DDoS – команды, полезные для отражения флуд и ддос-атаках

Список команд, полезных для определения ддоса (dDos – отказ в обслуживании) или флуда, а так же для отражения нераспределенных атак.
Сколько апачей:
ps aux | grep httpd  |wc -l

Cколько коннектов на 80 порт:
netstat -na | grep ":80\ " | wc -l

SYN
netstat -na | grep ":80\ " | grep syn

Пример SYN-флуда:
netstat -na | grep ":80\ " | grep SYN | wc -l
767

Читать дальше →

Защита сервера и ежедневный аудит

Сегодня вот озадачился безопасностью своего домашнего сервера. Я писал уже не мало о том что нужно делать и как. Но вот как-то дома я этого не очень делал после последнего переезда.
Сейчас буду настраивать и по ходу дела писать сюда о всех манипуляциях с сервером, так сказать наглядно. Во избежание лишних вопросов: ВСЕ ДЕЙСТВИЯ ДЕЛАЮТСЯ ИЗ ПОД root! БУДЬТЕ ОСТОРОЖНЫ!
Если Вы не знаете как получить рутовую консоль – не стоит пока пытаться проделать все эти действия. Можете что-нибудь сломать.
Читать дальше →

Snort - Автоматизация оповещений

Для сетевого контроля своей сети очень полезно использовать систему обнаружения вторжений. Промышленным стандартом является простая и удобная система Snort.

Snort — система обнаружения вторжения, способная анализировать трафик в реальном масштабе времени. }{ уже не раз писал об этой программе, поэтому я не буду описывать процесс установки и настройки программы. Последнюю версию всегда можно скачать на официальном сайте программы, что, кстати, очень актуально, так как в предыдущих версиях недавно была обнаружена уязвимость. Там же скачиваем набор правил для анализа и мануалы по их самостоятельному написанию :)

Итак, Snort установлен и настроен, теперь пора автоматизировать анализ его логов. Не собираетесь ведь вы вручную их анализировать? :) Для получения статистики по атакам можно использовать замечательный скрипт snortalog. Он выведет вам топ самых популярных атак на ваш сервер. Ваша персональная Чартова дюжина :)

Для Snort-а существует множество различных надстроек и утилит, но во всех этих утилитах мне страшно не хватало оперативного сообщения об атаке. Я не жадный — письма на e-mail и смс-ки на мобильник мне вполне хватит :).

Сказано — сделано :) Так как я использую несколько snort-датчиков, причём не только на сервере с FreeBSD, но и в виде сервиса на рабочих машинах под Windows, я решил написать скрипт на Perl-е. Я не специализируюсь в программировании на Perl-е и, возможно, многое можно было сделать лучше, но главный плюс моего скрипта — это его простота, а также то, что он работает.

Скрипт анализирует файл alert ( в который Snort записывает предупреждения о возможных атаках) и отсылает предупреждение на заданный e-mail. Для получения sms-ок можно использовать существующую возможность уведомления о входящей почте (для чего и вводится модификация переменной $adminmail_from — чтобы в имени отправителя сохранялось описание атаки) или использовать sms-гейт вашего оператора (просто внесите нужные изменения в функцию send_email).
Читать дальше →

Snort-система обнаружения и предотвращения вторжений.

Что такое IDS Snort?
SNORT® это сетевая система обнаружения и предотвращения вторжений (IDS/IPS) с открытым исходным кодом. SNORT использует язык описания правил, который сочетает преимущества методов обследования, основанных на подписях, протоколах и аномалиях. В настоящее время, SNORT это наиболее широко используемая технология обнаружения вторжения в мире, ставшая индустриальным стандартом де-факто.

Читать дальше →

Что делать когда взломали? Ubuntu

Один из обслуживаемых серверов был в недавнем времени взломан. Поэтому я хочу опубликовать краткий обзор тех команд которые помогут вам вычислить, какие процессы и порты использует хакер. Итак начнем:

Программа 1. Команда top
Очень хорошая утилитка, которая покажет вам что у вас происходит в системе. Ее должен знать каждый уважающий себя(и даже не уважающий) админ.
Читать дальше →

w3af - Web Application Attack and Audit Framework

1. Intro

w3af. Странно, что на форуме по безопасности веб интерфейсов данный поисковый запрос практически не дал результатов. С первого же взгляда эта платформа показалась мне очень интересной! Поэтому я решил ликвидировать это упущение и немного рассказать о ней. w3af — платформа для проведения аудита и атак на веб-приложения. Кто-то не побоялся назвать её «Metasploit for the Web». Платформа с открытым исходным кодом. Она написана на python, поэтому с успехом запускается и под Windows, и под *NIX, и под Макось. Всё что нужно для инсталляции — это установленный интерпретатор питона второй ветки (не третьей!). В распоряжении пользователя как графический (с использованием GTK), так и консольный (для черношапошников) интерфейсы. Подавляющую часть функциональности платформы составляют плагины (на данный момент уже более 100), которые разделены на группы:

audit — плагины, которые непосредственно ищут уязвимости на веб сервере
bruteforce — плагины для перебора логинов и паролей веб форм и BasicAuth
discovery — плагины для сбора информации: версия веб сервера, версия ОС, ссылки, пользователи, электропочтовые ящики

evasion — плагины, которые изменяют запросы к веб серверу для преодоления фильтрации, типа кавычек и прочего
grep — плагины для анализа запросов/ответов веб сервера
mangle — плагины для изменения запросов к веб серверу «на лету»

С полным списком плагинов можно ознакомиться на сайте проекта.

Ладно — меньше слов, больше дела!

Читать дальше →

Сканеры безопасности

Собраны ссылки на наиболее интересные статьи, размещённые в Интернете, посвящённые Сканерам Безопасности, Исследованиям и Обзорам.
Множество интереснейших вещей, примеры сокрытия портов и скрытого сканирования и многое другое…

===== Сканеры уязвимостей

www.securitylab.ru/software/1271/

===== Как работает сканер безопасности?

citforum.ru/internet/securities/scaner.shtml

В последнее время увеличилось число публикаций (в основном, зарубежных), посвященных такому новому направлению в области защиты информации, как адаптивная безопасность сети.
Это направление состоит из двух основных технологий — анализ защищенности (security assessment) и обнаружение атак (intrusion detection).
Именно первой технологии и посвящена данная статья.

Читать дальше →

Безопасность VPS

При использовании shared hosting не нужно беспокоиться о безопасности. Все находится в руках администраторов сервиса. И совершенно другая ситуация возникает, когда арендуешь
VPS
-сервер. Вся ответственность за происходящее ложиться на плечи владельца.
Что нужно сделать для того, чтобы почувствовать себя в относительной безопасности? Так ли сложно организовывать систему безопасности?

Fail2ban
Первая линия обороны, на которую необходимо обратить внимание — это защита
SSH
-сервиса.
VPS
-сервер находится на удалении от администратора и может управляться только с помощью
SSH
. И есть немало желающих заполучить полный доступ к серверу. Проводятся и брутфорс-атаки, подбирают пароли. Нагружаются сервера постоянными соединениями.
Читать дальше →

Проверка целостности с помощью Tripwire

Другим хорошим способом обнаружить локальные (а также сетевые) атаки на вашу систему является использование тестеров целестности (integrity checkers) подобных Tripwire. Tripwire вычисляет контрольные суммы для всех важных бинарных и конфигурационных файлов в вашей системе и сравнивает их с предыдущими, хорошо известными, из базы данных. Таким образом любые изменения в файлах будут замечены.

Хорошей идеей будет записать tripwire на дискету, а затем установить на нее защиту от записи. Таким образом взломщик не сможет подделать tripwire или изменить базу данных. Как только вы установили tripwire будет неплохо включить в свои обязанности администратора безопасности проверку с помощью него на предмет каких-либо изменений.
Читать дальше →