lunedì 2 settembre 2013

Kevin Mitnick dettagli sulle moderne minacce nel mondo dell'IT

Uno degli hacker famosi di tutti i tempi parla di sicurezza e su ciò che gli utenti devono fare per difendersi.
Oggi lavora come consulente di sicurezza con il propria azienda, Mitnick Security Consulting.

Nel video Mitnick da alcuni consigli ai consumatori su come difendersi da eventuali minacce. Alle aziende consiglia di formare i propri utenti al fine di evitare infezioni e attacchi di qualunque genere.

"Ho avviato una società di sicurezza, quindi è abbastanza imbarazzante avere il sito aziendale defacciato" dice Mitnick

Guarda il video dell'intervista (eweek):



mercoledì 8 maggio 2013

Come intercettare e bloccare attacchi DDOS - Consigli di sicurezza base

Gestire un server web richiede moltissime conoscenze lato sistemistico. Uno dei tanti compiti per un sistemista più o meno esperto è proteggere il proprio sistema da attacchi di vario genere. In questo articolo illustrerò alcuni tools e comandi utili ad intercettare attacchi DDOS e bloccarli.
Il nostro primo compito è intercettare gli indirizzi ip con il maggior numero di connessioni aperte con il comando:

netstat -ntu | awk '{print $5}' | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | cut -d: -f1 | sort | uniq -c | sort -r

#Esempio di output
    232 95.211.46.111
     14 188.132.217.XXX
     12 61.136.171.XXX
      9 82.0.195.XXX
      5 93.46.153.XXX
      2 89.249.22.XXX
      2 81.19.88.XXX
      2 64.186.126.XXX
      2 151.66.50.XXX
      1 78.12.70.XXX
      1 74.125.209.XXX
      1 62.152.53.XXX
      1 188.127.228.XXX
      1 173.193.197.XXX
      1 128.242.249.XXX


Il comando sopra genera un output con la classifica degli indirizzi ip e il numero di connessioni aperte (in ordine decrescente).
Come possiamo notare nell'esempio, l'ip 95.211.46.111 con 232 connessioni aperte è un possibile attacker.

Il passo successivo è chiudere il numero di connessioni aperte e bloccare quell'indirizzo IP.
Uno strumento utile a chiudere tutte le connessioni aperte da un host è TCPKILL.
Installiamolo (come root):

apt-get install dsniff

Chiudiamo le connessioni dell'attaccante:

tcpkill host 95.211.46.111

Blocchiamo l'ip dell'attaccante con iptables:

iptables -A INPUT -s 95.211.46.111 -j DROP

Questo è un piccolo esempio su come intercettare e bloccare i DDOS. Potrebbe essere interessante automatizzare la procedura sopra con un piccolo script. Buon lavoro.

sabato 27 aprile 2013

Manjaro 0.8.5 - openbox - x86_64 - Installazione

Manjaro è una distribuzione Linux user-friendly basato sul sistema operativo Arch. Il sistema offre tutti i vantaggi del sistema operativo Arch con l'aggiunta di tutti gli elementi che favoriscono la facilità d'uso: installazione, manutenzione, sviluppo, produzione. Disponibile in entrambe le versioni 32 e 64 bit il sito ufficiale:
http://manjaro.org 
  
Repository per il download:
http://sourceforge.net/projects/manjarolinux/files/release/

Sotto è possibile visualizzare l'installazione di Manjaro 0.8.5 openbox  a 64 bit:
 

domenica 21 aprile 2013

Upgrade da Debian 6 Squeeze a Debian 7 Wheezy

Procedura per effettuare l'upgrade da debian 6 Squeeze a Debian 7 Wheeze:

Modificare il file /etc/apt/sources.list in:
deb http://ftp.it.debian.org/debian/ wheezy main
deb-src http://ftp.it.debian.org/debian/ wheezy main

deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main

deb http://ftp.it.debian.org/debian/ squeeze-updates main
deb-src http://ftp.it.debian.org/debian/ squeeze-updates main 

Effettuiamo il salto a Wheeze e riavviamo il sistema
apt-get update
#eseguiamo il dist-upgrade
apt-get dist-upgrade --force-yes
reboot
#gustatevi debian 7

lunedì 15 aprile 2013

Lynis: strumento di analisi della sicurezza su linux

Lynis è uno stumento per il controllo della sicurezza sui sistemi *nix. Lanciando il tool vengono eseguiti tutta una serie di controlli per individuare eventuali falle di sicurezza o configurazioni poco ottimali. Lynis ci fornisce un report dettagliato con gli esiti dei test, elenco dei programmi installati sulla macchina e l'insieme di consigli utili a risolvere le problematiche trovate.

Esempi di test effettuati:
  • metodi di autenticazione disponibili
  • scadenza dei certificati SSL
  • username senza password
  • permessi errati sui file
  • controll del firewall
  • variabili apache
È possibile scaricare gratuitamente Lynis dal sito ufficiale:
http://www.rootkit.nl/projects/lynis.html

#SCARICARE E LANCIARE LYNIS
su root
wget http://www.rootkit.nl/files/lynis-1.3.0.tar.gz
tar xvfvz lynis-1.3.0.tar.gz
cd lynis-*
./lynis --check-all -Q



Sistemi operativi supportati:
  • Arch Linux
  • CentOS
  • Debian
  • Fedora Core 4 and higher
  • FreeBSD
  • Gentoo
  • Knoppix
  • Mac OS X
  • Mandriva 2007
  • OpenBSD 4.x
  • OpenSolaris
  • OpenSuSE
  • PcBSD
  • PCLinuxOS
  • Red Hat, RHEL 5.x
  • Slackware 12.1
  • Solaris 10
  • Ubuntu

martedì 9 aprile 2013

Mysqltuner per ottimizzare MySql

Mysqltuner è uno script Perl utile a diagnosticare possibili problemi di performance riguardanti Mysql.
L'uso dello script è semplicissimo. Basta scaricarlo, lanciarlo e avere una panoramica globale di tutte le problematiche di cui è afflitto il vostro database. Al termine dell'esecuzione mysqltuner ci proporrà alcune modifiche da apportare al file my.cfg

#Scaricate e dare i permessi di esecuzione
wget http://mysqltuner.com/mysqltuner.pl
chmod +x mysqltuner.pl

#Lanciamo lo script
./mysqltuner.pl --user USER --pass PASSWORD --host HOST --port PORT --forcemem 100 --forceswap 100

Nel caso sopra ho lanciato lo script, richiedendo l'analisi di un database remoto. In questo caso ho specificato user, password, host e porta. Nel caso in cui il database si trova direttamente sulla macchina non è necessario specificare l'host.
OUTPUT:

-------- General Statistics --------------------------------------------------
[--] Skipped version check for MySQLTuner script
[!!] Your MySQL version 4.1.11-Debian_etch1-log is EOL software!  Upgrade soon!
[OK] Operating on 32-bit architecture with less than 2GB RAM

-------- Storage Engine Statistics -------------------------------------------
[--] Status: +Archive -BDB -Federated +InnoDB +ISAM -NDBCluster
[--] Data in MyISAM tables: 301M (Tables: 2074)
[--] Data in HEAP tables: 379K (Tables: 9)
[!!] InnoDB is enabled but isn't being used
[!!] ISAM is enabled but isn't being used
[!!] Total fragmented tables: 215

-------- Performance Metrics -------------------------------------------------
[--] Up for: 12d 18h 33m 30s (1B q [1K qps], 185K conn, TX: 3B, RX: 377M)
[--] Reads / Writes: 78% / 22%
[--] Total buffers: 2.6M per thread and 58.0M global
[OK] Maximum possible memory usage: 320.5M (20% of installed RAM)
[OK] Slow queries: 0% (17/1B)
[OK] Highest usage of available connections: 32% (32/100)
[OK] Key buffer size / total MyISAM indexes: 16.0M/72.3M
[OK] Key buffer hit rate: 99.9%
[OK] Query cache efficiency: 99.9%
[!!] Query cache prunes per day: 47549
[OK] Sorts requiring temporary tables: 0%
[!!] Temporary tables created on disk: 28%
[OK] Thread cache hit rate: 99%
[!!] Table cache hit rate: 0%
[OK] Open file limit used: 12%
[OK] Table locks acquired immediately: 99%
[!!] Connections aborted: 20%

-------- Recommendations -----------------------------------------------------
General recommendations:
    Add skip-innodb to MySQL configuration to disable InnoDB
    Add skip-isam to MySQL configuration to disable ISAM
    Run OPTIMIZE TABLE to defragment tables for better performance
    Enable the slow query log to troubleshoot bad queries
    When making adjustments, make tmp_table_size/max_heap_table_size equal
    Reduce your SELECT DISTINCT queries without LIMIT clauses
    Increase table_cache gradually to avoid file descriptor limits
    Your applications are not closing MySQL connections properly
Variables to adjust:
    query_cache_size (> 16M)
    tmp_table_size (> 32M)
    max_heap_table_size (> 16M)
    table_cache (> 64)

Viene mostrato un report diviso per punti e l'elenco dei parametri da andare a modificare sul file my.cfg

lunedì 4 marzo 2013

Introduzione - Alias su linux

Gli alias sono comandi personalizzati in grado di sostituire un comando più lungo o un gruppo di comandi. Ad esempio è possibile associare semplicemente upgrade ai comandi sudo apt-get upgrade && sudo apt-get upgrade in maniera tale da aggiornare la nostra distribuzione debian.

Per visualizzare quali alias sono definiti sul nostro sistema è sufficiente lanciare il comando alias. Ci darà la lista di alias definiti. Un esempio:


alias l='ls -CF'
alias la='ls -A'
alias ll='ls -lF'
alias ls='ls --color=auto'

Come facciamo per aggiungere i nostri alias ? È molto semplice:
vi $HOME/.bashrc

Inseriamo alla fine del file tutti gli alias che vogliamo. La sintassi deve essere
alias alias_nome='COMANDO'

Alcuni esempi di alias interessanti:
#AGGIORNA LA NOSTRA DISTRO DEBIAN
alias update='sudo apt-get update && sudo apt-get upgrade'
#CHIUDE FIREFOX
alias killfx='kill -9 $(pidof firefox)'
#DISABILITA IL TOUCHPAD DEL NOSTRO LAPTOP
alias td='sudo modprobe -r psmouse'

Spazio alle vostre esigenze e fantasia.

domenica 3 marzo 2013

I migliori 6 tool per admin linux

Gli amministratori di sistema sono sempre alla ricerca di nuovi strumenti utili a gestire i loro sistemi e ambienti. Questa lista mostra i migliori strumenti che possono facilitare la vita degli admin.

Webmin

Webmin è un interfaccia web-based per amministratori di sistema. Tramite l'ausilio di un browser moderno è possibile amministrare le proprie macchine. Configurare account, apache, dns, Send Mail, e MYSQL.
Sito ufficiale: http://www.webmin.com/

Tcpdump

Tcpdump utilissimo strumento per analizzare il traffico di rete direttamente dalla shell. Non è il classico programmino bello da vedersi. Fa il lavoro che dice di fare.
Sito ufficiale: http://www.tcpdump.org

Virtual Network Computing

Questo strumento è noto anche come Tight VNC, Ultra VNC e Real VNC. Attualmente il migliore tool  di accesso remoto, facile da configurare e utilizzare.
Sito ufficiale: http://www.tightvnc.com

Gnome Partition Editor

Molto lo conosciamo come gparted. Si tratta di un potente strumento utile a cancellare, modificare o ridimensionare partizioni senza combinare grossi guai. Lo strumento supporta quasi tutti i file system.
Sito ufficiale: http://gparted.sourceforge.net

Deny Host

Questo programma consente di monitorare gli accessi non autorizzati. Si tratta di uno script Python che registra le voci che sono negate.
Sito ufficiale: http://denyhosts.sourceforge.net

Nagios

Nagios è una nota applicazione open source per il monitoraggio di computer e risorse di rete. La sua funzione base è quella di controllare nodi, reti e servizi specificati, avvertendo quando questi non garantiscono il loro servizio o quando ritornano attivi.
Sito ufficiale: http://www.nagios.org
 




sabato 2 febbraio 2013

Linux: Monitorare la banda direttamente via shell

Un piccolo script utile a monitorare la banda in entrata e uscita di un'interfaccia di rete. Lo script si aggiorna ogni secondo stampando a video il consumo di banda (in "kb/s") direttamente sulla shell.
 #!/bin/bash  
 if [ -z "$1" ]; then  
     echo  
     echo usage: $0 network-interface  
     echo  
     echo e.g. $0 eth0  
     echo  
     exit  
 fi  
 IF=$1  
 while true  
 do  
     R1=`cat /sys/class/net/$1/statistics/rx_bytes`  
     T1=`cat /sys/class/net/$1/statistics/tx_bytes`  
     sleep 1  
     R2=`cat /sys/class/net/$1/statistics/rx_bytes`  
     T2=`cat /sys/class/net/$1/statistics/tx_bytes`  
     TBPS=`expr $T2 - $T1`  
     RBPS=`expr $R2 - $R1`  
     TKBPS=`expr $TBPS / 1024`  
     RKBPS=`expr $RBPS / 1024`  
     echo "tx $1: $TKBPS kb/s rx $1: $RKBPS kb/s"  
 done  

Copiamo e salviamo in un file sh e diamo i permessi di esecuzione:
chmod +x status_rete.sh

Esempio d'uso:
 root@misscappalorina:~# ./status_rete.sh eth0  
 tx eth0: 15 kb/s rx eth0: 27 kb/s  
 tx eth0: 23 kb/s rx eth0: 39 kb/s  
 tx eth0: 39 kb/s rx eth0: 94 kb/s  
 tx eth0: 48 kb/s rx eth0: 46 kb/s  
 tx eth0: 63 kb/s rx eth0: 123 kb/s  
 tx eth0: 62 kb/s rx eth0: 38 kb/s  
 tx eth0: 66 kb/s rx eth0: 46 kb/s  
 tx eth0: 23 kb/s rx eth0: 69 kb/s  
 tx eth0: 54 kb/s rx eth0: 69 kb/s  
 tx eth0: 113 kb/s rx eth0: 168 kb/s  
 tx eth0: 185 kb/s rx eth0: 249 kb/s  
 tx eth0: 165 kb/s rx eth0: 266 kb/s  
 tx eth0: 185 kb/s rx eth0: 231 kb/s  
 tx eth0: 211 kb/s rx eth0: 223 kb/s  
 tx eth0: 6 kb/s rx eth0: 15 kb/s  
 tx eth0: 16 kb/s rx eth0: 46 kb/s  
 tx eth0: 27 kb/s rx eth0: 42 kb/s  
 tx eth0: 32 kb/s rx eth0: 16 kb/s  
 tx eth0: 12 kb/s rx eth0: 29 kb/s  
 tx eth0: 8 kb/s rx eth0: 18 kb/s