RE: Защитить сетевые сервисы от спама, перебора паролей и DDOS.

[Pavel Marchenko]

Zabbix это по мониторингу. умеет дергать все что скажут. Делает http проверки. 
Умеет реагировать на алерты заданными действиями, а не просто слать письма. 
Читает логи.

Определение ddos и переборка паролей я думаю это l7 фильтрация и лучше 
переложить это на железку.

Хорошая тулза для глобальной сборки логов и парсинга logstash. Можно заставить 
работать в паре с заббиксом. 

-Исходное сообщение-
От: "Oleksandr Gavenko" 
Отправлено: ‎18.‎01.‎2016 3:53
Кому: "debian-russian@lists.debian.org" 
Тема: Защитить сетевые сервисы от спама, перебора паролей и DDOS.

Хочу разобраться какие меры и средства могут быть предприняты против:

 * спама (как осмысленного, понимающие API сервиса так и бессмысленного,
   например прощупывающего URL вида /admin, ~root, ...)

 * перебора паролей

 * DDOS

Естественно решение в рамках пакетов Debian и возможно рекомендаций с чем
обращатся к хостеру если есть легко доступные аппаратные решения.

Порылся в офиц. руководстве:

  $ zgrep 'intrusion\|detection' 
/usr/share/debian-reference/debian-reference.en.txt.gz

|   |  | | |monitoring 
and |
|   |  | | |management  
   |
|nagios3|V:1,  |1|, ,  |system for  
   |
|   |I:12  | | |hosts, 
services|
|   |  | | |and 
networks   |
|   |  | | |(Nagios)
   |

|   |  | | |flexible
   |
|   |V:2,  | | |network 
   |
|snort  |I:3   |1707 |, ,  |intrusion   
   |
|   |  | | |detection   
   |
|   |  | | |system 
(Snort) |

Я про эти комплексы знаю не больше чем по Wikipedia или обложке книг.

Может они неактуальны (их давно вписали в руководство, но обновлять
руководство нету желающих?).

По идее относительно полный список есть тут:

  https://en.wikipedia.org/wiki/Comparison_of_network_monitoring_systems
  https://en.wikipedia.org/wiki/Category:Intrusion_detection_systems

и еще такие класные ключевые слова (по которым напрямую полезную информацию я
не вижу):

  https://en.wikipedia.org/wiki/Intrusion_prevention_system
  https://en.wikipedia.org/wiki/Real-time_adaptive_security

Задача - уведомлять об атаках на VPS + улучшить жизнеспособность VPS.

VPS/VDS - это 256/1024/2048 MiB RAM + 1-2 CPU + 2.0-20.0 GiB STORAGE и там
сервисы для мелкого бизнеса или персональный хостинг (CV/blog/git).



Как мониторить CPU / MEM / IO?

И сообщать на email при превышении порога в течении промежутка времени?

Также интересно чем мониторить размер доступного места в хранилище. Неприятно
будет если логи забьют все пространство.

Я так понимаю nagios3 охватывает эти вопросы. Имеет смысл искать на
альтернативы?



nagios3 - глуп? Т.е. например есть 100% CPU - он скажет какие процесы в top?
Или DOS с определенного хоста - мне дадут IP?



Есть ощущение что с помощью nagios3 не лазят по accesslog и прикладным логам
что бы определить аномальную активность пользователей?

Для этого snort? Есть ли смысл искать / сравнивать с альтернативами? 

С помощью snort можно определять фейковые регистрации на форуме или спам в
коментариях к блогозаписи? Или только пороговая статистика - что то поисходит
чаще чем нужно?



Далее допустим идентифицирован процес, сжирающий 100% CPU в течении 20 мин или
IP адрес бомблящий или перебирающий URL на :80.

Кто будет прибивать автоматом прожорливый процес или добавлять временное
правило в файервол?

Я за структурированый способ оформления правил реагирования, потому как
костыли на cron, клее и резине в состоянии накропать...



Глупый DDOS забивает канал. Будет ли уходить исходящие пакеты с сервера?
Например - отправка письма с алертом?



Как бороться с подбором паролей? Я знаком с одним живым примером - Tomcat 8 в
Debian идет с включеным:

  /etc/tomcat8/Catalina/localhost/manager.xml

В manager.log периодически пишет что кто пытался авторизоваться...

Выходит что злоумышленник знает об устройстве сервисов, формате данных (пусть
и scriptkid'ер).

Я узнал о проблеме просматривая лог. Формат записи не думаю что
документирован. Мне нужно регвырами по логам самостоятельно узнавать проблемы?

Выходит что сервис, 

Re: Защитить сетевые сервисы от спама, перебора паролей и DDOS.

[Лев Аржанов]

В Пн, 18/01/2016 в 02:53 +0200, Oleksandr Gavenko пишет:
> Хочу разобраться какие меры и средства могут быть предприняты против:
> 
>  * спама (как осмысленного, понимающие API сервиса так и бессмысленного,
>например прощупывающего URL вида /admin, ~root, ...)
> 
>  * перебора паролей
> 
>  * DDOS


Одним пакетом все задачи не решить. Кроме уже рассмотренного, против
тупого подбора паролей и перебора url может помочь fail2ban. 


-- 
С уважением,
Лев Аржанов

Двигаю мышью по Shift+NumLock

[Grigory Fateyev]

Добрый день!

Я часто пользуюсь дополнительной клавиатурой для эмуляции движения
мыши, включается по Shift+NumLock, конфиг:

cat /usr/share/X11/xorg.conf.d/90-enable-pointerkeys.conf 
Section "InputClass"
Identifier "Keyboard Defaults"
MatchIsKeyboard"yes"
Option "XkbOptions" "keypad:pointerkeys"
EndSection

Но есть момент, который сильно расстраивает. После некоторого
бездействия клавиатуры (почитал статью или посмотрел ролик на YouTube)
дополнительная клавиатура отключается и приходится снова нажимать
Shift+NumLock. По ощущениям перерыв, после которого отключается доп.
клавиатура — 3 минуты.

Как предотвратить эти отключения? 

В качестве WM использую i3, так что тюнинг видимо только X.

Спасибо.
-- 
Best regards!
gfborn [at] gmail [dot] com

Re: Двигаю мышью по Shift+NumLock

[Anatoly Pugachev]

2016-01-17 20:53 GMT+03:00 Grigory Fateyev :
> Добрый день!
>
> Я часто пользуюсь дополнительной клавиатурой для эмуляции движения
> мыши, включается по Shift+NumLock, конфиг:
>
> cat /usr/share/X11/xorg.conf.d/90-enable-pointerkeys.conf
> Section "InputClass"
> Identifier "Keyboard Defaults"
> MatchIsKeyboard"yes"
> Option "XkbOptions" "keypad:pointerkeys"
> EndSection
>
> Но есть момент, который сильно расстраивает. После некоторого
> бездействия клавиатуры (почитал статью или посмотрел ролик на YouTube)
> дополнительная клавиатура отключается и приходится снова нажимать
> Shift+NumLock. По ощущениям перерыв, после которого отключается доп.
> клавиатура — 3 минуты.
>
> Как предотвратить эти отключения?
>
> В качестве WM использую i3, так что тюнинг видимо только X.

подойдет? http://crunchbang.org/forums/viewtopic.php?pid=322952
сам попробовать не могу, под рукой нет ни X'ов ни клавы с доп. клавишами

Защитить сетевые сервисы от спама, перебора паролей и DDOS.

[Oleksandr Gavenko]

Хочу разобраться какие меры и средства могут быть предприняты против:

 * спама (как осмысленного, понимающие API сервиса так и бессмысленного,
   например прощупывающего URL вида /admin, ~root, ...)

 * перебора паролей

 * DDOS

Естественно решение в рамках пакетов Debian и возможно рекомендаций с чем
обращатся к хостеру если есть легко доступные аппаратные решения.

Порылся в офиц. руководстве:

  $ zgrep 'intrusion\|detection' 
/usr/share/debian-reference/debian-reference.en.txt.gz

|   |  | | |monitoring 
and |
|   |  | | |management  
   |
|nagios3|V:1,  |1|, ,  |system for  
   |
|   |I:12  | | |hosts, 
services|
|   |  | | |and 
networks   |
|   |  | | |(Nagios)
   |

|   |  | | |flexible
   |
|   |V:2,  | | |network 
   |
|snort  |I:3   |1707 |, ,  |intrusion   
   |
|   |  | | |detection   
   |
|   |  | | |system 
(Snort) |

Я про эти комплексы знаю не больше чем по Wikipedia или обложке книг.

Может они неактуальны (их давно вписали в руководство, но обновлять
руководство нету желающих?).

По идее относительно полный список есть тут:

  https://en.wikipedia.org/wiki/Comparison_of_network_monitoring_systems
  https://en.wikipedia.org/wiki/Category:Intrusion_detection_systems

и еще такие класные ключевые слова (по которым напрямую полезную информацию я
не вижу):

  https://en.wikipedia.org/wiki/Intrusion_prevention_system
  https://en.wikipedia.org/wiki/Real-time_adaptive_security

Задача - уведомлять об атаках на VPS + улучшить жизнеспособность VPS.

VPS/VDS - это 256/1024/2048 MiB RAM + 1-2 CPU + 2.0-20.0 GiB STORAGE и там
сервисы для мелкого бизнеса или персональный хостинг (CV/blog/git).



Как мониторить CPU / MEM / IO?

И сообщать на email при превышении порога в течении промежутка времени?

Также интересно чем мониторить размер доступного места в хранилище. Неприятно
будет если логи забьют все пространство.

Я так понимаю nagios3 охватывает эти вопросы. Имеет смысл искать на
альтернативы?



nagios3 - глуп? Т.е. например есть 100% CPU - он скажет какие процесы в top?
Или DOS с определенного хоста - мне дадут IP?



Есть ощущение что с помощью nagios3 не лазят по accesslog и прикладным логам
что бы определить аномальную активность пользователей?

Для этого snort? Есть ли смысл искать / сравнивать с альтернативами? 

С помощью snort можно определять фейковые регистрации на форуме или спам в
коментариях к блогозаписи? Или только пороговая статистика - что то поисходит
чаще чем нужно?



Далее допустим идентифицирован процес, сжирающий 100% CPU в течении 20 мин или
IP адрес бомблящий или перебирающий URL на :80.

Кто будет прибивать автоматом прожорливый процес или добавлять временное
правило в файервол?

Я за структурированый способ оформления правил реагирования, потому как
костыли на cron, клее и резине в состоянии накропать...



Глупый DDOS забивает канал. Будет ли уходить исходящие пакеты с сервера?
Например - отправка письма с алертом?



Как бороться с подбором паролей? Я знаком с одним живым примером - Tomcat 8 в
Debian идет с включеным:

  /etc/tomcat8/Catalina/localhost/manager.xml

В manager.log периодически пишет что кто пытался авторизоваться...

Выходит что злоумышленник знает об устройстве сервисов, формате данных (пусть
и scriptkid'ер).

Я узнал о проблеме просматривая лог. Формат записи не думаю что
документирован. Мне нужно регвырами по логам самостоятельно узнавать проблемы?

Выходит что сервис, которого ты не понимаешь (не задоукментированы сообщения о
проблемах) - нужно закрывать.



Пускай наоборот мы собственно писаном сервисе. Как сообщать о подборе паролей
- через лог? Или комплексы на подобии snort умеют слушать через сокет?

Интересно конечно что бы сервис ничего не знал об IDS. Я бы общался через
*внешнюю* настройку в системе логирования.

Сейчан начинаю понимать нафик нужен (для Java-приложений):

  http://www.slf4j.org/api/org/slf4j/MDC.html

- что бы структурировано отдавать диагностические данные.

Конешно можно придумать свой формат для 

[DONE] wml://security/2016/dsa-344{3,4,5,7}.wml

[Lev Lamberov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2016/dsa-3443.wml2016-01-14 02:34:34.0 
+0500
+++ russian/security/2016/dsa-3443.wml  2016-01-17 21:54:22.984067697 +0500
@@ -1,35 +1,36 @@
- -security update
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+обновление 
безопасности
 
- -Several vulnerabilities have been discovered in the libpng PNG library.
- -The Common Vulnerabilities and Exposures project identifies the
- -following problems:
+В libpng, библиотеке, реализующей поддержку 
PNG, было обнаружено несколько уязвимостей.
+Проект Common Vulnerabilities and Exposures определяет
+следующие проблемы:
 
 
 
 https://security-tracker.debian.org/tracker/CVE-2015-8472;>CVE-2015-8472
 
- -It was discovered that the original fix for
+Было обнаружено, что изначальное 
исправление для
 https://security-tracker.debian.org/tracker/CVE-2015-8126;>\
- -CVE-2015-8126 was
- -incomplete and did not detect a potential overrun by applications
- -using png_set_PLTE directly. A remote attacker can take advantage of
- -this flaw to cause a denial of service (application crash).
+CVE-2015-8126 было
+неполным, оно не определяет 
потенциальной перегрузки, вызываемой 
приложениями,
+напрямую использующими функцию png_set_PLTE. 
Удалённый злоумышленник может 
использовать
+данную уязвимость для вызова отказа в 
обслуживании (аварийное завершение работы 
приложения).
 
 https://security-tracker.debian.org/tracker/CVE-2015-8540;>CVE-2015-8540
 
- -Xiao Qixue and Chen Yu discovered a flaw in the png_check_keyword
- -function. A remote attacker can potentially take advantage of this
- -flaw to cause a denial of service (application crash).
+Сяо Цисюэ и Чэнь Юй обнаружили 
уязвимость в функции
+png_check_keyword. Удалённый злоумышленник 
потенциально может использовать эту
+уязвимость для вызова отказа в 
обслуживании (аварийное завершение работы 
приложения).
 
 
 
- -For the oldstable distribution (wheezy), these problems have been fixed
- -in version 1.2.49-1+deb7u2.
+В предыдущем стабильном выпуске (wheezy) эти 
проблемы были исправлены
+в версии 1.2.49-1+deb7u2.
 
- -For the stable distribution (jessie), these problems have been fixed in
- -version 1.2.50-2+deb8u2.
+В стабильном выпуске (jessie) эти проблемы 
были исправлены в
+версии 1.2.50-2+deb8u2.
 
- -We recommend that you upgrade your libpng packages.
+Рекомендуется обновить пакеты libpng.
 
 
 # do not modify the following line
- --- english/security/2016/dsa-3444.wml2016-01-14 02:55:45.0 
+0500
+++ russian/security/2016/dsa-3444.wml  2016-01-17 21:56:32.245329954 +0500
@@ -1,19 +1,20 @@
- -security update
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+обновление 
безопасности
 
- -Crtc4L discovered a cross-site scripting vulnerability in wordpress, a
- -web blogging tool, allowing a remote authenticated administrator to
- -compromise the site.
+Crtc4L обнаружил уязвимость в wordpress, 
инструменте для ведения
+блога, приводящую к межсайтовому 
скриптингу, которая позволяет удалённому 
аутентифицированному
+администратору компрометировать сайт.
 
- -For the oldstable distribution (wheezy), this problem has been fixed
- -in version 3.6.1+dfsg-1~deb7u9.
+В предыдущем стабильном выпуске (wheezy) эта 
проблема была исправлена
+в версии 3.6.1+dfsg-1~deb7u9.
 
- -For the stable distribution (jessie), this problem has been fixed in
- -version 4.1+dfsg-1+deb8u7.
+В стабильном выпуске (jessie) эта проблема 
была исправлена в
+версии 4.1+dfsg-1+deb8u7.
 
- -For the unstable distribution (sid), this problem has been fixed in
- -version 4.4.1+dfsg-1.
+В нестабильном выпуске (sid) эта проблема 
была исправлена в
+версии 4.4.1+dfsg-1.
 
- -We recommend that you upgrade your wordpress packages.
+Рекомендуется обновить пакеты wordpress.
 
 
 # do not modify