با سلام
طي چند پست مقالاتي در مورد امنيت سرور ها در Linux را برايتان قرار مي دهم كه انشاالله مورد توجه قرار گيرد .

As a part of ensuring security, we perform a CSF security scan from WHM. We may get the following error after the scan

Check csf LF_SCRIPT_ALERT option WARNING This option will notify you when a large amount of email is sent from a particular script on the server, helping track down spam scripts

To fix this error : ssh into the server and edit the csf configuration file

vi /etc/csf/csf.conf

search for LF_SCRIPT_ALERT = “0″

Change the value from “0″ to “1″ to fix the issue.

Don’t forget to restart the CSF

You may also get the following error :

Check exim for extended logging (log_selector) WARNING You should enable extended exim logging to enable easier tracking potential outgoing spam issues. Add:log_selector = +arguments +subject +received_recipients

FIX:

Edit the exim configuration file :

/etc/exim.conf

Change the value from “log_selector = +all” to the following :

log_selector = +arguments +subject +received_recipients

save and restart the CSF to get this resolved.



Edit or create the file (if it doesn't exist): /root/.forward, and add a single email address in it

Rkhunter یکی از ابزار مفید جهت شناسایی و از بین بردن انواع trojans, rootkits و ترمیم مشکلات امنیتی سرور می باشد. شما میتوانید پس از نصب این ابزار تنظیم کنید که روزانه سرور شما بوسیله این ابزار اسکن گردد.

جهت نصب Rkhunter بوسیله برنامه Putty وارد SSH سرور مجازی یا اختصاصی خود شوید.

wget آدرس داونلود که از سایت روبرو آخرین نسخه را بگیرید [Only registered and activated users can see links]
tar -zxvf rkhunter-1.3.6.tar.gz
cd rkhunter-1.3.6
./installer.sh

جهت اسکن کردن سرور به صورت دستی از دستور /usr/local/bin/rkhunter -c می توانید استفاده کنید.

جهت تنظیم اسکن خودکار روزانه بوسیله Cron Job از دستور pico /etc/cron.daily/rkhunter.sh استفاده کنید و پس از باز شدن فایل دستورات زیر را در آن کپی و آدرس ایمیل خود را نیز جایگزین کنید.

#!/bin/bash
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "Daily Rkhunter Scan Report" [Only registered and activated users can see links])



و جهت بروزرسانی این ابزار از دستور rkhunter --update استفاده کنید. بهتر از هر از مدتی یکبار این دستور را اجرا کنید.

برای جلوگیری از حملات DDos که مخفف distributed denial-of-service attack میباشد روشهای گوناگونی موجود است، ولی یکی از بهترین روشهای نرم افزاری موجود نصب DDos Deflate می باشد که کمک شایانی جهت دفع اینگونه حملات میکند.

طریقه نصب: ابتدا بوسیله برنامه Putty وارد SSH سرور مجازی یا اختصاصی خود شوید و دستورات زیر را به ترتیب اجرا نمایید:

wget [Only registered and activated users can see links]
chmod 0700 install.sh
./install.sh

جهت حذف برنامه میتوانید از دستورات زیر استفاده کنید:

wget [Only registered and activated users can see links]
chmod 0700 uninstall.ddos
./uninstall.ddos

در هاستینگ های اشتراکی PHP.INI سفارشی یک ضعف امنیتی می باشد، با توجه به شل های موجود، هکر با آپلود یک php.ini و باز کردن فانکشن های خطرناک + شل می تواند به سرو شما دسترسی داشته باشد، این آموزش برای Apache 2.x و سی پانل است.

برای غیر فعال کردن php.ini اختصاصی در SUPHP مراحل زیر را انجام دهید:

فایل usr/local/apache/conf/includes/pre_main_global.conf باز کنید سپس دستورات زیر را در آن قرار دهید:



suPHP_ConfigPath /usr/local/lib/


فایل /opt/suphp/etc/suphp.conf باز کنید سپس عبارت (;) اول خطهای زیر را حذف کنید.

application/x-[Only registered and activated users can see links]
application/x-[Only registered and activated users can see links]
application/x-[Only registered and activated users can see links]

آنگاه فایل را ذخیره کرده و آپاچی را ری استارت کنید.

service [Only registered and activated users can see links] restart

جهت نصب آنتی ویروس بر روی Cpanel/WHM سرور مجازی یا اختصاصی ابتدا بوسیله Root وارد WHM خود شوید، سپس بر روی گزینه Manage Plugins کلیک نمایید و تیک گزینه clamavconnector را بزنید سپس در پایین دکمه Save را کلیک کنید و چند دقیقه ای منتظر بمانید تا آنتی ویروس نصب گردد. پس از نصب WHM را ریفرش کنید و در پایین لیست پلاگین ها میتوانید گزینه Configure ClamAV Scanner را مشاهده نمایید که با کلیک بر روی آن تنظیمات قابل ویرایش است.

جهت اسکن کل سرور بوسیله آنتی ویروس و اس اس اچ می بایست بوسیله برنامه پوتی وارد Root سرور شوید و دستورات زیر را اجرا کنید.

cd /home

clamscan -vr

در صورتی که پس از نصب قادر به اسکن سرور نبود دستورات زیر را در اس اس اچ خود وارد کنید به ترتیت:

cd /etc/yum.repos.d
wget [Only registered and activated users can see links]
yum clean all
yum install clamav clamav-devel clamd
/etc/init.d/clamd restart
/scripts/upcp --force

جهت جلوگیری از dDos Attack یکی از راه های مفید آن پیدا کردن آی پی فردی است که تعداد اتصالاتش (منظور همون connection هست) به سرور از حالت عادی بیشتر باشد و پس از پیدا کردن آن را از فایروال بن کنیم. برای این کار کافی است که از دستور زیر استفاده کنیم تا لیست IP های که به سرور متصل هستند را بیابیم:


netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n


و با دستور زیر می تونیم تعداد اتصالات به سرور را مشخص کنیم:

netstat -n | grep :80 |wc -l

اگر تعداد اتصالات بیش از حد معمول بود (بالای 150 الی 200) باید بدانید که تحت حمله دی داس هستید و باید بوسیله دستور اول آی پی مورد نظر را بیابید. معمولا آی پی غیر ایرانی است و میتوانید از سایت [Only registered and activated users can see links] کشور آی پی ها را در بیاورید و آنهایی که مشکوک هستند را از فایروال خود بلاک کنید.

سیستم ضد brute force برای کنترل پنل Cpanel میباشد،که در صورت اشتباه وارد شدن رمز تا زمان مشخصی از ورود فردی با ip مشخص به cpanel جلوگیری میکند. در صورتی که شما برای ورود به WHM با پیغام زیر ربرورو شدید میتوانید مراحل زیر را دنبال کنید تا مشکل برطرف شود:


This account is currently locked out because a brute force attempt was detected. Please wait 10 minutes and try again. Attempting to login again will only increase this delay. If you frequently experience this problem, we recommend having your username changed to something less generic.

۱- با دسترسی root به ssh وارد شوید.
۲-با استفاده از فرمان زیر cphulk را غیرفعال کنید:


/usr/local/cpanel/bin/cphulk_pam_ctl –disable

۳-به WHM وارد شوید و به قسمت security center و سپس cphulk رفته و دکمه*یfush BD را بفشارید تا لیست بلاک شده ها پاک شود و سپس cphulk را فعال کنید. شما میتوانید این کار را از ssh و به روش زیر انجام دهید:


[root@server:] mysql
mysql> use cphulkd;
mysql>BACKUP TABLE brutes TO ‘/path/to/backup/directory’;
mysql> SELECT * FROM brutes WHERE `IP`=’xxx.xxx.xxx.xxx’;
mysql> DELETE FROM brutes WHERE `IP`=’xxx.xxx.xxx.xxx’;
mysql>quit

ابتدا بوسیله برنامه پوتی (Putty) که لینک داونلود آن در بخش داونلود فایل موجود میباشد وارد SSH سرور مجازی یا اختصاصی خود شوید سپس دستورات زیر را به ترتیب اجرا کنید:

rm -fv csf.tgz

wget [Only registered and activated users can see links]

tar -xzf csf.tgz

cd csf

sh install.sh

نصب به اتمام رسیده است حالا باید فایروال را از حالت تست خارج کنید:

nano /etc/csf/csf.conf

حالت تست را به 0 تغییر دهید

//Look for the first line and set testing mode to "0" TESTING = "0" //Now restart the firewall! csf -r

سپس دکمه ctrl+x بفشارید و سپس برای ذخیره کلید y بزنید سپس Enter کنید.


دیوار آتشین یا همان فایروال CSF نصب گردیده میبایست وارد تنظیمات آن شوید و آن را Enable کنید. اگر سی پانل نصب کردید در قسمت Addon های پایین WHM لینک تنظیمات دیوار آتشین را مشاهده خواهید کرد.



********

در صورتی که مجازی ساز شما اوپن وی زد بود مراحل زیر را نیز می بایست انجام دهید:

edit /etc/sysconfig/iptables and add

-A FORWARD -j ACCEPT -p all -s 0/0 -i venet0
-A FORWARD -j ACCEPT -p all -s 0/0 -o venet0

-A INPUT -i venet0 -j ACCEPT
-A OUTPUT -o venet0 -j ACCEPT

create file /etc/csf/csfpre.sh and enter all the extra rules directly into it prefixed with "iptables" so the contents of that file should look something like:


iptables -A INPUT -i venet0 -j ACCEPT
iptables -A OUTPUT -o venet0 -j ACCEPT
iptables -A FORWARD -j ACCEPT -p all -s 0/0 -i venet0
iptables -A FORWARD -j ACCEPT -p all -s 0/0 -o venet0

edit /etc/csf/csf.conf file and add
and search for


ETH_DEVICE = ""

change to

ETH_DEVICE = "venet+"

(as there is no eth0 in a VPS).

جهت تغییر پورت اس اس اچ که به صورت پیشفرض 22 است و از لحاظ امنیتی مناسب نیست به صورت زیر عمل کنید:

1. یک شماره پورت در نظر بگیرید که میخواید استفاده کنید، به طور مثال 3620

2. اگر فایروال نصب دارید این پورت را در فایروال خود باز (Allow) کنید و سپس فایروال را ری استارت کنید.

3. وارد اس اس اچ سرور مجازی یا اختصاصی خود شوید و فایل /etc/ssh/sshd_config را ویرایش کنید. جهت ویرایش از این دستور استفاده کنید: nano /etc/ssh/sshd_config

خط #port 22 را ویرایش میکنید به پورتی که مد نظر شماست و کلید Ctrl + X بفشارید و دکمه Y بزنید تا ذخیره شود.

4. سپس اس اس اچ را ری استارت کنید با دستور service sshd restart

1) Ensure you stop any services that may be writing to the /tmp folder (web server , mysql , ftp daemon)

2) clean your old temp folder !
# rm /tmp -rf
# mkdir /tmp"

3) Create a blank file , in order to mount up as /tmp
# mkdir /usr/local/tmppartition
# cd /usr/local/tmppartition
# dd if=/dev/zero of=tmpMnt bs=1024 count=10000000

4) Format the file with a filesystem !
# /sbin/mke2fs /usr/local/tmppartition/tmpMnt

5) Mount the file up to the /tmp folder !

# mount -o loop,noexec,nosuid,rw /usr/local/tmppartition/tmpMnt /tmp

6) Chmod the new folder to be world writable ..
# chmod 1777 /tmp

7) add the line to your fstab file so that the file remounts each boot .
# pico /etc/fstab

add the following lines at the bottom of the fstab file
-----------------------------------------------------------------
/usr/local/tmppartition/tmpMnt /tmp ext2 loop,noexec,nosuid,nodev,rw 0 0
-----------------------------------------------------------------
(without the ----------------------'s )

8) Enjoy a secure /tmp folder ! (/scripts/securetmp)

امروزه با توجه رقابت کشور ها یا جلوگیری از حملات از جمله Ddos بعضی مدیر سرور ها متوسل میشند به بستن رنج آی پی یک کشور خاص! البته این کار به صورت ۱۰۰% جواب نمیده ولی در بیشتر مواقع کار میده، و اگه شما یه سرور معمولی و بدون مشکل امنیتی دارید دلیلی برای انجام چنین کاری نیست.

در تنظیمات CSF در آدرس:

nano /etc/csf/csf.conf

به دنبال CC_DENY بگردید و کد کشور رو اضافه کنید. کد کشور ها رو میتونید از آدرس زیر بگیرید:

[Only registered and activated users can see links]

به طور مثال:

CC_DENY = “US,BR,CN”

این کدها کشور های آمریکا و برزیل و چین رو مسدود میکنه و افرادی که از این کشورها باشند قادر به مشاهده سرور شما نیستند.

در صورتی که این امکان Suhosin را بر روی پی اچ پی خود فعال کردید و برخی از سایتهای سرور شما خطا میدهند کافیه دستورات زیر را در php.ini خود ویرایش کنید:

suhosin.cookie.encrypt =Off
suhosin.post.max_vars = 5000
suhosin.post.max_value_length = 500000
suhosin.request.max_vars = 5000
suhosin.request.max_value_length = 500000


لازم به ذکر است که php.ini در محل /usr/local/lib/php.ini قرار دارد.


یا اگر میخواهید این دستورات برای یک کاربر خاص فعال شود کافی است که یک فایل بنام php.ini در هاست او ایجاد کنید و دستورات زیر را در آن قرار دهید:

php_flag suhosin.cookie.encrypt Off
php_value suhosin.post.max_vars 5000
php_value suhosin.post.max_value_length 500000
php_value suhosin.request.max_vars 5000
php_value suhosin.request.max_value_length 500000

جهت جلوگیری از اجرای برخی دستورات (Disable Function) بر روی سرور نیاز است که فایل php.ini را پیکربندی نمایید. این فایل معمولا در آدرس زیر است:

/usr/local/lib/php.ini

حال می بایست دستورات زیر را در جلوی disable_functions بنویسید تا دسترسی به امکانات زیر توسط برنامه های شل امکان پذیر نباشد.

show_source,system,shell_exec,passthru,exec,phpinf o,proc_terminate,proc_open,

symlink,proc_close,popen,dl,escapeshellarg,escapes hellcmd

میتوانید گزینه enable_dl و display_errors و allow_url_fopen و expose_php را نیز برابر با off قرار دهید.

کدهای زیر را جهت بالابردن امنیت سرور خود در تنظیمات مود سکوریتی (Mod Security) خود درج کنید:

SecRule RESPONSE_BODY "r57shell - [Only registered and activated users can see links] by RST/GHC"
SecRule RESPONSE_BODY "/* (c)oded by 1dt.w0lf"
SecRule RESPONSE_BODY "/* RST/GHC http"
SecRule RESPONSE_BODY "x2300 Locus7Shell"
SecRule RESPONSE_BODY "UNITED ALBANIANS aka ALBOSS PARADISE"
SecRule RESPONSE_BODY "C99 Modified"
SecRule RESPONSE_BODY "c999shell v."
SecRule RESPONSE_BODY "RootShell Security Group"
SecRule RESPONSE_BODY "Modded by Shadow & Preddy"
SecRule RESPONSE_BODY "Owned by hacker
SecRule RESPONSE_BODY "bds

اشتباهی پست دادیم!!!!!!
کیه ؟!؟!؟
ها ؟؟!؟!؟

ابتدا بوسیله برنامه پوتی (Putty) که لینک داونلود آن در بخش داونلود فایل موجود میباشد وارد SSH سرور مجازی یا اختصاصی خود شوید سپس دستورات زیر را به ترتیب اجرا کنید:

wget [Only registered and activated users can see links]

sh install.sh

cd /usr/local/ddos/;./ddos.sh

sh /usr/local/ddos/ddos.sh


در صورتی که مایل به ویرایش تنظیمات بودید بوسیله این دستور این کارو انجام بدید:

pico /usr/local/ddos/ddos.conf

اطلاعات واقعا مفیدی دادید!

کپی پیست و هم که ترکوندید!!

فقط اگه بهتون بر نمی خوره! ناراحت نمیشید! یه زحمت بکشید این تاپیک و ادامه ندید! چون بسته میشه!

موفق باشید!

اطلاعات واقعا مفیدی دادید!

کپی پیست و هم که ترکوندید!!

فقط اگه بهتون بر نمی خوره! ناراحت نمیشید! یه زحمت بکشید این تاپیک و ادامه ندید! چون بسته میشه!

موفق باشید!


دوست عزیز این چه اخلاقیه شما داری ؟ طرف زحمت کشیده لااقل اش اینه هم همشونو یه جا جکع کرده و مرتب

هست عوض تشکر این حرف رو می زنید ؟


بهتون بر نخوره ولی اگه چیز نا جوری دیدین یا احساس می کنید موردی ناگفته مونده می تونید بگید با ذکر منبع

ادامه بدن ! من نمی دونم ماها چرا اینطوری هستیم تا یکی می اد یه چیزی رو توسعه بده فقط نبال نقاط منفی هستیم

و هیچ به این فکر نمی کنیم که اطلاعات مفیدی داره ارائه میشه .

شما مدیر این بخش هستید ، نباید به این صورت برخورد کنید ، شما حکم یه معلم را دارید ، هرکس تو این رشته یا رشته

های دیگر مادر زادی به دنیا نیومد . بنده خدا داره تحقیق میکنه و واسه پیشرفت علم تکنولوژی کشورمون باید به هم کمک

کنیم از اطلاعات هم استفاده کنیم .

نه اینکه تو ذوق هم بزنیم . این هنر نیست .

نمی دونم چی بگم .....!!!!!!!!!!!!!

این اولین پست من در آشیانست و واقعا به خاطر رفتار مدیر این بخش متاسفم