In questi giorni sto provando quello che sembra essere un ottimo plugins per Nagios e quindi anche Icinga, atto a monitorare tramite mod_status il più famoso dei web server, Apache.
Ripropongo lo script check_apache2 presente sui repository Nagios, con le modifiche apportate in modo tale da poter funzionare sotto Centos. Disponibile inoltre il template check_apache2.php che genera il grafico in PNP4Nagios.
Entrambi li trovate nel mio reposiory github.
Le statistiche dicono che circa l’85% delle traffico email è spam (fonte cisco), questo vuol dire che bisogna configurare al meglio il sistema email, in modo da integrare diversi sistemi di protezione per evitare, non solo di essere destinatari di spam, ma anche di inviarne! Lato amministratore, esistono diverse politiche per proteggere il proprio server dello spam, e devono poter lavorare congiuntamente in modo da ottenere il miglior risultato.
Esistono molte tipologie di Server FTP, che secondo il mio pensiero, si potrebbero ricondurre in quattro principali categorie:
Io prediligo la personalizzazzione, ritengo infatti, che un servizio debba permettere massima libertà, sia per quanto rigurarda le impostazioni e che dia la possibilità di impostare livelli di sicurezza e di funzionamento desiderati. Per questo motivo, sono sempre stato orientato verso l’utilizzo di ProFTPd.
In particolare la configurazione tipo che utilizzo, è quella che si appoggia ai moduli mod_sql e mod_sql_mysql, grazie ai quali è possibile implementare un sistema di autenticazione FTP con MySQL.
Si possono trovare moltissimi esempi di configurazione in rete, come questo: http://www.khoosys.net/single.htm?ipg=848, che utilizza anche il sistema di quota fornito da ProFTPd.
Nell’ultimo server installato, ho voluto inserire anche la gestione automatica del ban, basata su criteri ben precisi; mod_ban permette di bloccare l’accesso al server seguendo diverse direttive, la più veloce da configurare è sicuramente MaxLoginAttempts.
Ulteriori perfezionamenti vengono dall’estratto del file di configurazione di proftpd qui sotto.
Le prime due sono quasi ovvie, impediscono l’autenticzione dell’utente root e proteggono la shell. L’ultima riga invece impone la visualizzazzione di tutti i file, anche quelli nascosti, per un massimo di 100 ricorsivamente per 3 cartelle
RootLogin off
RequireValidShell off
ListOptions -a maxfiles 100 maxdepth 3
A completare la configurazione del server, rimane l’apertura delle porte su iptables. Aggiungendo le seguenti righe al file /etc/sysconfig/iptables
-I INPUT -p tcp –dport 21 -m state –state NEW,ESTABLISHED -j ACCEPT
-I INPUT -p tcp –sport 20 -m state –state ESTABLISHED,RELATED -j ACCEPT
Mentre nel file /etc/sysconfig/iptables-config si deve aggiungere al caricamento dei moduli
IPTABLES_MODULES=”ip_conntrak_ftp”
L’ultima cosa da fare è abilitare il demone proftpd all’avvio del server
chkconfig –level 345 protftpd on
Lo definirei il Dorkbot d’ottobre per l’Italia. Diffusosi attraverso Skype, ne esistono parecchie versioni dello stesso malware, come dimostra una ricerca su google con la versione inglese del testo “lol is this your new profile pic?“.
Tutte hanno lo stesso scopo, espandersi, reperire le vostre passowrd e aggiungere il vostro pc ad una botnet in grado di sferrare un attacco DoS, come scrito nel Los Angeles Times.
Ho trovato molte guide che spiegano come rimuovere il dorkbot, ma la vera soluzione nei casi che ho affrontato è stata rimuovere manualmente i file del tipo F5.exe oppure D43.exe presenti in C:/users/USERNAME/Apps Data/Roaming.
Per verificare l’effettiva rimozione, una volta modificata la password di Skype, si controlla che la finestra di dialogo che si trova in Strumenti -> Opzioni -> Avanzate e poi Gestisci l’accesso a Skype da parte di altri programmi sia vuota come nell’immagine
Volevo scrivere di come il supporto Tophost sia poco propositivo e superficiale;
volevo scrivere di come mi hanno, dal mio punto di vista, inspiegabilmente bloccato il sito senza fornirmi alcun tipo di spiegazione;
volevo scrivere di come si sono nascosti dietro il supporto di ticket, senza mai fornire un nome dell’interlocutore e senza mai riuscire a comunicare correttamente il problema al loro cliente;
volevo scrivere tutto ciò, ma poi mi sono ricordato che per 10€ + iva l’anno, non si può chiedere l’impossibile!
Non me ne voglia Tophost, questo non è un post di critica, anzi cerca di valutare in modo oggettivo i loro servizi
Ecco una serie di link utili per verificare se un server di posta è stato inserito in qualche blacklist:
Lo scorso mese mi sono trovato ad affrontare un caso interessante, innescato presumibilmente dalla leggerezza, associata ad un pizzico di inesperienza.
Quasi al termine dell’esecuzione del backup giornaliero di un server con Exchange 2003, questo si interrompeva, restituendo un errore ESE per cui erano percorribili due soluzioni.
Ripristinare un backup che non presentasse questo errore, che nel mio caso specifico, stava ad indicare una corruzione al database, oppure dopo aver eseguito un CHKDSK del volume in cui sono presenti i database (.edb e .stm) eseguire questa serie di comandi da linea di comando.
Prima di tutto si devono interrompere i servizi relativi ad exchange, smontare il db e farne un backup
Screen relativo allo scollegamento del database
Le operazioni che seguiranno si svolgeranno con delle tempistiche importanti, infatti, come ipotizza la stessa microsoft ci vogliono 11 ore per un database di 50G. Nel mio caso, per un database di 47G sono servite poco meno di 10 ore per deframmentarlo ma circa 18 per correggere e ripristinare.
Preso atto di questo, le operazioni da compiere sono quindi la deframmentazione e l’eventuale successiva correzione.
Ci si porta nella shell all’interno della directory di Exchange C:\Exchsrvr\bin e si da il comando
eseutil /d /ispriv
Attenzione che la deframmentazione o correzione del database, andranno ad occupare il 110% della sua dimensione, si dovrà quindi in mancanza di spazio, impostare un percorso dove salvare i file temporanei in questo modo
eseutil /d /ispriv /td:\Sample.edb /fd:\tempstpub.stm
dove:
Purtroppo nel mio caso, la sola deframmentazione non ha portato alcun risultato, speravo infatti che l’errore si trovasse in una zona defframentata del database. E’ stato necessario correggerlo usando ancora una volta eseutil ma con un secondo parametro:
eseutil /p /ispriv /td:\Sample.edb
A seguire vi riporto lo script bash utilizzato per la defframentazione, con i comandi per stoppare e riavvire i servizi usati da exchange (attenzione i servizi stoppati sono relativi a quelli in uso sul server incriminato e non sono tutti quelli di default)
ECHO Smonta il database PAUSE net stop MSExchangeES /y net stop MSExchangeIS /y net stop MSExchangeMTA /y net stop MSExchangeSA /y net stop POP3Svc /y net stop IMAP4Scv /y echo time /T > c:\log.txt cd \ cd "C:\Programmi\Exchsrvr\bin\" ECHO Servizi Exchange stoppati. Procedo con la frammentazione eseutil /d C:\Exchsrvr\MDBDATA\priv1.edb /tf:\temppriv.edb /ff:\tempstpub.stm ECHO Frammentazione priv1 completata eseutil /d C:\Exchsrvr\MDBDATA\pub1.edb /tf:\tempub.edb /ff:\tempstpub.stm ECHO Frammentazione pub1 completata net start MSExchangeES /y net start MSExchangeIS /y net start MSExchangeMTA /y net start MSExchangeSA /y net start POP3Svc /y net start IMAP4Scv /y echo time /T >> c:\log.txt ECHO Monta database PAUSE
Per ulteriori letture e approfondimenti:
http://support.microsoft.com/kb/192185
http://forums.msexchange.org/fb.aspx?m=1800504795
http://www.petri.co.il/understanding_exhange_is.htm
RewriteEngine on
RewriteRule !^directory($|/) http://newdomain.ext%{REQUEST_URI} [L,R=301]
If you know, there aren’t any problem! 🙂 Otherwise, simply type rvm gem install rails
