17 Sie

QNAP na straży bezpieczeństwa w firmie, czyli darmowy HIDS

Warto wiedzieć co się dzieje w firmie, logi, rootkit czy nawet kiedy były modyfikowane ważne pliki – dokumenty etc…

Z pomocą przychodzi nam aplikacja OSSEC.

Oczywiście całość jak zawsze zaczynamy od postawienia kontenera z Debianem – nie będę już tego opisywał, gdyż jest to w wielu poprzednich wpisach.

Na początek

Kontener jest golasem więc kilka paczek jak wyżej zawsze instaluje.

Pytanie o rodzaj instalacji:

Dalej entery :)

I mamy zainstalowane:

Uruchamiamy:

Pobiermy agenta dla Windows: https://updates.atomicorp.com/channels/atomic/windows/ossec-agent-win32-2.9.0-1738.exe

Na serwerze musimy dodać agenta

Pobieramy klucz

Doodajemy IP serwera oraz klucz w agencie:

W menu File startujemy agenta. W logu widać co monitoruje domyślnie:

Logi pracy znajdziemy w: /var/ossec/logs/alerts/alerts.log

Przykładowy alert z maszyny z systemem Linux

18 Sie

nginx + WordPress = kilka słów o bezpieczeństwie

Wpis w zasadzie jest moim podsumowaniem w temacie malware, bezpieczeństwa, wykonywania kodu dziwnego w zainfekowanym WordPressie co usłyszałem na jednym z WordUp Trójmiasto. Na spotkaniu były omawiane metody związane z Apache2, którego ja nie używam tak więc poniżej pare wpisów dla nginx-a. :)

Jak mówił prelegent na WordUp – WordPress nie musi/nie powinien wykonywać kodu bezpośrednio z katalogów tj. wp-content czy wp-includes, jednak są też wyjątki.

Oczywiście są też wyjątki. Taki wpis całkowicie zablokuje nam edytor graficzny w postach, stronach etc.. wiec:

Są też inne wyjątki z jakimi się spotkałem. Do taki należy plugin newsletter, który wykonuje php bezpośrednio ze swojego katalogu, a więc:

I jeszcze jedno, zablokowanie możliwości pobrania nazwy admina

I to wszystko :) tak na szybko. Zawsze mamy mały krok w kierunku zwiększonego bezpieczeństwa.

02 Gru

A kuku… chowamy wersję serwera web (apache, nginx, php) dla świata :)

Wpis na szybko o ty mjak schować wersję web serwera oraz php dla ciekawskich.

Więc widać iż mamy doczynienia z systemem Ubuntu, po wersji PHP 5.3.10 można wnioskować iż jest to pewnie Ubuntu 12.04, widać też ładnie wersje Apache.
Chowamy wersje Apache:

W pliku zmienimay odpowednio 2 linijki:

Widać powyżej co zakomentować co wpisać lub odkomentować.
Teraz PHP. W pliku php.ini musimy odszukać wpis expose_php i go zmodyfikować jak poniżej.

I na koniec nginx. W seckcji server {} dodajemy:

Wynik:

I to wszystko :)