Linux Sunucu SYN DDOS Engelleme

3 01 2012

Bir Türlü %100 Çözümü bulunamayan SYN ve DDOS atacklara karşı bir nebzede olsa önüne geçebilmek adına Linux sunucumuza inetbase kuruyoruz..

SSH den Root olarak login olduktan sonra:

wget http://www.inetbase.com/scripts/ddos/install.sh

sh install.sh

Conf dosyasını Editleme:

pico /usr/local/ddos/ddos.conf

APF_BAN=0 bu özellik 1 ise apf ile banliyo 0 ise iptables ile ( APF bilmiyorsak 0 Olmalı )

NO_OF_CONNECTIONS=150 >Bir IP 150 Baglantı yapılabilir.

BAN_PERIOD=600 >Bu sayı 10 dakika anlamında 10 dakikada 150 baglantı yapanı banlıyor.

EMAIL_TO=KENDİ MAİLİNİZ Seklinde kendi mail adresimizi giriyoruz.

NOT:
Bazı durumlarda ıp adresinin tumunu banlamadıgı için aynı sayılar gecen ıplerde ban yiyebiliyor bunu düzelmek için :

netstat -tn –inet 2> /dev/null| grep “:80″ | awk ‘/tcp[ ]*[0-9]+[ ]*[0-9]+[ ]+[^ ]+[ ]*[^ ]*/ { print $5; }’ | cut -d”:” -f1 | sort | uniq -c | sort -n

Banlanan Ipleri Temizleme:

iptables -F

Kaldırma:

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos

ARDINDAN

sh uninstall.ddos

Kendi mailiniz bölümüne logların gideceği adresi yazın.





Linux Server Loglara Bakmak

3 01 2012

Linux Tabanlı sistemlerde log dosyalarının nerdeyse tamamı /var/log dizinde tutulur.

Log Konumu           Tanımı
/var/log/message           Genel Sistem Mesajları
/var/log/sevure            Güvenlik Logları
/var/log/auth.log          Güvenlik Logları
/var/log/kern.log          Kernel Logları
/var/log/cron.log          Cron Logları
/var/log/maillog           Mail Sunucu Logları
/var/log/qmail/            Qmail Logları
/var/log/httpd/            Apache Logları(erişim ve hata)
/var/log/boot.log          Boot Logları
/var/log/mysqld.log        Mysql Logları
/var/log/utmp              Giriş Logları
/var/log/wtmp              Giriş Logları
/var/log/yum.log:          Yum Logları

Log Dosyalarını Görüntülemek için tail -f kullanılır
tail -f /var/log/[dosya]





Redhat Server Guvenligi Hakkında

9 12 2011

Herşey  Güzel Redhat serverınız var plesk de kurulu ayarlarınız yapılı fakat guvenlık konusunda kafanızda problemleriniz var tabi yüzde yüz guvenlik olmayacagından eminsiniz. o yuzden size onemli olucak altın degerinde bir kac ayarı anlatayım bunun bir cogunu kendi webserverım da(h0tturk.com)denedim gayet guzel cozum olarak yaptıgım ufak bi istatistikle linux un free olmasına ragmen 400 dolar a yaklaşık bir guvenlık performansı elde ettim. neyse

Öncelikle denial of service ve syn ataklardan korunmak ıcın ssh de root olarak giriş yapın ve konsol da

Kod:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -p tcp –syn -m limit -j ACCEPT komutunu kullanarak bazı yetkileri tanımlayın

2.olarak Root kök admin şifrenizi degiştirin her zaman degiştirin.

3.sü pico gercekten guzel bir komuta tabanlı editordur o yuzden yukleyin ve konsolda rahat calışın

wget color=#0000ff ftp://ftp.cac.washington.edu/pine/pine-4.61-1.i386.rpm
rpm -ivh pine-4.61-1.i386.rpm

4. Direk Root Girişini Kapatın

pico -w /etc/ssh/sshd_config
Protocol 2, 1 bu bölümü
Protocol 2olarak değiştiriniz.
PermitRootLogin yes bu bölümüde
PermitRootLogin no olarak değiştiriniz.
Kayıt edin çıkın CTRL X ve alttaki komutla SSHD yi restart edin

Kod:
etc/rc.d/init.d/sshd restart

5. Telnet Kapatın

pico -w /etc/xinetd.d/telnet
disable kısmını YES olarak işaretleyin

ayarların tam olarak kalması icin xine restart ederek tekrar başlatın /etc/init.d/xinetd restart

6. Root ve admin girişleri mail olarak gelsin =)

gerci putty de son baglanan ip ve protokol belli fakat bu da lazım

cd /root

root dizine gecerek

pico .bash_profile bunu editleyin

Dosyanın en altına şu komutu ekleyelim echo ‘ALERT – Root Shell Access on:’ `date` `who` | mail -s “Alert: Root Access from `who | awk ‘{print $6}’`” email adresi \\n email Sonra Admin klasörüne gelelim aynı işlemi admin için yapalım

pico .bash_profile Dosyanın en altına şu komutu ekleyelim echo ‘ALERT – Root Shell Access on:’ `date` `who` | mail -s “Alert: Root Access from `who | awk ‘{print $6}’`” e mail \\n mail adresi

ve up2date -pu ile guncellemeleri kontrol edin

Kaynak





Hosting Firmanız Ne Kadar Güvenli?

7 12 2011

Hosting firmanız ne kadar güvenli diye bir soru sorsam sanırım büyük bir çoğunluk ya durumu bilmiyordur ya da güvensiz yanıtını verecektir.

Benim kişisel tecrübem hosting firmalarının genelde güvenliğe önem vermedikleri. Bununla birlikte yurtdışındaki hosting firmalarının fiyat/performans oranında Türkiye’deki firmalara göre iyi oldugu yönunde(Turkiye’de de isini ciddiye alarak yapan iyi hosting firmalari oldugunu biliyorum).

Tabi bu iyilik guvenlikten ne anladigimiza gore degisir. Sistemlerin onune Firewall, wep application firewall ya da ips vs koyulmasi biraz luks kaciyor cogu firma icin. Oysa bu tip sistemlerin acik kaynak kodlu yazilimlar kullanilarak yapilsa o kadar cok maddi yatirim gerektirmedigini bilseler durum belki degisir. Her neyse amacim firmalarin boyle luks(!) guvenlik onlemlerini neden almadiklarini elestirmek degil, cok daha basitini veremeyenlere catmak. Evet hala birden fazla musterisini ayni ortama hicbir segmentasyon yapmadan koyan firmalar var… Bu da bir musterinin digerinin trafigini tamamen izleyebilmesi manasina geliyor. Hatirlarsaniz Metasploit’in ana sayfasi da benzeri bir eskiklikten hacklenmisti(defacement).

Gecenlerde lifeoverip.net’in calistigi sisteme login olduktan sonra klasik olarak ilk calistirdigim komutun ciktisinda (dmesg) gateway’in MAC adresinin degisiklige ugradigini gordum ve tabi olarak huysuzlandim. Bunun iki manasi olabilirdi; hosting firmam benim sistemimi herhangi bir segmentasyona tabi tutmadan baskalari ile ayni ortama dahil etmisti ve oradan birileri arp spoofing ile gateway ile arama girmisti ya da onumuzdeki Firewall/router cluster vs calisyordu aktif sistem pasif duruma gecti ve gateway’e ait mac adresi degismis oldu.

Hemen ilgili kişilerle irtibata geçip ne olduğunu anlamaya calıştım fakat net bir cevap alamadim. Ben de yapabilecegimin en iyisini yaparak gateway’in mac adresini sabitledim. Tabi gateway uzerinde de benim mac adresimi sabitlemedikten sonra bu pek bir koruma saglamayacak ama simdilik elden bu geliyor diyerekten onlemimi aldim.

Siz siz olun kullandığinız hosting firmasini seçerken güvenlik konusuna da dikkat etmeye calışın. Yoksa sunucunuz üzerinde cleartext kullanan her uygulamanın trafigi baskalari tarafından okunabilir.





Microsoft Windows Server 2008 R2

6 12 2011

Microsoft, Windows’un masaüstü ve sunucu sürümlerini birbirleriyle paralel biçimde geliştirir. Bir sonraki Windows Server, yani Windows 7’yi baz alan sürüm Windows Server 2008 R2 olacak. Server’ın 2010’da Windows 7 ile beraber piyasaya çıkması bekleniyordu fakat son gelen haberler bu ikisinin çıkış tarihinin çok daha yakın olduğunu ortaya çıkardı. Microsoft yeni sunucu sürümünde 32-Bit dünyası ile olan ilişkisine son çizgiyi koyuyor; R2 sadece 64-Bit sürüm olarak sunulacak. Bu sayede standart sürümde bile 32 GB RAM’e erişilebiliyor. Bunu yeterli bulmayanlar 2 TB’a kadar bellek adresleyebilen Datacenter Edition’u tercih edebilir.

Başarılı Server 2008

Vista ile kıyaslandığında Windows Server 2008 gerçek bir başarıydı ve buna paralel olarak R2’nin çekirdek olarak yine Server 2008’i kullanması kimseyi şaşırtmıyor. Elbette bir dizi iyileştirme mevcut. Yenilikler özellikle sanallaştırma ve daha basit yönetim üzerinde odaklanıyor. Microsoft her şeyden önce sunucu yönetimi konusunda Linux’tan puan çalmak istiyor ve R2 buna uygun biçimde daha iyi script hazırlama fonksiyonları ve yeniden elden geçirilmiş grafiksel konsol arabirimi sunuyor. Ayrıca R2’de birkaç ilginç kaput altı iyileştirmesi de mevcut, örneğin enerji tasarrufu fonksiyonu veya daha detaylı rol konsepti. “İlle de Windows 7’yi bekleyeceğim” demeyenler için Server 2008 R2 birkaç güzellik daha sunuyor.

Download : Microsoft Windows Server 2008 R2

Sanallaştırma 2.0

Sanallaştırma, Windows Server 2008 R2’deki oyuncağınız olacak. Microsoft bu iş için sanal makine izleyicisi (Hypervisor) Hyper-V’nin yeni bir sürümünü geliştirdi ve rakipleriyle arasında olan açığı kapattı.

Microsoft, Hyper-V ile rakibi VMware’i iyice köşeye sıkıştırıyor. Hyper-V fiziksel bir bilgisayarın sistem kaynaklarını sanallaştırıyor. Böylece işletim sistemi ve uygulamalar izole edilmiş bir şekilde çalıştıkları sanal bir donanım ortamına sahip oluyor. Hyper-V kullanımına tipik bir örnek ise sunucu takviyesi olabilir. Hyper-V destekli sunucu takviyesi ile tek bir fiziksel ortamda birden çok sunucu çalıştırmak mümkün oluyor. Böylece işlem merkezleri mevcut donanımı en iyi şekilde kullanabilir. Sistem için kritik olarak uygulamalar bu takviyeye bir nevi yedek sistem olarak erişebilir. Mesela bir veri tabanı sunucusu donanım arızası sebebiyle çöktüğünde ikinci bir sunucu devreye girip çöken sunucunun görevlerini devralabiliyor.

Kesintisiz taşınma

Windows Server 2008 R2’nin bir diğer dikkat çeken özelliği iki sanal bilgisayar arasında Live-Migration (duraksamasız taşınma) yapılabilmesi oluyor. Bir sunucu yamalanmak zorunda olduğunda birkaç fare tıklaması ile sanal makineden bir diğer sanal makineye taşınma gerçekleştirilebiliyor. Avantaj: Servis dışı kalma gibi durum söz konusu değil zira sunucu, taşınma sırasında çalışmaya devam ediyor. Bu özelliğin en güzel yanı ise taşıma yapılan sunucuda bulunan bir uygulamayla çalışan kullanıcıların bu süreç esnasında sistemden ayrılmak zorunda kalmamaları oluyor. Bunun yerine çalışma hiçbir aralık verilmeksizin aynen devam ediyor. Live Migration’un arkasındaki teknik yepyeni. Zira R2 duraksamasız taşınma için Cluster Shared Volumes (CSV) kullanıyor. Püf nokta: Kümedeki (cluster) birden çok sanal makine, içinde kullanılan sanal sabit disklerin (VHD dosyası) bulunduğu ortak bir belleğe erişiyor. Bir denetleyici tüm erişimleri yönetiyor. Sanal makinelerden biri çöktüğünde denetleyici bir diğer sanal makinenin VHD dosyasına erişmesini sağlayabiliyor. Son bir güzellik daha: CSV için özel bir küme dosya sistemine ihtiyaç yok, bilakis herkesin aşina olduğu NTFS kullanılıyor.

Sanal makine yönetimi Windows Server 2008 R2’de çok daha kolay hale geliyor. Mesela artık Hyper-V için iyileştirilmiş bir yönetim konsolu var ve bu konsolda günlük yönetim işleri sade bir biçimde sıralanıyor. Ayrıca Hyper-V, R2’de Powershell komutlarıyla yönetilebiliyor. Sistem yöneticileri Hyper-V tabanlı büyük kurulumları System Center Virtual Machine Manager 2008 yardımıyla gerçekleştirebiliyor. Micosoft, R2 ile dağıtım konusunda da birçok yenilik sunuyor. Bu yenilikler hem sanal hem de fiziksel kurulumları hedefliyor. Dağıtım sürecinde kullanılan yeni standart da sanal sabit disk formatı oluyor (VHD). Yeni kısmı ise VHD dosyalarının sanal SCSI denetleyicisi üzerinden yeniden başlatmaya gerek kalmadan bağlanıp çıkarılabilmeleri oluyor. Bu yenilik yapılandırma esnekliğini arttırıyor ve aksaklık süresini kısaltıyor. Bilgisayarlar Windows Server 2008 R2 üzerinden bir VHD dosyası ile yerel sabit diskte başlatılabiliyor ki, bu da imaj dağıtımını kolaylaştırıyor.

Linux’tan Bir Nefes

Windows’u tanıyan, Windows Server’ın grafiksel yönetim konsoluyla da çalışabilir. Bu konsol özellikle BT bölümü olan firmalar için bir avantaj. Fakat herkesten önce BT-profesyonelleri Linux’taki gibi gelişmiş script hazırlama fonksiyonları istiyordu.

Gelişmiş Powershell: Yöneticilerin Windows’u merkezi bir şekilde komut satırı üzerinden yönetmelerini kolaylaştırıyor.

Windows Server 2008 R2 zamandan tasarruf sağlıyor. Bir yandan işletim sistemi donanımdan daha fazla işlem gücü çıkartıyor, diğer yandan sunucuyu çok daha kolay yönetiyorsunuz. Bunun anlamı: Artık script’ler ve cmdlet’ler uzaktan erişim sağlayan bilgisayarlardan da çalıştırılabiliyor. Bir diğer yenilik: Powershell için Syntax-Highlighting ve Script-Debugger özelliği olan grafiksel bir arabirim. Arka planda gerçekleştirilecek görevler gibi gelişmiş script yazma imkânları yöneticilerin sunucu bakımını otomatiğe almasını sağlayacak farlı imkânlar sunuyor. Ayrıca artık Server Manager ile uzaktan erişim yaparak grafiksel bir kullanıcı arabirimiyle sunucuyu yönetebiliyorsunuz. Active Directory Administrative Center ile daha da fazla zamandan tasarruf yapabilirsiniz, çünkü onun sayesinde dizin hizmetini görev temelli olarak yönetebiliyorsunuz.

Windows Server yeşile bürünüyor

Örneğimiz enerji yönetimi: Yeni Windows Server, Core Parking ismindeki yeni fonksiyonu ile ışıldıyor. Her dört çekirdeği yüzde 20 yük altında bırakmaktansa sunucu çalışan uygulamaları mümkün mertebe az çekirdek üzerinde topluyor. Yukarıdaki örnekte sadece bir çekirdek yüzde 80 yük altına sokulup, diğer üçü kapatılabilir. Eğer daha fazla işlem gücüne ihtiyaç duyarsanız sistem hiç gecikme olmaksızın diğer çekirdekleri de uyandırıyor. Böylece Windows Server düşük yük altında çevreyi koruyor ama buna rağmen ağır işler için elinde yeterli kaynak bulunduruyor.

Daha iyi Web-Server

Windows Server 2008 R2 uygulama sunucusunda da iyi bir grafik çiziyor. Internet Information Services 7.5’teki (IIS 7.5) yenilikler bu grafiğin yükselişindeki temel etmen oluyor. Yeni web sunucusu programları daha hızlı çalıştırıyor ve bununla beraber daha az sistem kaynağı kullanıyor. IISS-Manager’ı esnek biçimde ek modüllerle genişletebiliyorsunuz. Bu sayede web tabanlı uygulamalarda da bakım ve yönetim işleri azalıyor. Bu bağlamda eşsiz Best Practice Analyzer büyük bir artı oluyor: Bu yönetim aracı tüm sunucu yapılandırmasını denetliyor ve iyileştirme önerileri sunuyor. Ayrıca artık Server-Core bazında da .NET Framework ’u ek paket olarak kurma imkânınız var.

Windows 7’nin sınırlarını zorlamak

Masaüstündeki Windows’un tüm potansiyelini kullanmak isteyenlerin arka uçta Windows Server’a ihtiyacı var. Microsoft bu stratejiyi Windows 7 ve Windows Server 2008 R2’de de devam ettiriyor.

Ayrılmaz ikili misali Windows 7 ve Windows Server 2008 R2, beraber kullanıldıkları vakit güçlü yanlarını ortaya koyuyorlar. Sebep: R2’nin özel bir fonksiyonu sadece Windows 7 yüklü bir istemci bilgisayar ile beraber kullanılınca ortaya çıkıyor. Direct Access ismindeki özellik sayesinde firma ağlarına VPN’ye ihtiyaç duymadan erişebiliyorsunuz. Karmaşık VPN ayarlarıyla uğraşmanın aksine Direct Access kullanıcı için tamamen şeffaf bir özellik. BranchCache ismindeki farklı bir fonksiyon firma merkezlerindeki programlar ile istemci PC’ler arasındaki uzaktan erişimin hızını arttırıyor. Bu yapılırken bir kez talep edilmiş veriler ağda veya istemci PC’lerde saklanıyor. Böylece ikinci kez gerçekleştirilecek talebe çok daha hızlı yanıt veriliyor.

İyileştirilmiş VPN

Elbette Windows Server 2008 R2’de VPN bağlantılarına has iyileştirmeler de var: VPN tünellerinin dalgalanan bağlantılarda aniden kaybolması sıkça gerçekleşen bir durumdur. Böyle bir durumda kullanıcı yeniden oturum açmak zorunda kalır. R2, Agile VPN ile dalgalanan bağlantılarda daha yüksek hata toleransı sağlıyor. Bunu gerçekleştirmek içinse birden çok ağ yolunu aynı anda açıyor. Bir bağlantı parazit sebebiyle koparsa, Agile VPN otomatikman diğer bağlantıya geçiş yapıyor.

Yeni güç yönetimi grup ilkeleri sadece Windows 7 yüklü istemcilerle beraber çalışıyor. Bir diğer artı: Windows Server 2008’deki salt okunur domain denetleyicilerinden sonra (Read-Only Domain-Controllers) halef sürüm bunu bir adım daha öteye götürüp Read-Only-DFS’yi (Distributed File System) sunuyor. Bu özellik istemci PC’ler için daha fazla güvenlik sağlıyor. Ayrıca taşınabilir depolama birimlerini de Bitlocker ile şifreleyebiliyorsunuz. Mobil kullanıcılar çevrimdışı dosyaları kaydetmeyi sağlayan yeni bir özellik (Offline files) sayesinde kişisel verilerini koruyabiliyor.

Sonuç: Windows-Ailesi için güçlü bir sunucu

Windows Vista’nı aksine Windows Server 2008 müşterilerde iyi bir izlenim bırakıyor. Fakat sunucu henüz mükemmel değil. R2’nin hoş tarafı tüm yeniliklerinin uygulamaya elverişli olması oluyor. Böylece güçlü Server, zayıflayan masaüstü Windows’u öteleyebilir.

Microsoft uzun zamandır beklenen Windows 7’nin arkasına güçlü bir Windows Server 2008 R2 yerleştiriyor. Geliştirici takım janjanlı özellikleri olmayan güçlü Server 2008’i alıp uygulamada hangi bölümlerde eksiklik varsa o bölümlerde iyileştirme yaptılar. Örneğin sanallaştırma, uzakta bakım veya rol tabanlı kurulum.

Büyük bir artı: Windows Server 2008 R2, selefinden daha modüler bir şekilde inşa edildi. Dolayısıyla kullanıcı, sunucu işletim sistemini kendi isteklerine göre daha kesin bir şekilde yapılandırabilir. Bu, daha az yük ve daha az saldırı yüzeyi anlamına geliyor. Yeni sanallaştırma özellikleri sayesinde R2, VMware vb. rakiplerine bayağı bir yaklaştı.

Kolayca test edin

Windows Server 2008 R2 sadece 64-Bit olarak sunulduğu için test sırasında sanal makineye dikkat edilmesi gerekiyor. Hâlâ 32-Bit’lik bir sistemde çalışıyor olmak engel oluşturabilir. Güncel Virtualbox sürümü eğer PC’nin donanımsal sanallaştırma desteği olan bir işlemcisi varsa R2’yi sanallaştırabiliyor.

Resimlere bak diyerek tam ekran olarak görebilirsiniz.





Bilgisayarınıza Kırılmaz Şifre Koyun !

6 12 2011

Pc’mize Şifre Koyduğumuzda (BİOS’a Değil)Bilgisayarı Açıp Ctrl + Alt + Del Del Yaptığımızda Yada Güvenli Modda Başlattığımızda Administrator yazıp Şifresiz Giriliyor . BİOS’a Şifre Koysak Bile Programla Kırılıp Giriliyor . Windows’un Kendi Programı Olan ” syskey ” ile Şifremiz Kırılmıycak .

Başlat>Çalıştır ’ a ” syskey ” yazalım ( ” ” işaretlerini kullanmadan )

Şifrelemeyi Etkin Kılıp Şifreyi Oluşturabiliriz . Bu Şifreyi Oluşturduğumuzda Hiçbir Program Veya Hacker Şifremizi Kıramaz .

UYARI ! : Eğer Bu Şifrelemeyi Etkinleştirirsek Geri Dönüşü Olmaz Devre Dışı Bırakamayız. Kasayı Açıp Saat Pilini Çıkarıp Taksanız Bile Şifreleme Sistemi Hep Devrede Kalır . Tek Çözüm Formattır . Ama Emin Olunki Mükemmel Bir Şifreleme Sistemidir .

UYARI !: Kırılmaz şifre yoktur kırılması uzun süren şifre vardır 🙂





Otomatik Brute Force Saldırıları Için Ssh Port Değiştirme

5 12 2011

Brute force rastgele denenen şifreler ile serverda kontrolü root ele geçirme türünde bir saldırıdır. Genelde yeni kurulmuş serverlarda şifreler ve portlar standart olduğundan bazı otomatik scriptlerle bu tür virüs vb. zararlı yazılımlar bulaştırılmaktadır.

Cpanel de portu değiştirmek çok kolaydır.
ssh login olarak

Kod:
nano -w /etc/ssh/sshd_config

yazın karşınıza çıkan ekranda

#Port 22 satırını göreceksiniz başındaki # kaldırıp kendi portunuzu girebilirsiniz 8467 gibi
(ilerde bu porttan ssh gireceksiniz unutmayın)
daha sonra

Kod:
CTRL + X

ile dosyamızı kaydediyoruz.

Değişikliğin aktif olması için ssh servisi yeniden başlatalım.

Kod:
/etc/rc.d/init.d/sshd restart

işte bu kadar.

Yalnız APF, CSf benzeri firewall kullanıyorsanız veya kullanacaksanız ssh protnuzu bu yazılımlara tanıtmayı unutmayın….

Cpanelin kendi içindeki brute force loglarına ulaşmak isterseniz… Genelde bu tür saldırıları şikayet etmek için gerekli makamlara (datacenter) cpanelde…
SSH dan girip saldıran ipyi yazarak

Kod:
grep 111.111.11.111 /var/log/secure | tail -10

loglara erişebilirsiniz. 111.111.11.111 yerine saldıran ipyi yazacaksınız…








Takip Et

Her yeni yazı için posta kutunuza gönderim alın.