Czasem chcemy ukryć nasze wypociny napisane w bash’u.
Najprościej skompilować skrypt i udostępniać jako binarkę 
do dzieła:
wget http://www.datsi.fi.upm.es/~frosal/sources/shc-3.8.7.tgz
tar -xzvf shc-3.8.7.tgz
cd shc-3.8.7
make
make install
a teraz:
shc -f skrypt.sh
w wyniku otrzymamy plik
skrypt.sh.x
powodzonka
Co mam na myśli przedstawię na podstawie domeny e-zabrze.pl.
Wiadomo, w DNS mamy ileś tam wpisów i dla nich vhosty w Apache, wszystko działa.
Ale… chcemy aby dla nieistniejących subdomen serwer zwracał adres IP i kierował na stronę www, która będzie informować że ta właśnie domena jest na sprzedaż. Skoro wolna…to warto sprzedać
Więc na warsztat bierzemy DNS. W strefie e-zabrze.pl dodajemy wpis:
* CNAME e-zabrze.pl.
Od teraz wszelkie zapytania o nieistniejące nazwy zostaną skierowane do hosta e-zabrze.pl
Kolejny krok to Apacze.
Instalujemy moduł:
libapache2-mod-vhost-hash-alias
apt-get install libapache2-mod-vhost-hash-alias
Dodajemy vhosta:
<VirtualHost *:80>
ServerAdmin admin@antynet.pl
VirtualDocumentRoot /home/sites/dynamic/mass
CustomLog /var/log/apache2/dynamic.e-zabrze.pl.log combined
ErrorLog syslog:facility
</VirtualHost>
Restart apache i zapytania będą kierowane do /home/sites/dynamic/mass.
Tam tworzymy index.php o zawartości zbliżonej do:
<?php
$host = $_SERVER['HTTP_HOST'];
?>
Sprzedam domenę <? echo $host; ?>
No i po całej zabawie.
Proste a ile radości
Po skonfigurowaniu koncentratora PPPoE na vlan pojawił się malutki problem.
Otóż stacje z MS działały prawidłowo ale z Ubuntu już nie, pingi działały prawidłowo ale próba otwarcia strony kończyła się niepowodzeniem.
Aby było śmieszniej strony zagraniczne w większości działały, polskie… w mniejszości
Generalnie na pierwszy rzut oka jakaś magia i/lub czeski błąd w testach.
Problemem okazało się zamieszanie z MTU, koncentrator pracuje na 1472, vlan na 1500. Synchronizacja tych wartości
nie przyniosła efektów. Więc tak na 100% gdzie problem to nie wiem, niemniej jednak przypomniałem sobie że kiedyś podobny problem był ze stroną
avon.com.
Wtedy zamiast martwić się MTU starczyło zainteresować się maksymalnym rozmiarem segmentu, czyli MSS.
Manipulacja tego pola także pozwala ustalać maksymalny rozmiar pakietu.
Więc pomijając zamieszanie z MTU vlan, eth, ppp zajmiemy się konfiguracją MSS.
iptables -A FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu
Tym sposobem system samodzielnie wyliczy odpowiednie MSS dla połączenia.
Oczywiście problem z MTU został zażegnany
Różne cuda dzieją się gdy klient zerwie połączenie zamiast je zamknąć.
min. pojawiają się interfejsy ppp z adresami IP, które są ponownie nadane do innego interfejsu.
Tragedii niema, PPPoE sam po czasie ubije taki interfejs. Ale po co nam taki bałagan?
Ponadto można tu pomyśleć nad DoS koncentratora, poniżej drobne rozwiązanie problemu:
del_iface=$(ip address show | grep $5 | awk ‘{print $7}’ | grep -v $PPP_IFACE)
for x in $del_iface
do
ifconfig ${x} down
done
Podobny problem:
“One session per host” w PPPoE pod Linuksem
powodzenia
na serwerze:
iperf -s
na kliencie:
iperf -c IP
Fajna kompilacja, linux z skonfigurowanym snortem oraz gotowymi statystykami ( web).
Pobranie ze strony obrazu ISO jest trudne znaczy musimy mieć czas.
polecam pobrać z mojego serwera
Instalować i testować.
Kilka przydatnych poleceń i informacji:
plik startowy snorta: /usr/lib/inithooks/everyboot.d/88snortstart
aktualizacja snorby:
cd /var/www/snorby
git pull origin master
rake snorby:update
Ostatnio jesteśmy atakowani przez wiadomość e-mail zawierająca w załączniku złośliwy dokument PDF.
Dane wiadomości:
Temat: Your Order No 123456789 | Puremobile Inc. (numer 123456789 może być zmieniony)
Nadawca : PuremobileInc
Załącznik : Order_123456789.pdf (numer 123456789 może być zmieniony)
Wiadomość wytniemy w procmailu na podstawie tematu:
:0:
* ^Subject:.*Puremobile Inc
/tmp/wirus
Podczas instalacji vmware-tools w Debian 6 zobaczymy komunikat:
The path “/usr/bin/gcc”
is not valid path to the gcc binary.
Wszelkie ścieżki zostają określone jako błędne.
Rozwiązaniem jest instalacja:
apt-get install gcc-4.3 linux-headers-`uname -r` -y
powodzenie
Tranzyt w BGP
W sieci o BGP jest niemało. Jednakże opisy są jakie są…. Wie każdy kto szukał. O ile zestawienie samej sesji to średni problem o tyle informacje o tranzycie cudzego AS ( jego prefixów) są powiedziałbym bardzo skromne.
1. Zestawimy najzwyklejszą sesję z klientem. Ustawiamy filtry aby przypadkiem nie wysyłał do nas innych prefixów jak swoje. Oczywiście nie jest to konieczne a w pewnych przypadkach i wygodne jest przyjąć ścieżki od klienta.
2. Nasze filtry do dostawców mają pewnie składnię typu:
ip as-path access-list dostawca-out permit ^$
w ten sposób wysyłamy informacje tylko o naszych prefixach. Oczywiste jest że musimy poinformować naszych dostawców że tranzytujemy też inne prefixy.
3. Informujemy dostawców i inne routery BGP:
a) Dodajemy nowy filtr o składni:
ip as-path access-list dostawca-out permit ^xxxx$
gdzie xxx to AS naszego klienta.
Jeśli zgadzamy się aby klient prependował się, musimy ten filtr odpowiednio zmodyfikować.
b) w RIPE zakładamy rekord as-set:
https://www.db.ripe.net/fcgi-bin/webupdates.pl
składnia rekordu:
as-set: AS-mojasiec
descr: AS-mojasiec
members: moj-as
members: klienta-as
To zadziała w przypadku routerów automatycznie pobierających ścieżki z RIPE. Jednak niezaszkodzi e-mail do naszych dostawców z informacją jaki AS i jakie prefixy będziemy teraz tranzytować.
4. Na koniec pamiętajmy aby nasz iptables przepuszczał ruch od i z nowych prefixów.
Sprawa ważna, ale bardzo często zapominana, do momentu aż ktoś zacznie marudzić że coś chwilami DNS spowalnia.
Powodów może być oczywiście ogrom ale kto pamięta o systematycznym aktualizowaniu root name servers?
Więc dziś na tapetę szybka aktualizacja root serwerów w oprogramowaniu bind9.
ściągamy świeży plik definicji root serwerów i od razu nadpisujemy dotychczasowy stary plik db.root:
wget –user=ftp –password=ftp ftp://ftp.rs.internic.net/domain/db.cache -O /etc/bind/db.root
pozostaje powiadomić bind’a o nowym pliku root.db
rndc reload
Po sprawie
powodzonka
.
Ostatnie komentarze