Attention! ==================== This driver is intended for use with Software RAID options (Embedded Server RAID Technology II) on server boards enabled for S5000 (ESB2) SATA and LSI1064e/1068 SAS RAID 0/1/10. This driver is not compatible with the SRCSAS18E, SRCSAS144E, SROMBSAS18E, SRCU42X, SRCU42E, SRCZCRX, SRCS28X, SRCS16, SRCU41L, SRCU21, SRCU31, SRCU31L, SRCMR, SRCZCR, SRCU32, SRCU42L, or SRCS14L RAID controllers.
This driver does not support Software RAID 5.
SLES9 DUD installation update. SuSE91 YAST installer executes update. Now user need not press CTRL+ALT+F2 and run the script manually at the end of the installation process. Installation documents for SLES9 and SLES9-x64 are modified to reflect this change.Не искам да ползвал тези дистрибуции RH or SUSE Ако не намеря отг. до няколко дни мисля да сложа freeBSD 6.2 Some ideas or suggestions. Thanks for support. Greetings V.Hristev
|
|
|
11
|
Нетехнически теми / Идеи и мнения / Operation system on server
|
-: Feb 19, 2007, 17:52
|
Здравейте колеги, Избрал съм тази машина и търся съвет или предложение
MB:S5000PAL MB Server 2xSocket-771 INTEL i5000P (FSB 1333MHz,8DDR II SDR,VGA,2xGbitLAN,Serial ATA II/300-RAID)
Mem 2x : KVR667D2D4F5/2GI 2GB 667MHz DDR2 ECC Fully Buffered CL5 DIMM Dual Rank, x4 Intel
HDD 6х : SEAGATE (500GB 7200rpm 16MB cache Serial ATA II-300)
CPU 2х : Server Dual-Core Xeon 5140 2.33GHz (1333MHz,4MB,Woodсrest,S771) Passive Heatsink, box
Chassis: INTEL SR2400, 2U Rack-Mountable, 3, LED Panel, PSU installed 700W, Black
В момента съм подбрал тази машина и се чудя каква ОС да и сложа засега съм се спрял на Debian AMD64 имам един изпитан върви без никъкви забележки. Сега се замислих и за Ubuntu-Server имам още една малко по слаба машина ,която също върви без грешка и доста ми харесва,защото Ubuntu си е x86_64 ,а Debian IA-64 е за Itanium процесори и сега съм малко под дилема какво да сложа. Някой ако има да даде съвет или идея за 64-вите кое по-добре да сложа. Навремето Gentoo мислех да слагам ,но така и не го сложих. Благодаря за отделеното време и съвети В.Христев
|
|
|
12
|
Linux секция за напреднали / Хардуерни и софтуерни проблеми / Operation system on server
|
-: Feb 19, 2007, 17:52
|
Здравейте колеги, Избрал съм тази машина и търся съвет или предложение
MB:S5000PAL MB Server 2xSocket-771 INTEL i5000P (FSB 1333MHz,8DDR II SDR,VGA,2xGbitLAN,Serial ATA II/300-RAID)
Mem 2x : KVR667D2D4F5/2GI 2GB 667MHz DDR2 ECC Fully Buffered CL5 DIMM Dual Rank, x4 Intel
HDD 6х : SEAGATE (500GB 7200rpm 16MB cache Serial ATA II-300)
CPU 2х : Server Dual-Core Xeon 5140 2.33GHz (1333MHz,4MB,Woodсrest,S771) Passive Heatsink, box
Chassis: INTEL SR2400, 2U Rack-Mountable, 3, LED Panel, PSU installed 700W, Black
В момента съм подбрал тази машина и се чудя каква ОС да и сложа засега съм се спрял на Debian AMD64 имам един изпитан върви без никъкви забележки. Сега се замислих и за Ubuntu-Server имам още една малко по слаба машина ,която също върви без грешка и доста ми харесва,защото Ubuntu си е x86_64 ,а Debian IA-64 е за Itanium процесори и сега съм малко под дилема какво да сложа. Някой ако има да даде съвет или идея за 64-вите кое по-добре да сложа. Навремето Gentoo мислех да слагам ,но така и не го сложих. Благодаря за отделеното време и съвети В.Христев
|
|
|
13
|
Linux секция за начинаещи / Настройка на програми / Back up cluster
|
-: Aug 16, 2006, 12:37
|
Имам следната ситуация: Сървър с Apache Php Mysql искам ако евентуално дъното му спре работата да се прехвърли на другия сървър и той да се явава като Slave просто да чака при евентуален проблем.Това ми е ясно как може да стане ако е рутер ,но нямам идея как да направя за Mysql-a.
Mysql-a искам да работи в mirror режим и нямам идея дори за какво да чета ,за да го направя.Apacheto върши цялата работа (с PHP ) и се запазва в базата затова ми трябва тя да е с минимални загуби (да кажем дори без загуби). Ако има някой как става просто да подхвърли ,за да започна тестовете мерси.
|
|
|
14
|
Linux секция за начинаещи / Настройка на програми / Open directory mac os x + ldap
|
-: Aug 04, 2006, 16:46
|
Значи имам сървър на MAC OS X SERVER с конфигураран и работещ Open Directory + LDAP идеята ми е да направя така ,че LDAP да взима паролите от друга машина (Mail server || Linux Slackware) ,за да могат клиентите да влизат в профилите с паролите си от пощата има ли такова нещо да се направи защото търсих и неможах да намера решение.Как мога да направя /etc/shadow /etc/passwd да се сработат с LDAP. Трябва ми някъква насока или прото идея.
Мерси
|
|
|
15
|
BSD секция / Настройки на софтуер / Squid acl with reg ext
|
-: Apr 10, 2006, 17:16
|
Хора имам нужда от помощ опитвам се да настроя проксито ( Squid 2.5.STABLE9) да работи като спира .mp3 .avi и т.н. изчетах какво ли не,но не можах да го пусна слагах всякакви различни ACL -и и т.н. четах и статиите които са тук и доста други,но не си намирам грешката ето част от ACL-tata mi.
acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl clasematutina src 192.168.0.0/255.255.255.0 acl musica urlpath_regex \.mp3$ acl localnet src 192.168.0.0/255.255.255.0 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT
http_access allow clasematutina !musica http_access allow manager localhost http_access allow localnet http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny all
При конфига ли ми трябва нещо или какво вече нямам и идеи мерси за отзовалите се.
Distro: Debian Stable kernel-2.6.14
Правил съм го на 2-ве различни машини и 2-те дебиан стабилни версии.Едната съм го компилирал на другата е от пакет в момента говоря за компилираното от сорса SQUID.
Еми за компилирането съм компилирал това --enable-gnuregex --enable-arp-acl .
Какви ли не неща не се опитах да направя,но не става. Ако някой бъде така добрър да каже какво е нужно,за да тръгне и как да бъде конфигорирано без да използвам GuardSquid Мерси. Пример: 1. ./configure с опцията XXXX 2. acl-тата да са описани така ... 3. restart на проксито и пробване на конфигурацията
|
|
|
|