Skip to main content

Зудящий ДДоС

Обнаружил вчера, что мои серваки кто-то старательно DDoSит. Слабенько так. но неприятно.
В этой статейке расскажу, что можно делать.

Цель 1: Первичный DNS

Скорей всего мой сервер пытались использовать для DNS Amplification Attack. В чем суть? Суть в том, что приходит запрос с поддельным исходным адресом. Исходный адрес заменяется на адрес жертвы. В запросе содержится какой-нибудь домен, обычно специально созданный, у которого ооочень много A записей (да и не только A, т.к. запрос посылают обычно на Any). Сервер обрабатывает этот запрос и выдает весь этот огромный список жертве. Т.о. при небольшом входном потоке транзитный сервер генерирует очень много выходных данных (то самое усиление — Amplification) и заваливает жертву.

Но, возможно, т.к. запрашивающих машин было порядка 20, то это была и обычная атака на мой сервер (либо 20 одновременных жертв, что странно)

Что делать?

Читать дальше “Зудящий ДДоС” »

Откат групповых политик

Если вы накосячили с групповыми политиками так, что они не могут автоматически применить новую версию или откатиться к локальному варианту — закешированные политики можно найти в реестре

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\

Так же локальные файлы политик можно найти в %windir%\system32\GroupPolicy и %windir%\system32\GroupPolicyUser

Мониторинг S.M.A.R.T. с уведомлениями по почте

smartd -p /var/run/smard.pid

В моем случае пришлось иметь дело с тремя рейдами — один хардверным, и двумя софтверными. С  софтверными проще — просто мониторим каждый диск, входящий в состав рейда. С хардверным сложней — сначала надо определить его тип. У меня оказался cciss (HP Smart Array). Его драйвером является sat+cciss,N, где N — номер устройства в рейде (0,1 в моем случае). Поэтому в конфиг пишем следующие вещи

/dev/sda -d sat+cciss,0 -a -o on -S on -s (S/../.././02|L/../../6/03)
/dev/sda -d sat+cciss,1 -a -o on -S on -s (S/../.././02|L/../../6/03)
/dev/sda -d sat+cciss,0 -a -I 194 -W 4,45,55 -R 5 -m root
/dev/sda -d sat+cciss,1 -a -I 194 -W 4,45,55 -R 5 -m root

Первые две строчки говорят нам о том, что диск будет на постоянном мониторинге, с включенными офлайн тестами, с включенным автосохранением параметров SMART и запускать тесты каждую ночь — каждый день короткий, и каждую субботу длинный.

Вторые две строчки говорят нам, что диск сервис будет мониторить температуру и число переназначенных секторов, и  при изменении температуры больше, чем на 4 градуса с момента последней проверки, или при достижении критической температуры в 55 градусов будет отсылаться письмо root`у. При превышении 45 градусов будет произведена запись в лог.

Также надо закомментировать строчку

DEVICESCAN -d removable -n standby -m root -M exec /usr/share/smartmontools/smartd-runner

которая по умолчанию отменяет все, что написано после нее, и добавляет автоматические проверки всех найденных дисков.

Эта прекрасная утилита имеет версию и под Windows.

Письма отсылаются стандартными средствами системы (postfix в моем случае), так что перенастроить альяс с рута на нужный адрес не составляет труда.

Знакомство с системой мониторинга Zabbix

Поискав на просторах интернета систему мониторнига для сети и сетевых устройств, мой выбор остановился на Zabbix, как наиболее производительной и простой в настройке системе. Ниже будут изложены мои впечатления за неделю использования.

Установка Агентов

заббикс предлагает агентов для большинства типов систем,в моем случае — это 100% покрытие. Устанавливаются как сервис. Настройка агентов тривиальна, минимальная требует указать только сервер мониторинга для отправки уведомлений и открыть порт в файрволе. в принципе и то и другое делается доменной политикой — нужно скопировать локально конфиг файл и бинарники агента, после чего выполнить
zabbix-agentd -i -c %config%
zabbix-agentd -s -c %config%

Минимальная конфигурация

Файл C:\zabbix.txt

Server=10.10.10.10,zabbix-server,127.0.0.1

Установка агента как сервиса

zabbix-agent -i -c "C:\zabbix.txt"

После чего сервис можно запустить через Панель Управления\Администрирование\Сервисы

Также необходимо на машине открыть 10050 порт на прием входящих подключений.
Читать дальше “Знакомство с системой мониторинга Zabbix” »

Настройка Rsyslogd. Удаленное транслирование логов.

В этой статье я опишу процесс настройки трансляции логов на удаленную машину. Это позволяет повысить общую безопасность системы за счет того, что злоумышленник не сможет скрыть следы своего пребывание путем очистки лог файлов.

Нам понадобятся две машины с rsyslogd, рассказывать я буду на примере ubuntu 10.04, в которой этот пакет является менеджером лог-файлов по умолчанию.

Базовая настройка логов

Первичная настройка системы логгирования очень простая.
В конфиг-файл вносятся правила вида
сервис.уровень_важности_сообщения действие

Под действием может пониматься одно из следующих:

  • Вывод в стандартный файл (/absolute/file/path;output_format_)
  • Именованный канал ( |named_pipe )
  • Вывод на терминал или консоль ( tty_name )
  • Пересылка на удаленную машину ( :type:remote_host:port
  • Вывод определнному пользователю (если он залогинен) (username,username2…)
  • Вывод всем залогиненным пользователям (*)
  • Отбросить (~)
  • Выполнить скрипт (^script-name)

Читать дальше “Настройка Rsyslogd. Удаленное транслирование логов.” »