1cloud.ru хостинг-провайдер статьи

• How-to: Как строится инфраструктура хостинг-провайдера
• Редизайн сайта хостинг-провайдера: ошибки и решения
• Как облегчить клиентам хостинга создание частных сетей и виртуальных серверов: Опыт проекта 1cloud
• How-to: Как API улучшает инфраструктуру хостинг-провайдера
• How-to: Автоматизация бухгалтерских задач хостинг-провайдера
• Высокая производительность и хостинг-инфраструктура: Опыт проекта 1cloud
• Рука на пульсе: как мы создавали систему отслеживания нагрузки на серверы пользователей
• Управление дисковым пространством сервера на лету: опыт 1cloud
Повышение удобства управления хостингом: предустановка панели управления и дозаказ лицензий на лету

linkssearch

Bookmarks

Жизненный цикл атаки (CPL malware)

Цепочка компрометации пользователя начинается с распространения злоумышленниками файлов вредоносной программы через сообщения электронной почты. Такое сообщение может включать в себя вложение, либо содержать в тексте гиперссылку на файл, расположенный на удаленном сервере. Как правило, сама вредоносная DLL упакована в ZIP-архив (вложение сообщения электронной почты).


Рис. Жизненный цикл атаки с использованием CPL malware.

Zarp инструмент для атаки сетей

NETWORK ATTACK TOOL https://github.com/hatRiot/zarp
Zarp — это инструмент для атаки сетей, заточенный под атаки в локальных сетях. Это не просто набор эксплойтов для конкретных уязвимостей — инструмент использует в своей работе архитектурные недостатки сетей, протоколов и так далее. Программа может работать с не сколькими системами одновременно и все делать параллельно: отравлять трафик, снифать,
дампить важную информацию и просто атаковать напрямую. Различные сниферы включают
автоматический парсинг имен пользователей и паролей из различных протоколов, как HTTP,
так и других. Есть также и грубые атаки, такие как DoS. Инструмент полностью написан на Python и для своей работы еще использует известную библиотеку Scapy. Также для полной функциональности программы может потребоваться наличие следующих инструментов:

airmon-ng suite,
tcpdump, libmproxy, paramiko, nfqueue-bindings.

Программа может работать как в режиме командной строки, так и в интерактивном режиме.
Основные группы возможностей:
• Poisoners;
• DoS Attacks;
• Sniffers;
• Scanners;
• Parameter;
• Services;
• Attacks;
• Sessions.
В текущей версии программы представлено
34 модуля.

PYPHISHER позволяющий проводить фишинговые email-рассылки

PYPHISHER https://github.com/sneakerhax/PyPhisher

PyPhisher — это до безобразия простой Pythonскрипт (67 строчек кода), позволяющий проводить фишинговые email-рассылки. Скрипт имеет commandline-интерфейс и всего несколько параметров, что позволяет его легко использовать и масштабировать.
Данный инструмент был создан для задач фишинговых рассылок при тестах на проник-
новение. Скрипт на вход берет прегенеренный HTML-код (например, полностью скопированная версия письма от магазина или платежной системы) письма, заменяет в нем все ссылки на необходимые и отправляет жертве. Ранее в подобных программах приходилось в основном заменять ссылки вручную.

Параметры запуска:
• -server — имя сервера;
• -port — номер порта;
• -html — текст письма;
• -url_replace — замененная ссылка;
• -subject — тема письма;
• -sender — отправитель письма;
• -sendto — получатель письма.
Пример использования:

PyPhisher.py --server mail.server.com --port 25 --username user --password password --html phish.txt --url_replace phishlink.com --subject Read --sender important@phish.com --sendto target@company.com

WordPress

Исследованием безопасности WordPress занялись не вчера, поэтому существует достаточное количество инструментов, позволяющих автоматизировать рутинные задачи.

Nmap:
• определение версии и темы с помощью скрипта http-wordpress-info
(goo.gl/1qyyQv)
nmap -sV --script http-wordpress-info <ip>
• подбор пароля по словарям
nmap -p80 --script http-wordpress-brute --script-args 'userdb=users.txt,passdb=passwords.txt' example.com

Metasploit:
• модуль для определения версии: auxiliary/scanner/http/wordpress_scanner;
• модуль для определения имени пользователя auxiliary/scanner/http/wordpress_login_enum.

WPScan:
• перечисление установленных плагинов: wpscan --url www.exmple.com --enumerate p;
• перечисление установленных тем: wpscan --url www.exmple.com --enumerate t;
• перечисление установленного timthumbs: wpscan --url www.example.com --enumerate tt;
• определение имени пользователя: wpscan --url www.example.com --enumerate u;
• подбор пароля по словарю для пользователя admin: wpscan --url www.example.com --wordlist wordlist.txt --username admin;
• подбор пароля с использованием связки имя пользователя / пароль
с числом потоков, равным 50: wpscan --url www.example.com --wordlist wordlist.txt --threads 50.

Docker команды

Установка докера:
sudo yum install docker-io

Запуск команд в контейнере:
sudo docker run -t ubuntu:latest /usr/bin/top

Зайти в контейнер и установить нужный софт:
$ sudo docker run -t -i ubuntu:latest /bin/bash
# apt-get update
# apt-get install nginx
# <CTRL+D>

Что, если мы хотим запустить Firefox внутри вир-
туального окружения? Нет ничего проще, открываем
Docker Hub (hub.docker.com) в браузере, нажимаем
Browse & Search и вбиваем firefox. На экран вывалится
список результатов. Смотрим, kennethkl/firefox вро-
де вполне подходит. Клацаем по нему и видим инфу,
как все это дело запустить. Автор говорит нам выпол-
нить такую команду:

$ sudo docker run -d --name firefox -e DISPLAY=$DISPLAY -v /tmp/.X11-unix:/tmp/.X11-unix kennethkl /firefox

На этом же примере, кстати, можно ознакомиться с еще четырьмя полез-
ными опциями команды docker run:

• -d — «демонизирует» контейнер, то есть просто отключает
Docker от STDOUT виртуального окружения и позволяет
ему работать в фоне;
• --name — имя контейнера, которое он получит вместо
идентификатора;
• -e — позволяет «пробросить» в виртуалку переменную
окружения;
• -v — пробрасывает указанный файл или каталог (формат
/файл/на/хост/системе:/файл/в/виртуалке или просто
/файл/на/хост/системе, если пути совпадают).

более простой способ поиска образов Docker, с помощью команды docker search:
$ sudo docker search nginx

Единственный способ запустить Docker
в OS X или Windows — это установить его
в виртуальную машину. Не обязательно
делать это вручную, можно воспользо-
ваться уже готовым решением, например
boot2docker. Это набор скриптов, которые
позволяют быстро развернуть виртуальную
машину с Linux и Docker внутри VirtualBox
и запустить ее с автоматическим открытием
доступа по SSH. Инструкцию по его исполь-
зованию и сам инсталлятор можно найти
на официальном сайте Docker (docs.docker.com/installation).

Juniper SRX: Обновляем версию JunOS

Сегодня я хотел бы рассказать как можно обновить версию JunOS на вашем Juniper SRX. Я буду экспериментировать с SRX240B.

Пост будет полезен начинающим администраторам, матерые гуру не найдут тут ничего интересного.

Заинтересовало? Прошу под кат.


Для начала необходимо скачать свежую версию JunOS. Сделать это можно на официальном сайте или…

Рекомендую посмотреть SHA1 хэш файла, чтобы убедиться в его целостности:

Берем обычную USB флешку, форматируем ее в FAT32 (JunOS понимает только FAT16/FAT32 на USB накопителях) и копируем туда скачанный с сайта образ. На всякий случай проверим его SHA1 хэш:

iMac:~ Cartman$ diskutil list /dev/disk1
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:     FDisk_partition_scheme                        *1.0 GB     disk1
   1:                 DOS_FAT_32 PQI                     1.0 GB     disk1s1
iMac:~ Cartman$ ls -la /Volumes/PQI/
total 302912
drwxrwxrwx@ 1 Cartman  staff       4096 Jul 22 22:02 .
drwxrwxrwt@ 6 root     admin        204 Jul 22 22:01 ..
-rwxrwxrwx  1 Cartman  staff  155083241 Jun  5 02:09 junos-srxsme-12.1X46-D20.5-domestic.tgz
iMac:~ Cartman$ openssl sha1 /Volumes/PQI/junos-srxsme-12.1X46-D20.5-domestic.tgz 
SHA1(/Volumes/PQI/junos-srxsme-12.1X46-D20.5-domestic.tgz)= 98076db582d6e6e4dbd39657aff8756acda263b4

Подключаемся к устройству через консоль или SSH под учетной записью root (допустим мы подключаемся по SSH не под root):

cartman@gw-jsrx240> start shell 
% su -
Password: YOUR_ROOT_PASSWORD
root@gw-jsrx240% whoami
root
root@gw-jsrx240% id
uid=0(root) gid=0(wheel) groups=0(wheel), 5(operator), 10(field), 31(guest), 73(config)
root@gw-jsrx240% 

Посмотрим какие устройства уже созданы:

root@gw-jsrx240% ls /dev/da*
/dev/da0        /dev/da0s1a     /dev/da0s2      /dev/da0s2c     /dev/da0s3c     /dev/da0s3f     /dev/da0s4a     /dev/da0s4e
/dev/da0s1      /dev/da0s1c     /dev/da0s2a     /dev/da0s3      /dev/da0s3e     /dev/da0s4      /dev/da0s4c

Теперь подключим нашу USB флешку в любой свободный порт и посмотрим на список устройств еще раз:

root@gw-jsrx240% ls /dev/da*
/dev/da0        /dev/da0s1c     /dev/da0s2c     /dev/da0s3e     /dev/da0s4a     /dev/da1
/dev/da0s1      /dev/da0s2      /dev/da0s3      /dev/da0s3f     /dev/da0s4c     /dev/da1s1
/dev/da0s1a     /dev/da0s2a     /dev/da0s3c     /dev/da0s4      /dev/da0s4e

Сравнивая вывод двух команд находим, что флешка определилась как /dev/da1, а единственный на ней раздел как/dev/da1s1.

Теперь создадим каталог и смонтируем туда нашу флешку (не под учетной записью root команда mount не отработает):

root@gw-jsrx240% mkdir /var/tmp/usbflash
root@gw-jsrx240% mount -t msdos /dev/da1s1 /var/tmp/usbflash
root@gw-jsrx240% cd /var/tmp/usbflash/
root@gw-jsrx240% ls -l
total 302912
-rwxr-xr-x  1 root  wheel  155083241 Jun  5 06:09 junos-srxsme-12.1X46-D20.5-domestic.tgz

Дело осталось за малым, перейдем в Operational Mode и установим прошивку:

root@gw-jsrx240% cli
cartman@gw-jsrx240> request system software add junos-srxsme-12.1X46-D20.5-domestic.tgz

После ввода этой команды в консоль начнет вываливаться лог установки ОС, после чего SRX перезагрузится.

Проверим, что JunOS обновлен:

cartman@gw-jsrx240> show version 
Hostname: gw-jsrx240
Model: srx240b
JUNOS Software Release [12.1X46-D20.5]

Если вы любите хайку, то можно немножко себя развлечь:

cartman@gw-jsrx240> show version and haiku 
Hostname: gw-jsrx240
Model: srx240b
JUNOS Software Release [12.1X46-D20.5]


        IS-IS sleeps.
        BGP peers are quiet.
        Something must be wrong.

Результаты исследования, оказались не слишком оптимистичны.

Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA

Были добавлены следующие настройки - URL Dynamic Analysis.
URL Dynamic Analysis - позволяет EX анализировать URL-адреса, которые указывают на объекты, такие как ZIP, EXE, PDF,DOC и DOCX файлы. Основываясь на набор внутренних правил безопасности, электронная EX будет скачать объект из ссылочного URL и предавать объект в свой MVX для анализа.(Не NX !) Если объект является вредоносными, то EX может
немедленно заблокировать электронную почту не доходя до конечного потребителя.

Прописываем ip на интерфейс ether2:
no interface ether2 dhcp
interface ether2 duplex auto
interface ether2 ip address 192.168.1.232 /24
interface ether2 mtu 1500
no interface ether2 shutdown
interface ether2 speed auto
no interface ether2 zeroconf

Прописываем тот же ip в веб морду: