Archive for the ‘ Security ’ Category

用 Fail2Ban 防範暴力破解 (SSH、vsftp、dovecot、sendmail)

Fail2Ban 可以用來防護 Linux Server 上的 SSH、vsftp、dovecot...等服務免於遭駭客使用暴力密碼入侵。我以前曾寫過即時封鎖想要入侵 SSH 的程式,不過 Fail2Ban 厲害多了,也完全可以取代我寫的程式。

安裝 Fail2Ban

安裝前可以先用下列指令來查看可安裝的版本:

yum info fail2ban

像我的系統 (CentOS 5.x) 查出來有兩個版本: 0.8.14 與 0.6.0,來自不同的套件庫,但預設卻安裝 0.6.0,所以我必須要指定安裝的版本為 0.8.14,以下的說明也是針對 0.8.*

安裝 Fail2Ban:

yum install fail2ban

yum install fail2ban-版本

啟動 Fail2Ban:

service fail2ban start
chkconfig fail2ban on

Read more

增加 ssh 的安全性設定

編輯 /etc/ssh/sshd_config,加入或修改下列參數:

#禁止 root 以 SSH 登入
PermitRootLogin no

#僅允許特定群組登入
AllowGroups group1 group2

#僅允許特定帳號登入
#(注意,AllowUsers 會覆寫 AllowGroups,若你有群組登入的需求,就不能設 AllowUsers)
AllowUsers user1 user2

#禁止使用空白密碼登入
PermitEmptyPasswords no

#限定只能使用 SSH2 協定
Protocol 2

#限定最多可以同時連線的數目
MaxStartups 5

免費的 Windows 防火牆軟體

免費的 Windows 防火牆軟體,有需要時,可以拿來試用看看:

  1. COMODO Personal Firewall (佔記憶體約 23MB, 教學1, 教學2)
    本產品有繁體中文版,安裝好 CFP 之後,先到「安全性」->「任務」->「定義一個新的可信任網路區域」,新增好之後,就可以啟用「網路上的芳鄰」了,此個人防火牆的評價也不錯,又是終身免費,推薦大家使用。
  2. Online Armor Free Edition (教學)
  3. ZoneAlarm (版本比較)
    在安裝好 ZoneAlarm 之後,只要到「Firewall」裡的「Zones」將相關網卡設為「Trusted」之後,就能讓別人從「網路上的芳鄰」存取這一台電腦所分享的資源。ZoneAlarm 本身俱有一些簡單的防毒能力,不過,我們通常都會把它關掉。(5.5.094 版下載 & 中文化)
  4. Kerio Personal Firewall (佔記憶體約 15MB, 版本比較)
    安裝好 Kerio Personal Firewall 之後,必須先到「Network Security」裡的「Trusted area」將相關網卡設為「Trusted」,然後回到「Applications」,將「Microsoft File and Printer Sharing」裡「Trusted」區域的權限全部設為「permit」之後,才能讓別人從「網路上的芳鄰」存取到這一台電腦所分享的資源。
  5. Sygate Personal Firewall
    Sygate Personal Firewall 是一套評價很高的防火牆軟體,不過,我在它的「網路上的芳鄰」相關設定上試了半天,必須經過一些「奇怪」的步驟,才能讓別人在「網路上的芳鄰」存取到這一台電腦所分享的資源,所以我就不推薦了。
  6. Outpost Free
    Outpost 也是一套評價很高的防火牆軟體,不過它的免費版本似乎比較舊了,所以我就沒有多做測試了。
  7. 費爾個人防火牆 中文版
  8. PC Tools Firewall Plus 免費版本

以上免費的防火牆,我比較推薦 COMODO Personal Firewall,另外,ZoneAlarm也不錯啦。

參考網頁

[轉載]利用 google 半秒破 500 網

轉載自: 黑客基地


其實 google 搜尋器變了駭客工具也不是新聞,老手早亦用到,新手的也可來試試。

只要將以下字串作搜尋的話,你都得到很多密碼,當然若要得心應手便需要更多研究及借助其他軟件,但初步先懂得去找。

inurl

「inurl」是駭客重要的搜尋方法,可搜到網址包括的關鍵字,例如輸入「allinurl:login password」作搜尋,便會很易找到有 login 和 password 的網頁。

filetype

「filetype」是駭客專用語法,例如想找 mdb 的資料庫檔案,可用「password filetype:mdb」作搜尋,便會找到密碼文件,進階用法可配合 inurl: 使用,例如 girl filetype:jpg site:com 便可搜到所有 .com 網站,而檔案為 girl.jpg 或網頁內容有 girl 字串的網頁。

Index of /admin

Index of /admin」搜到的結果大多數是容許使用 index browsing 的網站,隨便按下一個連結便看到網站的資料夾和檔案分佈。

Read more

如何即時封鎖想要用「暴力密碼」破解 SSH 的入侵者

本程式無法處理 IPv6 的問題,請改用功能更強大、更完整的 Fail2Ban,請參考本站文章:


粉久之前寫了一支 Log 分析的程式,可以統計、分析前一天系統的 Log,在這一份報表裡面,總是會看到有一些人使用「暴力法」,嘗試以各種帳號、密碼,藉由 SSH 或 FTP 入侵伺服器! 而我只能看著「前一天」的報表,分析他們用過哪些帳號、統計他們嘗試了幾次…實在有點不是滋味
Read more

ShareWatch - 電腦共享資料夾的監控程式

檔案下載

如果您的電腦有透過內部網路分享資源,但一般我們不會知道有誰正透過網路芳鄰來連線到您的電腦、存取共享的資料夾及檔案。

「ShareWatch」是一套共享資料夾的檢測工具,可以查看自己分享了那些資料夾,同時具有中止資料夾共享及中斷用戶連線的功能。

Read more

iptables 防火牆的一些基本用法

  • 列出目前的規則
  • iptables -L -n
  • 刪除 “INPUT” 的第 1 條規則
  • iptables -D INPUT 1
  • 丟棄來自 192.168.1.203 的封包
  • iptables -A INPUT -p all -s 192.168.1.203 -j DROP
  • 禁止 192.168.1.203 的用戶以 SSH 登入(Port:22)
  • iptables -A INPUT -p tcp -s 192.168.1.203 --dport 22 -j DROP
  • 儲存防火牆的設定到 filename
  • iptables-save > filename
  • 從 filename 讀取防火牆的設定
  • iptables-restore < filename

    .htaccess 簡易的網頁帳號認證

    .htaccess 讓你不用寫程式,就可以用最簡單的方式做出「網頁登入」的功能,限制哪些用戶能進到網頁的某一層目錄。

    建立用戶驗證資料

    建立用戶驗證檔

    建立用戶驗證檔,並新增一組帳號及密碼:

    htpasswd -c /path/to/.htusers UserName1

    這裡所產生的 .htusers 是一個文字檔,裡面會有用戶名稱及編碼過的密碼。第一次建立檔案時,必須加 -c 參數。同時,請找一個安全的地方放置 .htusers 這個檔案,所謂的「安全」是指至少不要在公開網頁可以被下載到的路徑,例如放在 public_html 的上一層。

    繼續增加第二組帳號及密碼到驗證檔時,就不用加 -c 參數:

    htpasswd /path/to/.htusers UserName2

    建立群組資料檔

    如果用戶比較多,你可能會想要用群組的方式來做管理。群組資料檔的目的是要將多個用戶設為一個群組,請新增或編輯 /path/to/.htgroups,依需求增加類似如下的設定:

    Group1:UserName1 UserName2

    代表 Group1 包含 UserName1UserName2 這兩個用戶。

    驗證登入

    在欲執行用戶驗證的網頁目錄下,建立一個 .htaccess 檔案,驗證的方式可針對用戶或群組,差別在於 require 這個參數。

    針對用戶:

    AuthName "Restricted Area" # 名稱必須用英文
    AuthType Basic
    AuthUserFile /path/to/.htusers
    require user UserName1 # 僅針對特定用戶,以空白分隔多個用戶

    上述的最後一行是只有 UserName1 允許進入,你也可以改成:

    require valid-user # 針對全部用戶

    表示針對 .htusers 裡的所有用戶。

    針對群組:

    AuthName "Restricted Area" # 名稱必須用英文
    AuthType Basic
    AuthUserFile /path/to/.htusers
    AuthGroupFile /path/to/.htgroups
    require group Group1 # 僅針對特定群組的用戶,以空白分隔多個群組

    表示針對 .htgroups 裡,歸屬於 Group1 下的用戶。

    針對特定檔案:

    若你只想針對特定檔案做保護,那可以與 <Files>~</Files> 一起使用:

    <Files FileName>
         require valid-user
    </Files>

    <Files>~</Files> 一次只能填寫一個檔案,但支援正規表示式。以下是使用正規表示式限制圖檔存取的範例:

    <Files ~ "\.(gif|jpe?g|png)$">
         require valid-user
    </Files>

    或是:

    <FilesMatch "\.(gif|jpe?g|png)$">
         require valid-user
    </FilesMatch>

    設定好之後,當用戶要存取該目錄 (或檔案),就會跳出叫你登入的對話框:


    另外,你也可以在網址中直接輸入你的帳號、密碼,格式:

     http://UserName:Password@www.example.com/directory/

    問題排除

    如果在設定 htaccess 認證方式之後,在進入網頁時,仍然沒有跳出驗證的對話框,則請編輯 /etc/httpd/conf/httpd.conf,搜尋相關的「AllowOverride」設定,改成:

    AllowOverride All

    安全性問題

    雖然用戶儲存在 Server 端的密碼有經過加密,但因為是採用 Basic 方式驗證,當要存取網頁時,用戶輸入的帳號與密碼僅是以 Base64 編碼,包裹在 Headers 裡進行傳輸,有機會被竊聽之後解碼、盜用! 網站必須導入 SSL 才能完全在傳輸的過程中加密。

    參考網頁

    Who Is Connected 1.6.1 - 讓駭客現形

    檔案下載

    你是否覺得電腦的執行速度突然變慢?是否想知道有沒有人在存取你電腦上的資料?是否覺得網路速度越變越慢?是否擔心你的電腦被植入了木馬程式?Who Is Connected 這套軟體就可以幫你解決這些疑問。雖然這套軟體全部是英文界面,但還是畫面簡單,不須太高深的網路知識,很適合一般家用電腦使用者。它的好處是,當你發現有可疑連線入侵時,可以馬上阻斷連線,並列入為禁止連線的黑名單。你也可在斷線時,先發出 Message 詢問對方到底有何用意。
    Read more

    return top