Olá pessoal,

O mod_security é um módulo muito importante no apache na questão de segurança.
Com ele é possível filtrar o que é passado na URL, ou enviado por post ou get.
Um dos roblemas que podem ser reoslvidos com esse módulo é a vulnerabilidade em scripts de clientes. No meu caso o principal problema era os formulários de clientes que aceitavam código bcc:…. e um monte de endereços de e-mail. Com isso o spammer enviava e-mail para a lista toda dele, através de uma vulnerabilidade de código de um cliente.

Agora vamos bloquear o espertinho!

- Download
Faça o download do mod_security no site http://www.modsecurity.org. Lembro que para o apache1 baixe versão do mod_security 1.9.x.

- Compilando:
* Faça um backup or segurança de seu arquivo httpd.conf
tar -xzpf modsecurity-apache_1.9.5.tar.gz
cd modsecurity-apache_1.9.5/apache1/
apxs -cia mod_security.c
mkdir /usr/logs
touch /usr/logs/audit_log

O que fizemos agora foi compilar o mod_security e criar o local onde serão guardados os logs suspeitos.

- Adicionando regras:
Edite o arquivo httpd.conf e verifique se existem essas 2 linhas sobre o mod_securuty:
LoadModule security_module    libexec/mod_security.so
Mais embaixo agora….
AddModule mod_security.c

Inclua as regras de filtro.

continue lendo "Instalando e configurando o mod_secutity no apache1"

Olá pessoal,

Hoje entrou no ar o novo portal de busca por hospedagem na net.
O Hospedagem Aqui é voltado para o proprietário de site que prefere hospedar seu site em um provedor local, perto de sua residência.
Apesar da internet ser globalizada, existem pessoas que preferem ter tudo por perto, inclusive o provedor de hospedagem, principalmente pela facilidade de contato caso tenha algum problema, dúvida, etc.

O Hospedagem Aqui foi feito para isso. Os provedores podem se cadastrar gratuitamente indicando em qual localidade (ciadade) fica seu escritório, e o internauta pode escolher, através do menu na lateral esquerda pelo estado ou buscando diretamente pela cidade no formulário de pesquisa.

Boa sorte!

Olá pessoal,

Meu primeiro post sobre o Windows. Aeeeeee.

Bom.. eu procurei bastante sobre como poder administrar o IIS através de linha de comando, o que pode facilitar em muito a criação de tarefas automatizadas por arquivos de lote.

Abaixo alguns comandos muito úteis:

- Para fazer o backup do IIS completo. Esse backup pode ser usado quando é inclusive necessário reinstalar o Windows. Altere SENHA pela senha de administrador, DOMINIO pelo domínio do servidor e Administrator pelo usuário administrador de seu servidor. O arquivo de backup será gerado na pasta c:\windows\system32\inetsrv\MetaBack.
iiscnfg /copy /ts DOMINIO /tu DOMINIO\Administrator /tp SENHA

- Para sabermos o PID de um processo do IIS, afim de identificarmos em qual application pool está o site que está comendo CPU, utilizamos o comando:
iisapp

- Para adicionar um domínio no IIS, por linha de comando, utilizamos o comando:
iisweb /create c:\inetpub\wwwroot\dominio “dominio” /d www.dominio.com.br
Note que estou criando uma entrada com domínio www.dominio.com.br , com a descrição “dominio”, apontando para a pasta c:\inetpub\wwwroot\dominio.

- Por último, como apagar um domínio do IIS por linha de comando:
iisweb /delete “dominio”
Estou com esse comando apagando o domínio cuja descrição é “dominio”.

Abraços pessoal!

Olá pessoal,

O acesso SSH é muito usado para administração de servidores Linux, e por isso também é muito importante mantermos em dia a segurança.
Algumas medidas simples podem ser tomadas utilizando os próprios recursos do SSH, além de outras a nível firewall.

Vou listar algumas que acho interessante e utilizo muito.

1 - Alterar a porta padrão do SSH de 22 para alguma outra. Essa alteração irá reduzir drasticamente a possibilidade de quebra de senha, já que diminuirá demais as tentativas de ataque de dicionário. Para alterar a porta edite a opção “Port” do arquivo /etc/ssh/sshd_config e reinicie o SSH.

2 - Utilize sempre senhas fortes. Nada de usar o nome do cachorro, data de nascimento, etc. Utilize caracteres especiais, mesclando com letras maiúsculas e minúsculas.

3 - Verifique se o SSHD está rodando com separação de prvilégios. Isso é default no SSH, mas é bom conferir. Verifique se não existe uma linha com “UsePrivilegeSeparation no” no arquivo /etc/ssh/sshd_config.

4 - Não permita acesso root direto pelo ssh. Na prática, o usuário terá que logar com um usuário sem privilégio root. Para pegar o root, bastará executar o comando “su” e digitar a senha root assim que for solicitada. Para fazer isso, edite o arquivo /etc/ssh/sshd_config, adicionando a linha “PermitRootLogin no”. Não esqueça de reiniciar o SSHD.

5 - Crie um usuário limitado apenas ao uso de SSH. Evite utilizar o memso usuário de FTP com permissões de acesso ssh.

Apenas essas medidas já devem melhorar bastante o que já vem default do SSH.
Uma outra que acho bem interessante é restringir o acesso a apenas seu IP se possuir IP fixo, ou a sua rede caso não possua.
Para fazer isso é necessário incluir algumas regras no firewall. Nada muito complicado, mas vou deixar para um próximo post.

Abraços!

Olá pessoal,

A atualização do MySQL 4.1 para o MySQL 5.0 pode ser feita facilmente pelo WHM (cpanel).
Para fazer, siga os passos:

1 - Logue no WHM como root e clique em “Server Configuration / Tweak Settings“. Marque o MySQL 5.
2 - Rode o script /scripts/mysqlup Para ele baixar e instalar a última versão do MySQL5 disponível.
3 - Depois de completar, você deve recompilar suas bibliotecas perl, mysql e apache. Para isso execute os comandos abaixo:
/scripts/perlinstaller –force Bundle::DBD::mysql
e para o apache:
/scripts/easyapache

PS1: Você deve estar ciente que a atualização não é reversíve. Por esse motivo, faça um backup de tudo antes de executar o upgrade.
PS2: Após o upgrade, o MySQL pode não subir.
Eu executei esse procedimento no RHEL4. Não sei se em outras versão o mesmo problema ocorre. Veja o erro:
/etc/init.d/mysql start
Starting MySQLCouldn’t find MySQL manager or server        [FAILED]

Caso ocorra esse erro, edite o arquivo /etc/my.cnf fazendo a seguinte alteração:

continue lendo "Upgrade MySQL 4.1 para MySQL5 WHM cpanel"

Olá pessoal,

Esse é um problema constante que tenho quando estou programando em bash para automatizar alguma tarefa, ler algum log, etc.
Quando faço um for dando um cat em um arquivo texto, dependendo do arquivo ele não interpreta que desejo ler linha a linha, pois utiliza o espço em branco como separador.

Para resolver, veja um exemplo abaixo:
#!/bin/bash
  ORI_IFS=$IFS
  IFS=$’\n’
  for LINHA in $(cat /tmp/comandos.txt); do
     # seus comandos aqui
      echo $LINHA
  done
  IFS=$ORI_IFS

Olá pessoal,

Normalmente quando descompactamos arquicos .tar.gz ele o faz na pasta corrente.
O problema é quando desejamos que ele seja salvo em alguma outra pasta diretamente, sem que seja necessário após a descompactação utilizar o comando mv.

Bom, é muito simples. Basta utilizar o parâmetro “-C pasta_destino”. Veja abaixo um exemplo:
tar zxvf arquivo.tar.gz -C /home/usuario/fotos/
./
./joao.gif
./foto.gif

Abraços!

Bom dia galera!

Para que usa redhat, essa é uma informação muito importante e que pode economizar horas quando precisamos resolver dependências de pacotes.

Para executar é recomendável baixar os pacotes antes e depois instalar. Para isso execute:
up2date –nosrc –nox -u -v -d

Explicação:
–nosrc é para não fazer download dos fontes.
–nox é para executar sem tela “gráfica”.
-u é para atualizar (update) o sistema.
-v é para informar o que está acontecendo (verbose).
-d faz apenas o download do pacote.

Caso queira instalar os pacotes automaticamente, acrescente no final a opção -i (install) e remova a -d.

Para instalar um pacote apenas, digite:
up2date -i PACOTE

Abraços!

Olá pessoal,

Abaixo um comando bem útil para ajudar identificar quando um servidor está sofrendo um ataque DDOS.
Utilizamos o netstat e filtramos a saída, contando quantas vezes ocorre a repetição de um determinado IP.

netstat -an | grep :80 | awk ‘{ print $5 }’ | awk -F: ‘{ print $1 }’ | sort | uniq -c | sort -n

Acima o comando busca por conexões na porta 80 (apache). É possível fazer variações para porta 110 (POP3), 25 (SMTP), etc.

Um exemplo do retorno do comando:
1 189.11.86.52
1 189.12.128.106
1 189.13.118.121
1 189.34.192.23
1 200.171.30.244
1 200.223.3.222
1 201.42.81.165
1 201.50.225.67
2 189.13.53.29
2 189.19.21.33
2 189.47.244.77
2 189.47.25.91
2 201.50.82.14
3 189.26.6.198
3 189.71.40.199
3 200.169.127.134
3 201.50.128.11
3 201.68.83.222
5 189.13.136.149
5 201.12.48.140
5 201.23.198.121
6 201.50.200.66
8 201.21.19.105
9 189.40.97.213
17 201.82.116.205
22 201.82.217.20
23 200.181.30.44
25 201.50.97.152
26 189.13.245.6

Abraços!

Olá pessoal,

Já tive problemas no passado para identificar de qual site hospedado em meu servidores estava partindo SPAM, já que todos os e-mails na fila tinha o usuário nobody.
O SPAM em sites php pode ser enviados pelo próprio dono do site ou por uma vulnerabilidade na programação, que permite o spammer fazer um include de um código para evio de e-mails.
Um exemplo:
http://www.exemplo.com/index.php?pagina=http://www.uol.com.br
Se acessar um endereço assim e abria a página do UOL no meio do site, ele está vulnerável!
Depois de muito procurar, encontrei uma solução genial na internet, e acom algumas modificações estou espondo aqui.
Pena que não lembro o site onde encontrei. Poderia por as referências.

Mãos a obra!

1 - Logar como root no servidor.
2 - Criar um arquivo que será o repsonsável por chamar o sendmail e gravar os logs.
vi /usr/sbin/sendmail.exe

continue lendo "Monitorar usuário nobody no envio de e-mails PHP"