آموزش دایرکت ادمین، سی پنل، وب سایت پنل

خانه / امنیت

امنیت

نصب ClamAV در Cpanel

How to install ClamAV on a cPanel server

مراحل زیر را پیگیری کنید.

/scripts/ensurerpm gmp gmp-devel bzip2-devel
useradd clamav
groupadd clamav
mkdir /usr/local/share/clamav
chown clamav. /usr/local/share/clamav

هم اکنون آخرین نسخه ClamAV را دانلود و نصب کنید.

ادامه ی مطلب

افزایش امنیت سرورهای لینوکسی به زبان ساده (بخش دوم)

در ادامه بخش اول افزایش امنیت سرور های لینوکسی به موارد دیگری در این زمینه آشنا خواهیم شد.

  • سرویس ها و پکیج های غیرضروری را نصب نکنید. تنها ماژول هایی را نصب کنید که به آن ها نیاز دارید.
  • اتصال SSH از طریق root را محدود نمایید، راهکار مناسب استفاده از ورود دو مرحله ای ۲-Factor می باشد. حتما root login  را در سرویس ssh به حالت disable  قرار دهید. میتوانید از SSH-Key Logins استفاده کنید.
    امن سازی ssh
  • از پورت های پیش فرض استفاده نکنید. برای سرویس هایی مانند ssh پورت پیش فرض ۲۲ را به پورت دیگری تغییر دهید.
  • فایروال سرور را تنظیم نمایید. پورت ها و دسترسی های اضافی را بلاک کنید. تنها پورت های مورد نظر را باز کنید.
    تنظیمات فایروال csf
  • دسترسی ها و پرمیژن ها را بدرستی تنظیم کنید و از دادن دسترسی هایی بیشتر از نیاز واقعی به فایل ها و مسیر ها بپرهیزید.
  • از هر سیستمی و هر جایی به سرور خود متصل نشوید! رمزها را بروی مرورگر یا نرم افزارها ذخیره نکنید.
  • از نرم افزارهای مدیریت و ذخیره پسورد مانند keepass استفاده کنید.
  • در صورتی که سرور شما بصورت نصب و راه اندازی شده به شما تحویل داده شد تمام پسورد های مربوط به سرور مانند root و SQL  را تغییر دهید.

افزایش امنیت سرورهای لینوکسی به زبان ساده (بخش اول)

افزایش امنیت سرورهای لینوکسی 
این روزها همه نگران امنیت سرور هستند اما واقعا با وجود تمام مشکلات، اراده ای برای استفاده از راهکارهای مناسب و یادگیری آن مشاهده نمیشود. در این مقاله سعی داریم نکات کلیدی که گاها بسیار ساده هستند اما در اغلب اوقات به آن ها توجه نمیشود را بررسی کنیم.
+ اتصال، ارتباط و انتقال رمزنگاری شده و امن
این موضوع از اهمیت بالایی برخوردار است اما همچنان نادیده گرفته میشود. هنوز هم اکثر مدیران سرور به علت راحتی کار از اتصال ها و ارتباطات غیر امن استفاده میکنند.
پیشنهادها:
– استفاده از ssh، scp، rsync و SFTP برای انتقال اطلاعات. یا با استفاده از ابزارهای sshfs و  fuse می توانید فایل سیستم را در مکان مورد نظر map کنید.
– استفاده از VPN برای ایجا کانال رمزنگاری شده برای ارتباط ها
– استفاده از SSL برای وب سرور جهت ارتباط امن بین سرور و کلاینت
– تا جای ممکن است FTP، Telnet و RSH استفاده نکنید. با توجه به اینکه اطلاعات در این حالت clear Text هستند امکان sniff کردن اطلاعات وجود دارد.
– بسته ها، پکیچ ها و نرم افزارهای اضافی و بلااستفاده را نصب نکنید.
– سعی کنید سرویس های مختلف را بروی سرورها مجزا با آدرس های متفاوت ایجاد کنید. برای این کار میتوانید از مجازی سازی کمک بگیرید.
– kernel و تمام نرمافزارهای سرور را بروز نگه دارید.
– از اکستنشن های امنیتی سیستم عامل استفاده کنید. Selinux توانایی زیادی در کنترل امنیت سرور دارد اما از جایی که پیکربندی و تنظیمات آن دشوار است اغلب این ویژگی را غیرفعال میکنند! برای استفاده از این ابزارها باید مهارت لازم را داشته باشید.
استفاده از Selinux پیشنهاد میشود. کنترل دسترسی ها و مجوزها در سطوح مختلف را پیاده سازی میکند.

حملات CSRF یا XSRF چیست؟

حملات CSRF یا XSRF، در این حمله کاربر در صفحه مدیریت سایت خود لاگین است یا مهاجم از طریق یک لینک کاربر را مجبور به ورود به مدیریت سایت میکند بدون آنکه کاربر متوجه این موضوع باشد و درنهایت به صفحه مورد نظر دسترسی خواهد یافت. این حمله از طریق کشف آدرس هایی که محتوایی را تایید و ارسال میکنند اتفاق می افتد (مانند صفحات لاگین). کدهای اجرایی میتواند از قالب یک URL source در یک تصویر ذخیره شود بصورتی که کاربر از رخداد و اجرای URL آگاهی پیدا نکند. عموما تزریق از طریق image tag در HTML یا JavaScript انجام می شود در صورتی که در سایت بصورت غیر امن (http) متصل باشیم و یا کوکی ها روی مرورگر ذخیره شده باشند این حمله با احتمال موفقیت بالاتری اجرا خواهد شد.

 

سرویس PayPal یک مرتبه با آسبی پذیری CSRF روبرو شده است. نمونه دیگر این مشکل در Google رخ داد، در حالی که مهاجم میتوانست اطلاعات اکانت Google کاربر را کشف کند و به اکانت قربانی دسترسی یابد.

 

عموما صفحات ثبت نام عمومی که با ارسال و دریافت اطلاعات طراحی شده اند بیشتر هدف این حمله قرار میگیرند و از متدهایی مانند GET یا POST میتواند استفاده کند.

 

راهکار رایج برای مقابله این مشکل ایجاد یک رشته کد (توکن) بصورت تصادفی که هم برای کوکی استفاده میشود و هم در آدرس ایجاد شده بصورت پنهان وجود خواهد خواهد داشت. در هنگام ارسال فرم بررسی می شود آیا CSRFToken در فرم همان CSRFToken ذخیره شده در کوکی است یا خیر و در صورت یکسان بودن اجازه اجرا و ارسال اطلاعات و یا لاگین را خواهد داد.

 

راهکارها:

ادامه ی مطلب

مکانیزم HSTS چیست؟

​مکانزیم HSTS چیست و چگونه کار میکند.
HTTP Strict Transport Security (HSTS)  مکانیزم انتقال اطلاعات با امنیت بالا در سطح سیاست های وب web policy است که به حفظ اطلاعات منتقل شده در دنیای وب در برابر حملات شنود و جمع آوری اطلاعات و ربودن کوکی ها cookie hijacking کمک میکند.
این پروتکل اجازه میدهد تا وب سرورها از طریق شناسایی مرورگرها ( یا سایر agent های کاربر) تنها اجازه تبادل اطلاعات از طریق HTTPS  داشته باشند و امکان ارتباط HTTP وجود نخواهد داشت.  در حقیقت کاربران ملزم به استفاده از پروتکل HTTPS خواهند بود.

هنگامی که HSTS فعال میشود دو موضوع اتفاق می افتد:
– همیشه از https استفاده خواهد شد حتی اگر آدرس را بصورت http وارد کنید.
– حدف قابلیت انتخاب کاربر برای ورود به سایت هایی که گواهی SSL invalid دارند.

مهمترین آسیب پذیری که SSL-stripping man-in-the-middle نام دارد با استفاده از hsts قابل جلوگیری خواهد بود.  این حمله در سال ۲۰۰۹ اتفاق افتاد (حتی برای TLS) که توسط آن درخواست اتصال https به اتصال http تبدیل میشد. استفاده این مکانیزم امکان قرار گیری هکرها در میان ارتباط شما با سایت مقصد و مشاهده اطلاعات و داده های رد و بدل شده را نخواهد داد.
​این مکانیزم در حال حاضر توسط وب سایت های PayPal، Blogspot و Etsy مورد استفاده قرار گرفته است. همچنین فرایند مذکور در مرورگرهای کروم، فایرفاکس ۴ و اپرای ۱۲ مورد استفاده قرار گرفته است. با این وجود هنوز IE و اپل سفری به این رویه روی نیاورده اند.​

باج افزار چیست و چگونه کار میکند

Ransomware یک نمونه پیچیده و پیشرفته از نرم افزارهای مخرب است که به فایل های سیستم قربانی دسترسی پیدا میکند.
دو نوع  ransomware وجود دارد:
 
— Encrypting ransomware
شامل الگوریتم های رمزنگاری پیشرفته، این طراحی برای مسدودکردن دسترسی فایل های سیستم و تقاضای پرداخت وجه (Bitcoin) از قربانی برای بازگشایی محتوای رمزنگاری شده می باشد مانند CryptoLocker, Locky, CrytpoWall
 
— Locker ransomware
سیستم عامل قربانی را قفل میکند بصورتی که دسترسی به دسکتاپ یا هر برنامه ای دیگری را غیر ممکن می سازد، فایل ها در این نوع رمزنگاری نمیشوند اما حمله کنندگان برای باز کردن دسترسی ها درخواست وجه (Bitcoin) میکنند. مانند police-themed ransomware یا Winlocker
 
نوع دیگری از باج افزارها مربوط به Master Boot Record (MBR) ها می شود به این صورت که امکان بوت شدن بصورت معمول را نمیدهد و یک پیغام بصورت prompt به کاربر نمایش داده میشود. مانند Satana و Petya ransomwar

ادامه ی مطلب

دستورات پرکاربرد CXS scanner

CXS ConfigServer eXploit Scanner commands

در این پست با برخی از دستورات command های پرکاربرد اسنکر CXS آشنا می شویم.

اسکن یک یوزر خاص :
cxs --user USERNAME
اسکن تمام یوزرها:
cxs --allusers
اسکن یک فایل:
cxs /path of the file
cxs /home/USERNAME/public_html/xmlrpc.php
اسکن در حالت کنترل load سرور
cxs -T [num]
اسکن در background
cxs -B
بروز رسانی نسخه CXS
cxs -U
ارسال گزارش فایل مخرب جدید به دیتابیس cxs
cxs --wttw​ [filename]
اسکن کردن تنها از public_html و دایرکتوری ها داخلی آن
cxs --www [file]
پیوست کردن log نتیجه اسکن به یک فایل خاص
cxs --logfile [file]
حذف فایل های قرنطینه شده
cxs -D

دلایل هک شدن سایت و جلوگیری از آن

– بررسی از طریق scan بوسیاه آنتی شل CXS و ارائه گزارش اسکن
– میتوانید از طریق لینک زیر وضعیت سایت خود را بررسی نمایید.

https://sucuri.net/scanner
https://freescan.qualys.com

– بررسی لاگ های ورود به کنترل پنل و FTP​
​مشکلات اصلی:
قالب ها :
استفاده از قالب  های رایگان و بدون گسترش دهنده.  عموما احتمال اینکه محتوای مخرب در قالب های رایگانی  که در سایت های  متفرقه ارائه می شود بسیار زیاد است، بنابراین توصیه ما این است که هرگز از قالب های آماده استفاده نکنید.
پلاگین ها:
مکانی بسیار مناسبی برای مخفی کردن کد های آلود است، به سه علت :
– کاربران به پلاگین ها دقت و توجه نمیکنند​ و تنها آن را نصب میکنند.
– کاربران علاقه ای به بروز رسانی پلاگین ها ندارد.
– برخی پلاگین های از کدهای ضعیف و دارای احتمال آسیب پذیری استفاده میکنند.
پوشه آپلود:
به عنوان یک مدیر وب سایت هرگز پوشه آپلود را بررسی نمیکند! تنها فایل های خود را آپلود میکنید. آپلود کردن یک backdoor در این پوشه بسیار راحت است زیرا این فایل در میان هزاران فایل دیگر پنهان میشود. از طرفی دسترسی به این پوشه در حالت write قرار دارد و این نفوذ را برای هکر ها آسان تر میکند.
راهکارها:
– از پلاگین های malware scanner  مانند Sucuri (نسخه پرداخت شده بسیار کارامد است)
– حذف کردن قالب های و پلاگین های غیرفعال
– بررسی فایل config و محدود کردن دسترسی به این فایل
–  استفاده از پسوردهای قدرتمند و غیر ساده
– استفاده از password protect برای صفحه ورود به بخش مدیریت
– استفاده از پلاگین های محدود کننده لاگین Login Attempts
– غیر فعال کردن Editor قالب ها و پلاگین ها در داخل مدیریت
– محدود کردن دسترسی ها به پوشه ها و فایل های پر اهمیت
– بروز کردن هسته CMS و پلاگین ها
– حذف دیتابیس های اضافه و بدون کاربرد

فعال سازی ایمیل هشدار برای port scan و login faild در CSF

طیف زیادی از تنظیمات در CSF در فایل های پیکیربندی وجود دارد. بحث در مورد راه اندازی ایمیل هشدار برای ورود به سیستم ناموفق غیر مجاز و اسکن پورت است. ایمیل های از پیش تعریف شده برای موارد مختلف در مسیر زیر وجود دارد.

/usr/local/csf/tpl/

برای فعال کردن هشدار Login Failur از طریق ایمیل باید در فایل csf.conf مقدار زیر را تنظیم کنید.

LF_EMAIL_ALERT = 1

برای فعال کردن هشدار Port Scanning از طریق ایمیل باید در فایل csf.conf مقدار زیر را تنظیم کنید.

PS_EMAIL_ALERT = 1

تغییر نام پوشه wp-admin

با استفاده از پلاگین HC Custom WP-Admin URL این تغییر امکان پذیر می باشد. ابتدا باید به admin وردپرس خود لاگین نمایید.

در قسمت plugin باید HC Custom WP-Admin را جستجو نمایید، و این پلاگین را نصب نمایید و آن را فعال نمایید.

ادامه ی مطلب

12