افضل طريقه لحمايه سيرفرك من تجميعي ومجربها تجربه شخصيه

new_man · 20-09-2007, 12:32 AM

1- استخدم الجدار الناري لحمايه السيرفر من الاغراق وايضا محاولات الاختراق المتكرره
ومنها
ABF+bfd+Kiss My Firewall

-----------------------------
2- قم بتحديث الكرنال والسيستم الخاص بسيرفرك وذلك عن طريق الدعم الفني الخاص بسيرفرك DAtacenter قم بفتح بطاقه دعم فني لهم

------------------
3 - متابعه رسائل اللوق والمشاكل بأمر

كود:
tail –f /path/to/error_log

------------
4- احرص اشد الحرص على الباك اب لانه يعتبر الحياه لعملائك وللداتا الخاصه بسيرفرك ونسخها.. لان الباك يعتبر التأمين لك..وقم بمراقبته دائما ولا تنسى ان تستأجر 40 قيقا او على حسب مطلبك من اي مكان اخر غير الداتا سنتر اللي انت فيها لكي تحرص على عدم فقدان بيانات عملائك حتى ولو تسببت بمشكله بينك وبين الداتا سنتر

-----------
5- احرص على عدم اعطاء اي عميل خيارات مفتوحه كالشل SHELL
او السماح لهم بتركيب برامج مضره للسيرفر او اهمال ذلك.. لان في ذلك خطر كبير على باقي العملاء..
----------
6- اقفل منافذ ال php والدوال الخاصه بها
اولا
ادخل للشل root
نفذ امر تحرير

pico /usr/local/lib/php.ini

قم بالبحث عن

safe_mode =

باستخدام Ctrl+W
ستجدها
safe_mode = Off
غير off الى On لتصبح
كذا safe_mode = On
انتهينا من ال safe mode
بنفس الملف نبحث عن

disable_functions =

باستخدام نفس الطريقه السابقه
ستجد انه لايحوي شيئا قم باضافه مايلي بعد =

dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg

وهذه المعرفه بـ الدوال الخطيره
انتهينا
فقط قم بحفظ التغيير بالظغط على Ctrl+X
y
Enter
وبعدها نعمل ريستارت للاباتشي لكي تعمل التغييرات اللتي اجريناها

/etc/init.d/httpd restart

ملحوظه البعض يريد فتح السيف مود لموقع واحد واقفاله عن الجميع اي جعل موقع ما بدون سيف مود اذن اتبع الاتي

عن طريق الشل root
قم بكتابه الامر التالي

كود:
pico /usr/local/apache/conf/httpd.conf
قم بلبحث عن يوزر الموقع اللذي تريد
باستخدام Ctrl+W

مثلا am4host
ستجده هكذا

<VirtualHost ***.***.***.***> ServerAlias www.am4host.com ServerAdmin support@am4host.com ********Root /home/am4host/public_html BytesLog domlogs/arabih.com-bytes_log ServerName www.am4host.com User am4host Group am4host CustomLog domlogs/arabih.com combined ******Alias /cgi-bin/ /home/arabih/public_html/cgi-bin/ </VirtualHost>

نظيف له بعد

********Root /home/arabih/public_html

داله قفل السيف مود

php_admin_flag safe_mode Off

تم الانتهاء ويمكنك فعل ذلك لاكثر من موقع
الان قم بحذظ العمل ب Ctrl+X
وبعدها Y
enter
لكي تعمل الاعدادات الجديده قم بعمل ريستارت للاباتشي

/etc/init.d/httpd restart

-نحمي مجلد الtmp
ادخل الشل root
نفذ هذا الامر

/******s/securetmp

نقوم بحمايه ملفات السستم والتشييك عليها يوميا من التلاعب والاختراق بتركيب برنامج
CHKROOTKIT واظن الاخوان سبقوني هنا وشرحوه تقريبا..

لتنصيبه اتبع الاتي
من الشل
اكتب الاتي لسحب الملف
wget

ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

وبعدها اسحب الملف الثاني

wget p://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5

والمختص بتشفيره

نفذ هذا الامر

md5sum chkrootkit.tar.gz

بعدها نقوم بفتح الظغط عنه

tar xvzf chkrootkit.tar.gz

ونقوم بالدخول الى المجلد بعد فتح الظغط

cd chkrootkit*

نسوي له كومبايل وترجمه

make sense

ننصب البرنامج

./chkrootkit

الان نقوم بتحرير الكونفيق الخاص به لكي يعمل معنا

pico /etc/cron.daily/chkrootkit.sh

الان نقوم باضافه التالي
#!/bin/bash
cd /yourinstallpath/chkrootkit-0.42b/
./chkrootkit | mail -s "Daily chkrootkit from ServerNAME" support@am4host.com
طبعا لاتنسون تغيرون الايميل لايميلك اللي تبي يوصله الرسائل الخاصه بالسيرفر
وتغير اسم السيرفر servername الى اسم سيرفرك مثلا server.arabih.com
نقوم بحفظ التغيير بالظغط على Ctrl+X
بعدها Y
ُEnter
الان نقوم بتغيير التراخيص

chmod 755 /etc/cron.daily/chkrootkit.sh

الان لنقم بفحص البرنامج اذا ماكان يعمل ام لا
نفذ الامر التالي

cd /etc/cron.daily/

ولنقم بتنفيذ التالي وستصلك رساله بعدها عن السيرفر

./chkrootkit.sh

حمايه الروت
انشء يوزر جديد بالسيرفر سمه ماشئت قم باضافته الى AWheel Group طبعا لازم تعطيه صلاحيات Shell
الان نقوم باغلاق الروت وتحويله
من الشل نفذ التالي

pico -w /etc/ssh/sshd_config

سوف تجد التالي
#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::
--------------------------
الداله الثانيه #Protocol 2,1 غيرها لتصبح

Protocol 2

اي لاحظ ان التغغيير جاء من دون داله #
بعدها نسوي حفظ
بلضغط على Ctrl + X
Y
ENter

نسوي ريستارت للشل

etc/rc.d/init.d/sshd restart

ادخل الان بيوزرك اللي سويته مثلا am4host
الباسورد
بعدها حول للروت بأمر
su root

اذا دخل معناته الشغل تمام وتمت بخير ان شاء الله
والاخير متابعه لود السيرفر

عن طريق top

ايضا لاتنسى ان تذهب الى whm
ومنها الى
System Health

ادخل على اول خيار
Background Process Killer
ضع صح على كل الموجود وسو حفظ
الدرس يتبع
اى سؤال او استفسار حاضرين

new_man · 20-09-2007, 12:41 AM

اقتباس:


	كيفيه حمايه سرفرك من المسائله القانونية

لـ اخوي محمد زكي
فى الأونه الاخيره نشط كثير من الspammer الذين يتسخدم سرفرك فى ارسال رسائله وهميه الى اصحاب الحسابات الماليه مثل الpaypal وال ebay وسرقت المال منها بطرق عديده وتعرضت اكثر السرفرات العربيه لهذا الحدث وحال ارسال هذه الرسائل تغلق الداتا سنتر سرفرك على الفور ثم تقول لك ان في اخلال بالاتفاقيه وتختلف الشركات المقدمه للسرفرات منهم من يكتفى بحذف الموقع او اغلاقه ومنهم من يطلب بيانات اكثر ومنهم من يطلب منك دفع 10$ وتحذيرك بألغاء سرفرك لو تكررت

وتفاديه لهذا كله اعمل فلتر على الرسائل الخارجه من سرفرك وريح راسك
اول اعمل الفتلر

pico /etc/exim/exim.filter

اضف داخله

logfile /var/log/exim_mainlog if $received_protocol is "local" and         ($header_from contains "@ebay.com" or         $header_from contains "@paypal.com") then         logwrite "$tod_log $message_id => Outgoing mail with reply address $header_from caught. Email sent to black hole."         seen finish endif

واحفظ الملف
ثم افتح ملف الاعداد الخاص بexim
واضف الفتلر

pico /etc/exim.conf

وابحث عن
system_filter
بتحصل

#!!# message_filter renamed system_filter             system_filter = /etc/antivirus.exim message_body_visible = 5000

خليه كذا
#!

!# message_filter renamed system_filter             system_filter = /etc/antivirus.exim system_filter = /etc/exim/exim.filter. message_body_visible = 5000

-----------------------
شرح تركيب برنامج sim لمتابعة سيرفرك
اول شىء نحمل البرنامج عن طريق هذا الامر

wget http://www.r-fx.org/downloads/sim-current.tar.gz

بعدها

cd sim-2.5-3

ثم نعطى امر التنصيب

./setup -i

قم بالضغط على مفتاح انتر وعندما ترى الكلمة MORE اضغط زرار مسافة ثم enter
ثانيا وعندما ترى الكلمة MORE اضغط زرار مسافة ثم enter

Where is SIM installed ?
[/usr/local/sim]:
هنا بيسالك عل مكان التنصيب اختار انتر
Press Enter
Where should the sim.log file be created ?
[/usr/local/sim/sim.log]:
هنا بيسالك عن مكان اللوج بتاعت البرنامج اضغط انتر
Press Enter
Max size of sim.log before rotated ? (value in KB)
[128]:
Type: 512
غير الرقم من 128 ل 512 وقم بالضغط على مفتاح انتر
Press Enter
The larger the file the more SIM (System Integrity Monitor) logs we can view. This is good for looking back.
Where should alerts be emailed to ? (e.g: root, user@domain)
[root]:
اكتب اميلك ويفضل ان يكون على موقع على سيرفر اخر بحيث لو كان هناك مشكلة فى سيرفركى وقم بالضغط على مفتاحا نتر
Type: youreamil@yourdaomin (One off server would be more secure.)
Press Enter
Disable alert emails after how many events, to avoid email flood ?
(Note: events stats are cleared daily)
[8]:
اضغط انتر
Press Enter
The below are configuration options for Service modules:
press return to continue...
اضغط انتر
Press Enter
Auto-restart services found to be offline ? (true=enable, false=disable)
[true]: اكتب true و اضغط انتر
Press Enter
Enforce laxed service checking ? (true=enable, false=disable)
[true]: اكتب true و اضغط انتر
Press Enter
Disable auto-restart after how many downed service events ?
(Note: events stats are cleared daily)
[10]: اضغط انتر
Press Enter
Enable FTP service monitoring ? (true=enable, false=disable)
[false]: اكتب false و اضغط انتر
Press Enter
Enable HTTP service monitoring ? (true=enable, false=disable)
[false]: اكتب true و اضغط انتر
Type: true
Press Enter
Enable DNS service monitoring ? (true=enable, false=disable)
[false]: لو انت تستخدم لوحة تحكم انسايم اضغط انتر فقط لو لوحة اخرى اكتب true ثم انتؤ
Type: true (if you are running ensim do not type true just press enter)
Press Enter
Enable SSH service monitoring ? (true=enable, false=disable)
[false]: اكتب true ثم اضغط انتر
Type: true
Press Enter
Enable MYSQL service monitoring ? (true=enable, false=disable)
[false]: اكتب true ثم انتؤ
Type: true
Press Enter
Enable SMTP service monitoring ? (true=enable, false=disable)
[false]: اكتب true ثم انتر
Type: true
Press Enter
TCP/IP port that SMTP operates on ?
[25]: اضغط انتر
Press Enter
Enable XINET service monitoring ? (true=enable, false=disable)
[false]: اكتب true ثم انتر
Type: true
Press Enter
TCP/IP port that any XINET service operates on (e.g: pop3, 110) ?
[110]: اضغط انتر
Press Enter
Enable ENSIM service monitoring ? (true=enable, false=disable)
[false]: اضغط انتر
Press Enter
Enable PGSQL service monitoring ? (true=enable, false=disable)
[false]: اضغط انتر
After an unclean HTTP shutdown, semaphore array's may remain allocated
and cause the service to fall into a looping restart cycle. Using this
feature clears semaphore arrays on HTTP restart.
Enable semaphore cleanup ?
[false]: اضغط انتر
Press Enter
This is an implamented feature in the http module, its purpose is to
determine if/when the apache server locks up or otherwise stops
responding.
Enable URL aware monitoring ?
اكتب true ثم اضغط انتر
Type: true
Press Enter
URL path to a local file ? (exclude HTTP://)
Note: This URL should be valid and reside on the local server, otherwise
HTTP will loop restarting
[127.0.0.1/index.html]:
غيرها لأسم موقع مثلا egyhat.com/index.htmlواضغط انتر
Type: site.com/index.html that resides on your local server
Press Enter
HTTP log files can grow large and cause the service to crash
(segfault), this feature will keep the main HTTP logs incheck.
Enable HTTP log monitor ?
[false]:اضغط انتر
Press Enter
MySQL uses a /tmp symlink of its mysql.sock socket file. This
feature verifies that the symlink exists from the main mysql.sock
file, and if not it is recreated.
Enable MySQL Socket correction ?
[false]:اضغط انتر
Press Enter
Enable NETWORK monitoring ? (true=enable, false=disable)
[false]: اكتب true ثم انتر
Type: true
Press Enter
interface to monitor ?
[eth0]: اضغط انتر
Press Enter
Enable LOAD monitor ? (true=enable, false=disable)
[false]: اكتب true ثم اضغط انتر
Type: true
Press Enter
Load level before status condition 'warning' ?
[25]: اكتب 5 واضغط انتر
Type: 5
Press Enter
Load level before status condition 'critical' ?
[45]: هنا ححد الرقم الى بيصل ليه اللود يكون عالى بحيث ينبهك البرنامج مثلا هنختار 10 يمكنك تغيرها حسب رغبتك ونضغط انتر بعدها
Type: 10
Press Enter
Enable a global (wall) message at status condition 'warning' & 'critical' ?
[false]: اضغط انتر
Press Enter
Renice services at status condition 'warning' or 'critical' ?
(3 values - warn, crit, false - false=disabled)
[false]: اضغط انتر
Press Enter
Stop nonessential services at status condition 'warning' or 'critical' ?
(3 values - warn, crit, false - false=disabled)
[false]: اضغط انتر
Press Enter
Reboot system on status condition 'warning' or 'critical' ?
(3 values - warn, crit, false - false=disabled)
[false]: اضغط انتر
Press Enter
Now the SIM (System Integrity Monitor) has been configured we will add a cron. هنا هنضيف البرنامج فى الكرون جوب ليؤدى عمله وانت غير موجود بالسيرفر عن طريق ./setup -c لو ظهر لنا الكلمة Removed SIM cronjob اكتب دى تانى ./setup -c كده لازم يكون ضافه للكرون جوب .
Type: ./setup -c
If it says "Removed SIM cronjob." then you must type it again.
Type: ./setup -c
Now it should say Installed SIM cronjob.

new_man · 20-09-2007, 12:49 AM

اوقف سبامPHP بصيغه nobody
ادخل الرووت بالشل

اوقف عمل الاكزيم

  /etc/init.d/exim stop

ننشىء ملف جديد

pico /usr/sbin/sendmail

نضع المحتوى التالى به ننسخه للملف

#!/usr/local/bin/perl # use strict; use Env; my $date = `date`; chomp $date; open (INFO, ">>/var/log/spam_log") || die "Failed to open file ::$!"; my $uid = $>; my @info = getpwuid($uid); if($REMOTE_ADDR) { print INFO "$date - $REMOTE_ADDR ran $SCRIPT_NAME at $SERVER_NAME n"; } else { print INFO "$date - $PWD - @infon"; } my $mailprog = '/usr/sbin/sendmail.hidden'; foreach (@ARGV) { $arg="$arg" . " $_"; } open (MAIL,"|$mailprog $arg") || die "cannot open $mailprog: $!n"; while (<STDIN> ) { print MAIL; } close (INFO); close (MAIL);

غير تصريح الملف

chmod +x /usr/sbin/sendmail

ننشىء سجل محفوظات جديد لتذهب له الرسائل

touch /var/log/spam_log chmod 0777 /var/log/spam_log

شغل الاكزيم

/etc/init.d/exim start

لمشاهده رسائل المرسله بصيغه نو بودى وليظهر اسم الدومين امامك

tail - f /var/log/spam_log

-----------------------------------------
لمعرفه من مسبب الضغط على سرفرك
للمعلومات حول الاسكربت
http://jeremy.zawodny.com/mysql/mytop/README
طريقه التركيب
نفذ الامر التالي

wget http://jeremy.zawodny.com/mysql/mytop/mytop-1.4.tar.gz

ثم الامر التالي

tar -zxf mytop-1.4.tar.gz

ثم

cd mytop-1.4

ثم

perl Makefile.PL

ثم

make

ثم

make test

ثم

make install

تم التركيب

لتشغيل السكريبت

/usr/bin/mytop

بعدها بتشوف كل قواعد البيانات وانتظر دقيقه وشوف اكبر قاعده بيانات استهلاكاُ

وللخروج من السكريبت اضغط q

بعد ما تشوف قاعده البيانات اتصل بصاحب الحساب وابلغه باسم القاعده وقوله يصلحها

وهناك بعض الهاكات تسبب هذا الضغط خاصه ان كان رواد المنتدى كثير

new_man · 20-09-2007, 12:55 AM

حماية معلومات سيرفر الاباتشي و الـ http
اولا حرر ملف التكوين الخاص بالاباتشي

  pico /etc/httpd/conf/httpd.conf

ابحث عن نص ServerSignature عن طريق الضغط على Ctrl + W

و اجعل القيمة من on ال off

ServerSignature on بدلها حتى تكون ServerSignature off

و اضعط Enter و اجعل المؤشر ياخذ سطر جديد و اكتب هذا النص

ServerTokens ProductOnly

احفظ الملف عن طريق Ctrl + X
و اعمل رستارت عن طريق هذا الامر

/etc/rc.d/init.d/httpd restart

الان و بعد الرستارت حاول دخول ملف ليس بة ملف اندكس و لاحظ الشاشة من الاسفل

اختفت ملعومات الاباتشي التي كانت توجد اسفل الخط

و الخطوة الثانية حاول الدخول على احد الايبيات مثلا 127.0.0.1 للمثال فقط فلن تعمل و يكتب الخطاء ممنوع الدخول 403

و لكن يمكنك كتابة 127.0.0.1/index.php و سوف يعمل لانك حددت ملف البي اتش بي انكس
-------------------------------------------------------
تقفى الأثر ومعرفة كيف تم الإختراق
السلام عليكم ورحمة الله وبركاتة

لنفترض مثلاُ أنه تم إختراق موقعك أو موقع أحد عملائك وأحببت أن تعرف معلومات عن المخترق ومعلومات أيضاً عن طريق ماذا تم إختراقك

بصفة عامة خصوصاً لو كان المخترق عربي واخترق منتدى فقط بدون تغيير الصفحه الرئيسية

تأكد تماماً أن المخترق هو أحد تلك المسميات Script Kidz وتأكد بل وأجزم انه تم اختراقك عن طريق المتصفح سواءً كانت ثغره في إسكربت او عن طريق تحميل إسكربتات متخصصه لعملهم

هذه أساليبهم وحيلهم !! وفي الأجزاء المتبقية سوف أشرح لكم كيفية سد أغلب الأبواب بوجه هؤلاء المسمين بـ Script Kidz

لنفترض أن هناك أسطورة قام بمحاولات إختراق ونجح في الوصول لثغرة في إسكربت ما مثل المنتديات او اسكربتات التحميل

وقام بتحميل أحد الشلات التي لم يسمع بها ولم يحصل عليها إلا عن طريق هذا الموقع

وقام بإختراق المنتدى بطريقة تظهر لك أنه أسطورة تخيل أنه قام مثلاً برفع إسكربت لكي يتصل بقاعدة البيانات انظرو كيف هي الصعوبه في هذا الأمير وقام بقراء ملف الكونفج وهاهو كيفن ميتنك يقوم بقراءة ملف الكونفج

وماذا بعد ذلك .. ؟؟؟!!

قام بتغير تيمبلت وإلصاق كود HTML فيه والجمله المشهور Hacked By

أما أنت ربما لاتملك الكثير من الخبرة لكن هيهات وهيهات

بعد أي عملية إختراق في لمح البصر لاتفكر الا في شئ واحد وهي سجلات جميع من قام بدخول موقعك وكل الروابط التي تمت زيارتها وتنفيذ الأوامر منها

وعادة تكون متواجده في احد هذه الملفات

/usr/local/apache/domlogs

وإذا لم تجدها أنصحك ان تقوم بقرائة ملف httpd.conf

nano /etc/httpd/conf/httpd.conf

والبحث عن طريق Ctrl +W عن CustomLog

وسوف يظهر لك أين يمكن تخزينه

ولو كانت لديك لوحة تحكم Cpanel فالأمر منتهى بكل سهولة عن طريق Raw Access Logs
تحميلها بكل سهوله وتفحص موقعك والبحث عن الإحتمالات المشبوهه وايضاً قرائة الملف سطر سطر إذا أحتجت لذلك فهذه نصيحتي لك لكي تتمكن من إكتشاف العديد من محاولات الإختراق أو كيف تم إختراقك وماهي الثغره وماهي إستثمارها والأهم من ذلك ماهو IP المخترق وفي أي بلد

أما من الناحية العملية فيمكن أن تقوم بعدة محاولات لتقفى الأثر وكشف ماهية الإختراق

كل ذلك يتم عن طريق دخول احد المجلدات إلى فوق واستعراق مافيها خصوصاً لو كان أحد المواقع المستضافة لديك

بإمكانك دخول احد هذه المجلدات وتنفيذ احد هذه الأوامر
امر

grep '_' *

امر

grep 'cmd' *

امر

grep 'UNION' *

امر

grep shell *

امر

grep 'mysql' *

امر

grep /etc *

وما خلافه من إحتمالات المخترقين وإذا احببت أن تحصل على لسته كامله لكل الأوامر أنصحك بتعلم الإختراق والإستكشاف بنفسك فلكي تكون مؤمناً يجب أن تعرف أساليبهم

هذا اذا حاب تسوي فحص لجميع المواقع الموجوده في ملفات اللوج

لكن أنصحك أن تقوم بنسخ ملف اللوج وتحميله في الجهاز وقرائته هذا أفضل بكثيير

new_man · 20-09-2007, 01:07 AM

ترقية logwatch لمراقبة سيرفرك
السلام عليكم ورحمة الله وبركاتة

تحية طيبة اليكم و بعد

اقدم لكم طريقة لترقية logwatch لمتابعه سيرفرك

وظيفة البرنامج :

ارسال تقرير بكل من :

1- من قام بالدخول الى البريد من خلال المتصفح بالنظام الامن
2- من قام بالدخول الى لوحة التحكم للموقع بالنظام الامن
3- من قام بالدخول الى SSH وايضا محاولات الدخول الفاشله
4- من قام بمحاولة الاتصال بالسيرفر من خلال أي بورت غير شرعي وغير متاح
5- من قام بالاتصال بال imap و ال pop3

اولا يجب ان نقوم بحذف الاصدار القديم و الذي يأتي افتراضيا مع السيرفر

افتح الشل و اكتب الامر التالي :

  cd /root

بعدها نقوم بحذف الاصدار القديم بالامر التالي

rpm -e logwatch

نسحب البرنامج بالامر التالي

wget ftp://ftp.kaybee.org/pub/beta/redhat/RPMS/noarch/logwatch-pre7.3-2.noarch.rpm

لتنصيب البرنامج نكتب الامر التالي

rpm -i logwatch-pre7.3-2.noarch.rpm

الان انتهينا من التركيب نقوم الان بالتعديل ملف logwatch.conf لنستقبل البريد عليه مع تحديد مستوي التقرير

pico /usr/share/logwatch/default.conf/logwatch.conf

أضغط ctrl + w للبحث و اكتب

MailTo = root

امسح root و اكتب ايميلك

بنفس الملف اضغط مره أخري ctrl + w و اكتب

Detail = Low

استبدلها بـ Detail = High

لتصلك تقارير افضل

و الان اضغط ctrl + x ثم y ثم انتر

انتهينا من التنصيب و الاعدادات

الحين نشغل البرنامج بـالامر التالي :

perl /usr/share/logwatch/s cripts/logwatch.pl

احذف المسافه بين s c الموجود بكلمه s cripts

و لتجربه البرنامج نفذ الامر التالي

/usr/share/logwatch/s cripts/logwatch.pl --range today

احذف المسافه بين s c الموجود بكلمه s cripts

تم تجربه البرنامج علي 12 سيرفر و الحمد لله يعمل بكفائه
---------------------------------------
منع السبام و مراقبه المجلدات و اداره الفيروول بسهوله تامة عن طريق ال Whm (سكربت رهيب)
السلام عليكم و رحمه الله و بركاته
تحيه طيبه لكل الموجودين فى المنتدى
اليوم راح اضع لكم سكربت هو فعلا سكربت رائع و هائل جداااااااااااا و خصوصا للذين لا يجيدون استخدام ال ssh فى اداره السرفرات و لا يجيدون استخدام اوامر الشل
السكربت عباره عن cpanel addon
اضافه على السى بانل و هو من السكربتات النادره التى تصدرها ال cpanel
مجانيه و متاحه للجميع و هو عباره عن فيروول (مثل ال apf ) و لكن تتحكم فيه عن طريق ال whm و طبعا هكذا اصبحت العمليه اسهل بكثير بالنسبه لكثيرين بدلا من استخدام اوامر الشل
و سنتكلم اولا عن طريقه تنزيله و سنشرح بعضا من مميزاته الرائعه

يمكنكم الحصول على السكربت من الرابط فى اخر الموضوع

طريقه تنزيله على السرفر ::

ثلاث خطوات بسيطه جدا يتم تنفيذها من ال ssh
امر

tar -xzf csf.tgz

ثم امر

cd csf

امر

./install.sh

فك الضغط ثم الدخول للمجلد الذى يحتوى السكربت ثم تشغيل السكربت الخاص بأنزال و تشغيل الاضافه
*ملحوظة هامه جدااا :: اذا كان ال apf موجود و يعمل على سرفرك يجب عليك ايقافه و عدم استخدام السكربت معه لان هذا يحدث conflict اى تعارض بين الاثنين

و لازاله السكربت ::
امر

cd /etc/csf

امر

./ uninstall.sh

فى الحقيقه هذا السكربت يتكون من csf و هى خدمه الفيروول التى تتساوى مع ال (apf) و ايضا lfd و هو خدمه كشف ال brute force attack و هو ما يتساوى مع (bfd)
و لكن يميزهم ال whm interface اى واجهه الاستخدام التى صممت لهم ليتم استخدامهم من ال whm ليكون سهلا التحكم بيهم فقط عن طريق ضغط بعض الازرار فى ال whm

و يمكن ايضا استخدام ال csf عن طريق ال ssh اى ال command line
و للذين يريدون التعرف على ذلك عليهم تنفيذ الامر ::

csf –h

لتظهر قائمه الاوامر للفيروول
و ملف الاعدادات يكون مكانه

/etc/csf/csf.conf

و ايضا يقوم هذا السكربت الرهيب و الرائع جداااااااا بخدمه رائعه و هى محاوله كشف السبام الذى يحدث على السرفر
و هذا عن طريق ال lfd الذى يفحص الايميلات التى يتم ارسالها عن طريق ال exim من السكربتات الموجوده على السرفر و بالاخص طبعا السكربتات التى ترسل ميلات و تكون مملوكه بصلاحيات nobody التى تكون فى الاغلب عباره عن mailer و يقوم السكربت بأرسال ايميل تنبيه لصاحب السرفر يحتوى على اللوجز الخاصه بالexim مع ايضا محاوله تحديد مكان السكربت و اليوزر الذى يرسل الايميلات و اذا تعدى السكربت الذى يرسل الايميلات الlimit اى الحدود الموضوعه داخل اعدادات السكربت فى الساعه سيقوم ال lfd بتحديد مكان السكربت الذى يرسل الايميلات و عمل chmod 000 حتى يمنع مستخدمه من استخدامه مره اخرى

و ننتقل الى ميزه رائعه اخرى من مزايا هذا السكربت الرهيب ::
و هى process tracking
اى مراقبه الوظائف و الخدمات التى تعمل بالسرفر سواء باليوزر او ب Nobody تمام كما انك تنفذ فى الشل امر top و تجلس لتشاهد وظائف السرفر التى تعمل امامك فيقوم السكربت بأرسال تنبيه عن طريق الايميل لصاحب السرفر و يقوم بأرسال ال PID اى رقم الخدمه الغريبه الذى تم العثور عليها و هى تعمل و على صاحب السرفر التحقق من هذه الخدمه و من البورت المفتوح بسببها و محاوله التعامل معها اذا اكنت خدمه غريبه

و يمكنه ايضا مراقبه المجلدات على السرفر للعثور على انواع الملفات التى تحددها انت فى الاعدادات ليتم مسحها بعد رفعها مباشره و هذا للوقايه من السكربتات مثل ال bash ******s التى يمكن ان تكون مؤذيه او من الملفات .pl و هذا ما يسمى ب Directory Watching

و اخيرا طبعا هى ميزه الفيروول الذى يستخدم ال iptables ليجعلك تتحكم فى البورتات فى سرفرك كما تشاء و فى الاتصالات على و مع سرفرك فعن طريقه يمكن ان تعمل ban ل ip معين عن الاتصال على السرفر او تمنع اتصال ليوزر معين من بورت معين و ليكن مثلا 4000
و اشياء اخرى رائعه

و الله يا جماعه فعلا سكربت رائع و رهيب و فرصه طبعا لانه مجانى و مدعم من السى بانل عشان كده اقول عليه فرصه نادره
و لمزيد من المعلومات عن السكربت نرجو قراءه الreadme الخاص بالسكربت

و لرؤيه كل ما تكلمنا عليه فى الخصائص و المميزات بالصور و للحصول على ملف ال readme يمكنكم الضغط هنا لتشاهدو امثله مع الصور
و يمكنكم تنزيل السكربت ايضا من هنا

"ملحوظه : نرجو تكبير الصور حتى تتمكن من رؤيتها جيدا فى المتصفح عن طريق الضغط عليها بعد الظهور"
انشاء الله متجدد بكل جديد
واى سؤال او حاجه غير واضحه ارجو وضع الرد وسيتم الرد عليك ان شاء الله
اخوكم فى الله أمجد

ابونايف · 20-09-2007, 01:42 AM

بارك الله فيك اخوي ولاهنت

سارق عيونك · 20-09-2007, 04:16 AM

جزاك الله خير

vipalarab · 20-09-2007, 05:53 AM

الله يامبدع عليك تسلم فديتك قلبى
للأمااااااااااااااام دائما وبالتوفيق والنجاح

new_man · 20-09-2007, 09:00 PM

اقتباس:

المشاركة الأصلية كتبت بواسطة !! ابونايف !!


	بارك الله فيك اخوي ولاهنت

تسلملي اخوي على المرور

اقتباس:

المشاركة الأصلية كتبت بواسطة سارق عيونك

جزاك الله خير

تسلم يا قلبي

اقتباس:

المشاركة الأصلية كتبت بواسطة vipalarab

الله يامبدع عليك تسلم فديتك قلبى
للأمااااااااااااااام دائما وبالتوفيق والنجاح

الله يخليك اخوي وتسلملي الابداع مرورك على موضوعي المتواضع

egyptionhoster.com · 14-10-2007, 05:45 AM

بجد بجد بجد
الف الف الف الف الف شكــر يا اخــي واحد من الناس
شرح رائع ومتميز جداااااااا
جزاك الله عنه كل خيــر
سلاموا عليكــوا

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

افضل طريقه لحمايه سيرفرك من تجميعي ومجربها تجربه شخصيه

1- استخدم الجدار الناري لحمايه السيرفر من الاغراق وايضا محاولات الاختراق المتكرره ومنها ABF+bfd+Kiss My Firewall ----------------------------- 2- قم بتحديث