Pesquisar na Comunidade

Olá Pessoal, Hoje eu atualizei o CSF Firewall em meus servidores, e agora a seguinte mensagem de alerta está aparecendo: --- Firewall Status: Enabled and Running WARNING: RESTRICT_SYSLOG is disabled. See SECURITY WARNING in Firewall Configuration --- A nova versão 6.41 agora traz esta questão de 'RESTRICT_SYSLOG', conforme descrição abaixo: --- SECURITY WARNING ================ Unfortunately, syslog and rsyslog allow end-users to log messages to some system logs via the same unix socket that other local services use. This means that any log line shown in these system logs that syslog or rsyslog maintain can be spoofed (they are exactly the same as real log lines). Since some of the features of lfd rely on such log lines, spoofed messages can cause false-positive matches which can lead to confusion at best, or blocking of any innocent IP address or making the server inaccessible at worst. Any option that relies on the log entries in the files listed in /etc/syslog.conf and /etc/rsyslog.conf should therefore be considered vulnerable to exploitation by end-users and scripts run by end-users. NOTE: Not all log files are affected as they may not use syslog/rsyslog The option RESTRICT_SYSLOG disables all these features that rely on affected logs. These options are: LF_SSHD LF_FTPD LF_IMAPD LF_POP3D LF_BIND LF_SUHOSIN LF_SSH_EMAIL_ALERT LF_SU_EMAIL_ALERT LF_CONSOLE_EMAIL_ALERT LF_DISTATTACK LF_DISTFTP LT_POP3D LT_IMAPD PS_INTERVAL UID_INTERVAL WEBMIN_LOG LF_WEBMIN_EMAIL_ALERT PORTKNOCKING_ALERT This list of options use the logs but are not disabled by RESTRICT_SYSLOG: ST_ENABLE SYSLOG_CHECK LOGSCANNER CUSTOM*_LOG The following options are still enabled by default on new installations so that, on balance, csf/lfd still provides expected levels of security: LF_SSHD LF_FTPD LF_POP3D LF_IMAPD LF_SSH_EMAIL_ALERT LF_SU_EMAIL_ALERT For advice on how to help mitigate these issues, see /etc/csf/readme.txt If you set RESTRICT_SYSLOG to "0" or "2" and enable any of the options listed above, it should be done with the knowledge that any of the those options that are enabled could be triggered by spoofed log lines and lead to the server being inaccessible in the worst case. If you do not want to take that risk you should set RESTRICT_SYSLOG to "1" and those features will not work but you will not be protected from the exploits that they normally help block 0 = Allow those options listed above to be used and configured 1 = Disable all the options listed above and prevent them from being used 2 - Disable only alerts about this feature and do nothing else --- Agora fica dúvida deixar 0, 1 ou 2! É uma dúvida cruel, deixando 0 ou 2 podemos ter linhas de logs fraudados, e como eles informam, na pior das hipóteses o servidor poderá ficar inacessível. Deixando como 1, nos protegeremos contra log fraudado e do servidor ficar inacessível, porém não receberemos mais os alertas mencionados acima e a segurança que eles proporcionam. Se alguém estiver mais aprofundado no assunto e puder dar uma força, valeu!

Saudações! Amigos, tenho o ConfigServer Security & Firewall no meu servidor e não sei como liberar o acesso do plugin contra spamm em comentários, o Akismet do Wordpress, aos servidores Akismet, alguém pode ajudar? Li este artigo no Blog do Akismet e tentei fazer isso no csf.allow: Não funcionou... então, tentei deste jeito: Mas também não funcionou... O que me sugerem? Preciso muito do plugin Akismet funcionando pois me ajuda horrores no combate a Spammers nos comentários. Desde já, obrigado.

Navegando pelo fórum encontrei o tópico do sr @Glariston perguntando como ter uma interface web para gerenciar o CSF, como tem para cPanel e outros painéis. Lembrei que já tinha pesquisado isso um tempo atrás e funcionou perfeitamente, tanto em um servidor puro(apenas CentOS) quando em um com zPanel. Caso venha utilizar com o zPanel, ele pode ser instalado antes ou depois do firewall, fiz testes das 2 maneiras para garantir que nenhuma complicação fosse gerada. Vamos a instalação: Acesse o SSH do servidor e rode o comando abaixo e instale as atualizações pendentes. yum update Após efetuar a atualização(caso tenha alguma), rode os comandos abaixo. wget https://raw.github.com/stokes84/ConfigServer-Firewall-Installer/master/install.sh bash install.sh Após rodar esse comando, será solicitado algumas informações como na imagem abaixo: 1. Será perguntado se você deseja acessar a interface de qualquer IP ou apenas de IPs escolhidos, como eu tenho IP dinamico, coloquei n s = apenas ip listado n = qualquer ip 2. Escolha um nome de usuário, ele será usado para acessar a interface do CSF 3. Escolha uma senha. 4. Escolha um e-mail para receber os alertas do firewall 5. Escolha a porta de acesso a interface web. 6. Coloque y O próximo passo é gerar o certificado SSL, basta preencher com seus dados como na imagem abaixo. Após isso você deve receber uma mensagem informando que o firewall foi iniciado com sucesso. Agora basta acessar https://seuip:porta e acessar com os dados definidos no processo. Para esse tutorial eu contratei o VPS mais barato da Host1Plus, fiz a instalação com o VPS do jeito que ele veio, sem precisar de nenhuma pré configuração antes. Caso por algum motivo você esqueça a senha do CSF, acesse o SSH abra o arquivo /etc/csf/csf.conf com o editor de texto de sua preferencia e pesquise por UI_PASS Ai você poderá conferir sua senha ou altera-lá. Código: https://github.com/stokes84/ConfigServer-Firewall-Installer

Olá amigos, tudo bom? Gostaria de saber se existem regras padrão para o Mod Security. Como os usuários mais experientes do fórum devem ter percebido, sou novo como "root" e tenho me dedicado bastante a aprender a gerenciar e tornar meu servidor mais seguro. Tentei incluir isso aqui: Peguei neste site aqui. Mas ficou dando erro. Alguma sugestão?

Olá amigos! Instalei, segundo recomendações, tanto o ConfigServer Security & Firewall (CSF) quanto o ModSecurity com ModSecurity Control. Gostaria muito de um tutorial mostrando as melhores configurações deles para maior segurança do servidor. Não tenho muita experiência (quase nada) via terminal, por isso, geralmente faço as configurações pelo cPanel WHM. Desde já, obrigado.

Olá amigos! Desde 2007, quando comecei a trabalhar com hospedagem, depois revenda, vps e agora dedicado, fui atacado, quando ainda contratava plano de revenda compartilhada, por 2 ocasiões onde hackers substituíram todos os "index" por páginas personalizadas. Nestas 2 vezes, a mensagem deixada tinha haver com o Islamismo e geralmente a partir de países do oriente médio. Quando passei a ter acesso Root e poder configurar o Firewall, comecei a pensar se não vale a pena bloquear o acesso à países reconhecidamente origens de ataques hackers. Configuro meu CSF para bloquear IPs quando a tentativa de login dos principais serviços (SSH, FTP, Email, etc) falham por 5 vezes consecutivas. Pelo log, 80% vêm da ásia e oriente médio, sendo este último, responsável pela maior parte das tentativas de login ao servidor. Como 90% do público alvo é brasileiro, sendo 4% português e os 6% restantes de vários países, geralmente formados por EUA e Europa, com excessão da China e Japão, tenho interesse em bloquear no CSF o acesso à alguns países como Iraque, Arábia, Emirados, Afeganistão, Azerbaijão, etc... o que me dizem? Ou seria interessante, talvez, bloquear TODOS os acessos de países, fora o Brasil, para determinados serviços, como o SSH ou WHM, por exempo, através do bloqueio das portas que estes serviços usam, para determinados países, o que acham? Fora a minha experiência, que não é muito vasta, onde poderia encontrar relatos ou estatísticas com os principais países de onde se originam os ataques? Desde já, obrigado.

Alguem já atualizou seu CSF? Acabou de sair do forno a atualização. Mais detalhes da atualização: http://www.configserver.com/free/csf/changelog.txt

Oi Estou com problemas no Firewall CSF do meu VPS Tipo, ele não esta bloqueando IP, o IP aparece na lista mais não bloqueia e não barra ataque DoS... Já instalei o DDoS Deflate também não barrou, o IP também aparece na lista de IP's bloqueado mais não bloqueia... Alguém pode me ajudar? Obs: uso cPanel e ja reinstalei o CSF e nada resolveu, antes bloqueava, agora não sei o que deu.

Caros amigos, eu preparei um tutorial completo (pelo menos a intenção é que seja) sobre configuração de segurança de VPS/DEDICADOS. Trata-se de um passo-a-passo bem explicado sobre cada configuração - porém este post não é definitivo, caso vc tenha alguma dica a adicionar eu edito o tópico adicionando-a e colocando seus devidos créditos. Via SSH - acesso Shell Instale o ELS: wget --output-document=installer.sh http://servermonkeys.com/projects/els/installer.sh; chmod +x installer.sh; sh installer.sh; els --update; els --chkrootkit; els --rkhunter; els --chmodfiles; els --disabletelnet; els --hardensysctl; els --libsafe; els --mytop; els ---securepartitions O ELS "Easy Linux Security" é um instalador de módulos e pequenos scripts de segurança atualizados. Existem muitos módulos disponíveis, vc pode lista-los executando simplesmente o comando els em seu shell. O que instalo acima são os que fazem mais diferença em termos de segurança do servidor: chkrootkit (rootkit), rkhunter (outro rootkit melhor ainda), chmodfiles (ele muda as permissões de acesso e execução de alguns scripts/comandos no servidor para apenas o root executa-los), disabletelnet (desabilita/desliga o telnet, deixando apenas o SSH), hardensysctl (faz um tunnig de sua interface de rede), instala o libsafe (apenas para sistemas 32 bits), mytop (instala um visualizador de processos mysql como o comando TOP faz com o sistema). Instale o logview: wget http://www.logview.org/logview-install[/code] É um visualizador de logs via navegador, vc não precisa abrir o SSH para ver os logs intrincados do sistema, com este addon do WHM vc os vê via seu painel WHM. [b]Instale o CMM:[/b] [code]wget http://www.configserver.com/free/cmm.tgz; tar -xzf cmm.tgz; cd cmm; ./install.sh[/code] [b]Instale o CMQ:[/b] [code]wget http://www.configserver.com/free/cmq.tgz; tar -xzf cmq.tgz; cd cmq; ./install.sh[/code] Não tem muito a ver com segurança, mas são dois addon do WHM que podem ajudar e muito na configuração e monitoramento de seu uso relacionado a contas de emails. [b]Instale o CMC:[/b] [code]wget [url="http://www.configserver.com/free/cmc.tgz"]http://www.configser...om/free/cmc.tgz[/url] ; tar -xzf cmc.tgz; cd cmc; ./install.sh[/code] O CMC (Configserver ModSec Control - http://www.configser...com/cp/cmc.html) é um addon do WHM que te permite configurar quais regras do MOD_SECURE determinados dominios ou subdominios ou mesmo usuários do seu servidor serão executados. Sugiro usar com parcimônia e verificar antes de tudo porque o script de seu usuário/cliente está sendo bloqueado pelo MOD_SECURE. No caso vc pode peritir a execução do script de seu usuário sem passar pro nenhuma regra ou mesmo apenas desabilitar uma regra especifica para o dominio especifico. [b]Instale o MOD_SECURE atualizado:[/b] Veja o link: http://cpanelmania.b...tualizadas.html [b]Configurando a porta do SSH:[/b] Para configurar/mudar a porta execute: [code]pico -w /etc/ssh/sshd_config[/code] E mude a linha "Port 22" para a porta que vc deseja (lembre-se de adicionar a porta em seu firewall ANTES ou vc não conseguirá acessar mais o servidor). [b]Aviso de acesso ROOT[/b] Edite ".bash_profile" o com o comando: [code]cd root; pico -w /root/.bash_profile[/code] Adicione o código abaixo no final do arquivo após a linha "unset USERNAME": [code] # # GRAVA LOG E HISTORICO DE ACESSOS ROOT # echo `who` >> .access # # EMAIL DE AVISO ACESSO ROOT # rootalert() { echo 'ALERTA - Acesso ROOT SHELL' echo echo 'Servidor: '`hostname` echo 'Data: '`date` echo 'Usuario: '`who | awk '{ print $1 }'` echo 'TTY: '`who | awk '{ print $2 }'` echo 'Origem: '`who | awk '{ print $6 }' | /bin/cut -d '(' -f 2 | /bin/cut -d ')' -f 1` echo echo 'ACESSO ROOT EXECUTADO.' echo echo 'Estes usuários estão ativos neste instante como root:' echo `who | awk '{print $6}'` echo echo 'Últimos 10 acessos efetuados:' echo `last -n 10` echo echo 'Informações: Horário deste acesso, Uptime e Load Averange atual' echo `uptime` echo } rootalert | mail -s "Alerta: Acesso ROOT [`hostname`]" SEUEMAILAQUICARAMBA[/code] Note que este script vai criar um arquivo .access no diretório /root e criará um histórico de acesso com a data, hora e IP de cada acesso ocorrido via root. Ele tb adiciona outras infos quando ocorrerem o acesso root, assim como litara os últimos 10 IPs que acessaram via root, além do atual e envia tudo para o seu email. [b]Tunando seu /tmp[/b] Faça uma cópia do /etc/fstab e edite o arquivo original: [code] cp /etc/fstab /etc/fstab.OLD pico /etc/fstab [/code] E mude as linhas abaixo: [code] tmpfs /dev/shm tmpfs defaults 0 0 /tmp /var/tmp ext3 defaults,bind 0 0 [/code] Para: [code] tmpfs /dev/shm tmpfs defaults,noexec,nosuid 0 0 /tmp /var/tmp ext3 defaults,bind,noauto,usrquota,noexec,nosuid,nodiratime,noatime 0 0 [/code] Importante: após isso feito geralmente eu restarto o server. Porem vc tem que tomar cuidado, qualquer erro no fstab e seu servidor não voltará online, vc terá de acionar o seu IDC e pedir para eles restaurarem o fstab.OLD ou cergirem o fstab atual. [b]Instale o CSF Firewall:[/b] [code]wget http://www.configserver.com/free/csf.tgz; tar -xzf csf.tgz; cd csf; sh install.sh[/code] Eu estou preparando um novo tópico completo apenas para o CSF. Assim que terminar vou posta-lo em outro tópico (ele é bem extenso e completo). [b]Remova o Lynx:[/b] Primeiro identifique o pacote que vc tem instalado: [code]rpm -qa | grep lynx[/code] Depois execute: [code]rpm -e lynx NOMEDOPACOTE[/code] [b]Instalando e configurado corretamente o Maldetec:[/b] [code]wget http://www.rfxn.com/downloads/maldetect-current.tar.gz ; tar -xzf maldetect-current.tar.gz ; cd maldetect-* ; sh ./install.sh ; maldet --update-ver ; maldet --update[/code] Agora configurando, edite o arquivo "conf.maldet" em /usr/local/maldetect, editando a linha "email_alert=0" para "email_alert=1" e a linha "email_addr=" colocando o seu email que receberá o relatório. Você pode executar ele na linha de comando especifica, por exemplo: [code]maldet -a /home/USUARIO/[/code] Ou escanear TODOS os usuários de seu diretório HOME: [CODE]maldet -a /home?/?/public_html[/code] Aqui vai uma dica um tanto que radical: Vc pode configurar o maldetec para ele tentar limpar possíveis trojans ou códigos maliciosos que "colam" em códigos PHP intregos, e caso não consiga ele move o script/arquivo todo para o diretório /usr/local/maldetect/quarantine/. Para isso edite a linha "quar_hits=0" para 'quar_hits=1" e "quar_clean=0" para "quar_clean=1". O maldetec será executado diarimente em seu servidor e lhe enviará um relatorio via email, por exemplo: No caso acima ele identificou um scritp malicioso dentro do public_html/plugins/system, e moveu o mesmo para a quarentena. O que fazemos aqui (sim temos esta opção de quarentena habilitada em TODOS os nossos servidores) - é logo nas primeiras horas do dia pegarmos todos os relatórios e analisar quais arquivos foram movidos para a quarentena. Criamos um email padrão no WHMCS o e mandamos para o cliente/usuário informando sobre o problema. Raramente o sistema move um arquivo que faz parte realmente do site/aplicação do usuário, mas já ocorreu aqui, por isso é importante contactar o cliente após você analisar o log. Geralmente quando isso ocorre ele consegue limpar o arquivo, removendo o código malicioso que foi adicionado a programação. Por exemplo: É importante vc ter também o CLAMAV instalado e atualizado. O MALDETEC usa a enguine do CLAMAV para o scaneamento e identificação "heurística" o que adiciona pouco load no servidor durante sua execução. [b]Usando o KSPLICE[/b] Agora papo de gente grande. O KSPLICE aplica em seu kernel (LINUX) todos os updates e correções (paths de segurança inclusive) sem rebotar o seu servidor e de forma automatizada. Este é um sistema OBRIGATÓRIO que vc deve ter instalado, pois o custo é ridículo: RHEL, CentOS, Debian, Ubuntu:$3.95 each system per month RHEL, CentOS, Debian, Ubuntu:$2.95 each system per month (volume discount after 20 systems) Virtuozzo, OpenVZ:$9.95 each system per month Virtuozzo, OpenVZ:$7.95 each system per month (volume discount after 20 systems) Ubuntu Server (9.04 and 9.10):$3.95 each system per month Ubuntu Server (9.04 and 9.10):$2.95 each system per month (volume discount after 20 systems) Para verem como é importante, todos devem se lembrar dos problemas de segurança que a LOCAWEB teve em uma penca de Servers LINUX (http://cpanelmania.b...i-invadida.html). Se ela tivesse adotado o KLSPICE em seus servidores pagando uma micharia não teria tido este problema e nem a publicidade negativa que ela teve de lidar. Você acessa o sistema via um painel de controle (https://uptrack.ksplice.com) e lista quais servidores terão o KSPLICE instalado. A instalação é fácil e rápida (https://www.ksplice....uptrack/install) [FIM DA PARTE I]

Olá pessoal! Preciso de uma ajuda. Pago um servidor dedicado e utilizo WHM/cPanel para gerenciar domínios nele, e tem acontecido um problema chato, de tempos em tempos o meu próprio IP é bloqueado e sou obrigado a acessar o WHM por meio de outro local (com IP diferente), para retirá-lo da blacklist. Meu IP não é fixo, ele muda de vez em quando. As vezes acontece o mesmo com alguns dos meus clientes, e tenho de desbloquear seus IPs. Gostaria de saber se alguém pode me ajudar me dando dicas de configuração do firewall (uso o CSF), ou se sabem a solução para esse problema. Obrigado!

Oi =) Recentemente meu servidor vem recebendo uma grande quantidade de ataque DDoS. Para tentar amenizar o problema, instalei o CSF firewall, arrumei as configurações do WHM e apache seguindo suas recomendações, consegui solucionar quase todos os WARNING. Mas no status do meu firewall, ele fica como "Enabled but Stopped". desta forma, parece que ele não tem efeito, quando vou checar os status fica da seguinte forma: Check csf is running WARNING iptables is not configured. You need to start csf Ele fala algo sobre iptables, não sei como arrumar, mas parece que é esse iptables que esta impedindo o firewall de iniciar.

Olá! Galera Do PDH! venho Com um tuturial De Anti DoS/Sprut! 1. Baixe o Kiwi Guard link: http://vipeweb.com/kiwiGuard.rar 2. Execute o Kiwi Guard como Administrador 3. Após Abrir o kiwi Guard Navegue Na Aba Tools --> Options 4. Configure De forma Recomendado na imagem Abaixo é pronto! seu apache é outras portas estarão protegida contra ataques DoS é serviços denial. Obs: windows 2003/2008 compativel é precisso ter Microsoft Framework 2.5 Ou superior No Sistema! Espero ter Ajudado! Obrigado.