Browse Category

Linux/Unix

Linux/Unix

Vmware ESXi 6 установка времени

ESXi 5.5 и выше использует системное время (UTC), время биоса. Никакой timezone нет.

esxcli system time get

esxcli hardware clock get

Для коррекции времени, изменении часового пояса только в биосе. Благо можно это проделать через саму консоль.

esxcli hardware clock set -d 11 -H 10 -m 00 -M 02 -y 2017 — 11 февраля 2017 года 10 утра 00 минут

reboot -f — только после этого время изменилось.

 

VMware ESXi настройка firewall

Оставляю в качестве заметки. Так получилось, что когда менял на хосте ssh порт с дефолтного, правила firewall не применяются. Вроде бы ясно что остается только либо IP KVM, либо мне билет на поезд и ехать в Москву в ДЦ. Ведь VMware клиентом правила не сбросить. Решение VMware PowerCLI

  1. Подключаемся к серверу Connect-VIServer имя сервера —verbose
  2. Создаем переменную $FWPolicy = Get-VMHostFirewallDefaultPolicy -VMHost имя сервера
  3. Переводим firewall в режим открыты все порты Set-VMHostFirewallDefaultPolicy -Policy $FWPolicy -AllowOutgoing $true -AllowIncoming $true
  4. Не забываем после того поправили правила перевести пункт 3 в false (по умолчанию запрещено все)

 

Интересный продукт Check Point

Вот вроде бы Check Point та же самая Cisco, но нет. Это более гибкий усовершенствованный продукт. Это если сравнивать продукты как Firewall. Интересное решение есть на базе VMware, т.е как на базе железа, так и на базе виртуализации.

На официальном сайте можно глянуть карту атак

Безопасность Asterisk, защита от сканирования портов

Приветствую!

Была задача объединить Dlink FXO и Asterisk. Все было сделано успешно встал вопрос о безопасности Asterisk.

  1. установили и настроили fail2ban
  2. закрыли доступ к веб серверу из вне точнее доступ по паролю
  3. запретили анонимные звонки

Вот вроде и все, fail2ban успешно ловит по правилу. Но настигла меня участь попасть под сканеров. В логе asterisk валились сообщения:

Timeout on a1ba91d3db3d751eb98dca1f0830407d on non-critical invite transaction.

либо

chan_sip.c: Failed to authenticate device 4006<sip:4006@My_IP>;tag=cfac1d5d

Естественно fail2ban здесь не помощник, надо на сетевом уровне смотреть кто такой. Выполняем в консоли asterisk sip show channels и видим некий IP который нам шлет INVITE как guest.

Посмотрели tcpdump что в заголовках и добавили в iptables правила:

-A INPUT -p udp -m udp —dport 5060 -m string —string «sipcli» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sip-scan» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «iWar» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sipvicious» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sipsak» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sundayddr» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «VaxSIPUserAgent» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «friendly-scanner» —algo bm —to 65535 -j DROP

Ну вот и все решение проблемы с защитой SIP порта от сканирования. iptables просматривает пакеты и если видит в них заголовки сразу отбрасывает их.

Теперь как только вижу подозрительные сообщения, смотрю заголовки через tcpdump и добавляю правила.

Linux-шифровальщик поразил более 2000 веб-сайтов

«Доктор Веб» раскрыл дополнительные детали о вредоносной программе Linux.Encoder.1, о появлении которой стало известно в начале текущего месяца.

Зловред поражает компьютеры под управлением операционных систем Linux. Его основное предназначение — шифрование файлов с целью последующего получения выкупа за восстановление доступа к ним.

Анализ показал, что основными мишенями трояна стали размещённые на Linux-серверах веб-сайты, работающие с использованием различных систем управления контентом (Content Management Systems, CMS) — в частности, WordPress, а также популярного программного комплекса для организации интернет-магазинов Magento CMS. Для атаки используется неустановленная пока уязвимость.

Получив несанкционированный доступ к сайту, киберпреступники размещают на нём файл error.php. Он играет роль шелл-скрипта и позволяет злоумышленникам выполнять различные несанкционированные действия.

Linux

Поскольку зловред запускается с правами встроенного пользователя www-data (то есть с правами приложения, работающего от имени веб-сервера Apache), этих привилегий вполне достаточно, чтобы зашифровать файлы в папках, для которых у данного встроенного пользователя имеются права на запись, — иными словами, там, где хранятся файлы и компоненты «движка» веб-сайта. Если по каким-либо причинам у шифровальщика окажутся более высокие привилегии, он не ограничится одной лишь папкой веб-сервера.

По состоянию на 12 ноября шифровальщик атаковал более 2000 сайтов в Интернете. Для восстановления доступа к закодированным данным жертве предлагается заплатить несколько сотен долларов США криптовалютой Bitcoin. Более подробную информацию о зловреде можно получить здесь.