Messages posted by: Giang Hồ Mạng

WANWULIN wrote:

Em mới năm 1 ĐH nên chưa học gì về chuyên ngành nên hỏi mong mấy anh tận tình chỉ giáo. Em được biết địa chỉ MAC là địa chỉ vật lý của card mạng, và là duy nhất (trừ khi là giả mạo), vậy thì có thể nào tracert nó giống như địa chỉ IP không? và mình có thể định vị nó giống thông qua mấy cái mắc xích giống như địa chỉ IP không? Em đang thắc mắc lắm. Xin cảm ơn.

Mac hoạt động trên layer 2 trong mô hình OSI. Bạn chỉ trace được nó từ trong LAN.

Nếu có dùng iptables thì có thể phối hợp -m limit và -m connlimit để ấn định giới hạn trên tầng IP

Do em không đọc kỹ, cám ơn anh rất nhiều smilie

conmale wrote:

Nếu dùng Exim, nên chú trọng vào các giá trị của:

smtp_accept_max
smtp_accept_max_per_connection
smtp_accept_max_per_host
smtp_connect_backlog

Nếu có dùng iptables thì có thể phối hợp -m limit và -m connlimit để ấn định giới hạn trên tầng IP (để Exim đỡ vất vả).

Em có điều chỉnh phần này trong iptables nhưng chỉ riêng SSH , vậy đối với các dịch vụ khác như SMTP, POP, IMAP, FTP có thể dùng -m limit và -m connlimit không anh smilie

quanta wrote:

Bạn có thể:
- đổi port mặc định
- ngâm cứu Snort
- Dùng /etc/hosts.deny hoặc một vài tools như: Fail2ban, DenyHosts, ...

Phần này anh có thử qua nhưng không đạt kết quả em , chỉ có điều Snort không dám triển khai vì server này chuyên cung cấp các dịch vụ shared hosting cho các khách hàng do vậy việc triển khai 1 công cụ nào đó cũng cần phải cân nhắc các yếu tố khác smilie

Mấy ngày nay server thường xuyên bị bruteforce ở các dịch vụ như SSH, SMTP, POP, IMAP, FTP . Ở phần SSH thì mình có dùng iptables , kết hợp với tập tin cấu hình của SSH để hạn chế việc brutefoce

Vậy cho mình hỏi, hiện nay có biện pháp hữu hiệu hạn chế việc brutefoce ở các dịch vụ như SMTP, POP, IMAP, FTP hay không ?

Server dùng Centos, Email server là Exim

Cám ơn

Để cài đặt GTK thì bạn cần cài đặt cảio, glib, pango

Good luck

UDP hay TCP đều có một số cổng được gán mặc định được sử dụng trên mạng và thứ hai là có một số cổng được tuỳ thích sử dụng, bất cứ chương trình ứng dụng cần 1 cổng thì phần mềm mạng sẽ gán cho nó 1 cổng , ví dụ như tôi có phần mềm mang tên HVA, đầu tiên để xác định cổng nó sẽ gởi yêu cầu đến máy tính A hỏi thăm xem cái cổng của tôi là cổng gì và máy tính A sẽ gởi về cho biết chính xác giá trị của cái cổng đó .

Xong xuôi . Thanks anh rất nhiều smilie

Dạ, mô hình của 2 thế này .
Ví dụ 1 khách hàng nào đó họ có 2 đường ADSL với 2 nhà cung cấp dịch vụ internet khác nhau chẳng hạn như VDC và FPT (cả 2 đường ADSL này đều là IP động).

Họ muốn sử dụng cùng lúc cả 2 đường này .
- Trường hợp bình thường thì không sao , ở trường hợp này có thể dùng Load balancing outbound (kết hợp nhiều line) smilie

- Trường hợp giả sử như đường line của VDC bị đứt mạng thì đường thứ 2 FPT sẽ đưa vào thay thế khi đưa vào thay thế sẽ không bị gián đoạn thông tin

Thanks anh

Trong ipcop không có chức năng Load Balancing, Failover như PFsense .

Vậy anh em có giải pháp nào tích hợp , công cụ hỗ trợ cho ipcop (addon) có thể tận dụng chức năng Load Balacing như trong PFSense hay trong ISA Server cho ipcop hay không .

Chân thành cám ơn

conmale wrote:

iptables / netfilter + ( apache || squid ) + tự ngâm kíu --> $0.

iptables / netfilter + ( apache || squid ) + conmale tư vấn --> $250 / giờ x 40 = $10000

Nói đùa đó. Trên diễn đàn đã có khối thảo luận tương tự rồi. Tìm xem đi. Được hết.

10000 đủ để thằng em sắm thêm 3 con vợ smilie

) Nghèo rớt mồng tơi lấy đâu ra $ á .
Có tư vấn miển phí không anh smilie

ntdtoss wrote:

pfsense cũng là một lựa chọn tốt www.pfsense.org
Cái này dựa trên nền FreeBSD chứ không phải Linux

Cám ơn bạn về thông tin này smilie

Mô hình của tôi
ISP -> Server (Firewall) -> Switch -> Webserver và DNS Server và Proxy server hoặc Database Server.

Tôi có dư 2 con server , cho nên tôi dự định dùng 1 con server làm firewall trên hệ thống Linux đứng sau ISP và đứng trước Switch nhưng tôi không biết hiện tại có phần mềm nào để làm nhiệm vụ giống như mô hình ở trên hay không .

Mô hình của tôi mục đích dành cho doanh nghiệp vừa và nhỏ , không có tiền để đầu tư các thiết bị Firewall "cứng" đắt tiền cho nên tôi muốn thử nghiệm mô hình này xem có thực hiện được hay không . Nếu được thì quá tốt .

Cám ơn bà con đọc nội dung này

BachDuongTM wrote:

Hi

nếu như có file đó rùi, cần chi nữa không ? file config firewall nha ?

Thực ra mình kô nghĩ điều đó là cần thiết, vì Mr Commale cũng miêu tả rõ ràng rồi mà. Hơn nữa, sao bạn không thử chơi cờ tưởng nhỉ, hacker là mình thì sẽ DDOS nè, rồi mình sẽ chống thế này nè

Ask for more hay Deep thinking

Giang hồ có nói 1 câu thế này “Biết thì nói , không biết thì dựa cột mà nghe đừng phát biểu linh tinh” smilie

Trong các ký sự của đại ca con ma le lé (đừng lấy dép chọi u đầu em) smilie

nếu anh trai cho đám nhỏ, đàn em như em file tcpdump khi bị tấn công đem về nhà phân tích thì quá tốt smilie

Về mặt kỹ thuật thì được nhưng về mặt nguyên tắc thì không bởi vì MTA từ những nơi khác gởi mail đến Exim của em tại cổng 25. Nếu em đổi cổng khác, các MTA sẽ không thể gởi mail về hệ thống của em được.

Em cho biết lý do tại sao em muốn đổi cổng 25 thành cổng khác được không?

Dạ, do em thấy bị spam nhiều quá cho nên nãy sinh ra "ý tưởng" thay đổi từ cổng 25 sang cổng khác (em nghĩ có thể dùng iptables để wwwect traffic để làm điều này hoặc kiểm tra cấu hình của exim, web application để thay đổi từ cổng 25 sang cổng khác)

Anh mà không biết em là "thằng nào" thì làm sao còn là... anh được?

Chắc anh đoán được chữ viết sai chính tả của em mà thôi vì em "quen" viết dấu hỏi thành dấu ngã và ngược lại mà smilie

Snort là 1 hệ thống phát hiện xâm nhập mạng có chức năng quét , dò tìm những thứ linh tinh đang di chuyển trên mạng . Nó chỉ báo động đỏ, phát hiện những thứ đang di chuyển trên mạng của bạn chứ nó không có chức năng để ngăn chặn luồng thông tin đang di chuyển trên mạng .

Làm quen với Snort thì nên tham khảo snort.conf , rules (luật là thứ quan trọng nhất trong snort), reference.config, classification.config . Kết hợp với tcpdump và syslog ta sẽ thu được nhiều kết quả , tóm lại nó chức năng ghi nhận cảnh báo từ đó sẽ đưa ra cho người quản trị những thông báo cần thiết hay không cần thiết phụ thuộc vào rules và nó là 1 sniffer . smilie

Vài nhận xét

Em đã điều chỉnh những thứ cần thiết đúng như lời anh dặn và hiện giờ em kiểm tra thì từ hôm qua đến giờ trong hàng đợi có khoãng 20 địa chỉ email và hiện tượng nobody@system.vn gởi vào hộp thư hosting@system.vn không còn nữa .

Cho em hỏi thêm phần này, SMTP exim mặc định chạy trên cổng 25 , em dự định chuyển sang cổng khác và dùng iptables để đưa vào rules thích hợp , không biết điều này có ảnh hưỡng đến hiệu suất hoạt động của server hay không anh . Vì server này có cấu hình trung bình cho nên cần cân nhắc những thứ "nhét vào" nó để đảm bảo không gây ảnh hưỡng cho nó .

Nếu em không ngại, gởi một đoạn /var/log/maillog cho anh (qua PM). Chỉ chọn khoảng thời gian thấy mail đi vào liên tục để anh xem thử.

Dạ, được . Em sẽ gởi cho anh log của những ngày bị spam và ngày hôm nay không còn nhận được mail từ nobody@system.vn nữa .

P/s: Ủa mà sao anh biết em là thằng nào mà chat chit với em vậy anh smilie

Vấn nạn này làm em nhức đầu vì không trace ra thủ phạm "chơi" mình, chỉ căn cứ vào địa chỉ IP, account tình nghi rồi kiểm tra, so sánh sau đó thì iptables ... drop . Phần WHM em có cập nhật lên , ngay cả exim và các ứng dụng trên server cũng cập nhật phiên bản lên .

Em có điều chỉnh giống như site này hướng dẫn
http://redronin.com/sourcecode/main/id/306
http://redronin.com/sourcecode/main/id/153

Trong exim.conf thì

accept domains = +local_domains
endpass
message = unknown user
verify = recipient
accept domains = +relay_domains
accept hosts = +relay_hosts
accept condition = ${perl{checkrelayhost}{$sender_host_address}}

và một vài điều chỉnh chức năng khác cũng như trên WHM nhưng em chưa rõ ở phần này

3) Xem kỹ lại "antirelayd daemon" có cho relay thoải mái hay không?

Khi nào anh rảnh nhờ anh xem giùm em daemon này
http://ultrashare.net/hosting/fl/ff8dd76219/antireplayd
http://www.upload.coo.vn/download.php?file=96afe8851e32e82934cb0dada9dc597a

Hiện giờ qua xem log của exim, thống kê hàng đợi của exim trên console thì từ tối hôm qua đến giờ (cách đây gần 11h) thì hiện tượng spam nobody không còn nữa và hàng đợi email của server chỉ còn khoãng 15 mail hợp lệ .

Cám ơn anh rất nhiều

Đây là header của mail , nhờ anh xem thử

Return-Path: <>
Delivered-To: hosting@system.vn
Received: (qmail 32582 invoked by uid 502); 16 Oct 2008 04:00:10 -0000
Received: from 66.71.22.16 by antispam.system.vn (envelope-from <>, uid 92) with qmail-scanner-1.24-st-qms
(clamdscan: 0.83/724. iscan: v3.1/v6.810-1005/442/76326. spamassassin: 2.64. perlscan: 1.24-st-qms.
Clear:RC:0(66.71.22.16):SA:0(2.8/6.0):.
Processed in 21.163351 secs); 16 Oct 2008 04:00:10 -0000
X-Spam-Status: No, hits=2.8 required=6.0
X-Spam-Level: ++
ABC-Antivirus-Mail-From: via antispam.system.vn
ABC-Antivirus: 1.24-st-qms (Clear:RC:0(66.71.22.16):SA:0(2.8/6.0):. Processed in 21.163351 secs Process 32507)
Received: from unknown (HELO system.vn) (66.71.22.16)
by mail.system.vn with SMTP; 16 Oct 2008 03:59:48 -0000
Received: from mailnull by system.vn with local (Exim 4.69)
id 1KqK1J-0008C5-9c
for nobody@system.vn; Thu, 16 Oct 2008 10:59:29 +0700
X-Failed-Recipients: kmerabet@netscape.net
Auto-Submitted: auto-replied
From: Mail Delivery System <Mailer-Daemon@system.vn>
To: nobody@system.vn
Subject: Mail delivery failed: returning message to sender
Message-Id: <E1KqK1J-0008C5-9c@system.vn>
Date: Thu, 16 Oct 2008 10:59:29 +0700
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - system.vn
X-AntiAbuse: Original Domain - system.vn
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain -
X-Source:
X-Source-Args:
X-Source-Dir:

Mấy ngày nay server của tôi liên tục nhận được log với nội dung

# tail -f /var/log/exim_mainlog

2008-10-16 09:42:00 [20656] 1Kphh3-0000Mm-LN => hosting@system.vn (root@system.vn) <nobody@system.vn> F=<> P=<> R=lookuphost T=remote_smtp S=6863 H=mail.system.vn [66.71.22.16]:25 C="250 ok 1224124928 qp 16523" QT=1d15h37m59s DT=48s
2008-10-16 09:50:12 [22107] cwd=/var/spool/exim 7 args: /usr/sbin/exim -t -oem -oi -f <> -E1KpNy0-0003B8-TJ
2008-10-16 09:48:29 [21767] 1KqIua-0005f5-G5 <= <> R=1KpBmk-0005Bo-Pa U=mailnull P=local S=3088 T="Mail delivery failed: returning message to sender" from <> for nobody@system.vn

Tôi thừ search 1Kphh3-0000Mm-LN để tìm ra người gởi , dùng grep , more để tìm ra 1 account gởi spammer nhưng tôi không tìm ra ai là chủ nhân của nobody@system.vn gởi vào hộp thư hosting@system.vn của tôi .

Bình quân 1 ngày có hơn vài ngàn mail spam được gởi đi, server có dùng WHM (control panel) dùng Centos, email server là Exim, tôi dùng SpamAssassin , RBL để ngăn chặn spam .

Server này có 15 account chạy trên nó, được thuê lại từ 1 nhà cung cấp dịch vụ internet tại Mỹ, địa chỉ IP, domain tôi có đổi tên vì lý do riêng tư . Nhưng tôi không tìm ra account nào "nghi vấn" spam mail .

Khi telnet đến 1 site thì nhận được thông báo

Connection closed by foreign host.

Vậy có thể là do firewall block cổng của telnet .

Làm sao tôi có thể "khóa" thông tin khá nhạy cảm này 4.1.21-standard giống như HVA đã làm . smilie

Tôi telnet đến 1 site sử dụng mysql .

# telnet IP Address 3306
Trying IP Address...
Connected to IP Address.
Escape character is '^]'.
=
4.1.21-standard

Nhìn qua site sử dụng 4.1.21-standard

Thử telnet đến HVA

# telnet hvaonline.net 3306
Trying 219.160.161.58...

15' sau không thấy xuất hiện thông tin .

Vậy cho tôi hỏi HVA sử dụng phương thức gì để "block" telnet trong trường hợp này .

Máy chủ dùng Redhat