حصرياً شرح اعداد السيرفرات بالتفصيل الممل وإعداد اقوى حماية للسيرفر

[الزعيم]

بسم الله الرحمن الراحيم

• سوف اقدم لكم في هذه الدورة خلاصة ما تعلمته من الانترنت في مجال السيرفرات ارجو ان تنال هذه الدورة اعجابكم واعجاب عقولكم

ساطلق عل هذه الدورة :

Complete Servers Solutions


سوف تشمل الدورة التالي :
• اعداد السيرفر عند استلامه
• حماية السيرفر من الالف للياء


سوف تكون هذه الدورة خاصة فقط بسيرفرات Linux ولوحة التحكم CPenel

طبعا الدورة هذه اخذت بعض المعلومات من دكتور وهب ربنا يحفظة وبوعمر وبعض المواقع الأجنبية والبحث الدقيق في هذا الموضوع
وايضا مجهود عملي لكي ابسط لكم الدورة هذه واقدمها لكم

هذه الدورة مقدمة من شركة هوست تونيد لخدمات الويب المتكاملة

بسم الله بدانا :

عند تسلمك السيرفر لاول مرة سوف تقوم بالدخول ال WHM ونبدا بالاعداد سوف ندخل مستخدمين اي بي السيرفر

127.0.0.1:2087
او
127.0.0.1:2086

مع تغير الـ 127.0.1.1 الى اي بي السيرفر

سوف تضهر لك هذه : في جهة اليسار اضغط كما هو مبين


في الجهة اليمن سوف تظهر كلام طويل هو الاتفاقية لشركة CPANEL اضغط هذا الزر بالاسفل :


ونكمل في هذه الخطوة نقوم :



عند خطوة DNS لا تنس الضغط على الزرين المحديددن والتاكد من DNS Zone لهما

قم بحفظ ما قمت به من تعديلات :


ثم في الجهة اليسرى اضغط :


سوف تفتح لك في الهة اليمنى كلام طويل عريض انتظر الى ان ينتهي وترى كلمة done في اسفل الاكسبلوورر

ثم قم بالضغط



يجب ان ترى هذه النتيجة :

رمز PHP:

Starting named: [ OK ]
Restarting Nameserver
Starting named: [ OK ]
Restarting chkservd
Stopping chkservd: [ OK ]
Starting chkservd: [ OK ]

تجاهل هذه الخطوة Resolv

الان قم بوضع باس الروت لـ MySql يجب ان تكون صعبة ويمكنها وضعها عشوائيا بدون ان تحفظها فانت ما رح تحتاجها



ثم اضغط :



بعدها اذهب الى :

Main >> Networking Setup >> Hostname

تاكد من hostname ثم اضغط change

ثم اضغط :


سوف يضهر لك التالي :

رمز PHP:

Found your hostname to be: server.host2need.com
Found your short hostname to be: host2need
Found your domain name to be: server.host2need.com
Found your main ip to be: 123.456.78.90
If this looks correct,

ثم اضغط الزر Add The entry

تم الانتهاء من اعداد WHM الان قم باغلاق WHM واذهب الى SSH

الآن نروح نفتح شاشة الـ SSH

يجب عليك تحميل برنامج putty

اضغط هنا لتحميل البرنامج PUTTY

وهذا شرح طريقة الدخول لمن لا يعرف الطريقة الدخول SSH



اول ما راح تكتب الأي بي وتسوي OPEN راح تظهر لك شاشة سوداء
يطلب منك اليوزر نيم والباسورد


طريقة ألصاق الكتابة في الـ SSH تضغط بالزر الأيمن للمواس راح تلقى الكلام الي نسخته تم كتابته في الـ SSH

عند فتح ملف وترغب بالبحث عن كلمة معينة اكتب الأختصار الكيبورد Ctrl+w
لأغلاق الملف بعد التعديل عليه اكتب الأمر Ctrl+x راح يظهر لك رسالة اختار بالكيبورد حرف Y واذا كنت لا ترغب بحفظ التعديلات اختر N

اتمنى من الأخوان حذف الردود لأن راح انزلها على شكل ردود لكي ما يحصل لخبطة في الموضوع :thumbup:

[الزعيم]

بعد الأنتهاء من الخطوة الأولى نجي للخطوة التالية اعداد الـ dns وضبطها والتإكد منها

نروح ندخل من الشيل :
أولي الأعدادات سوف نقوم بالاعداد عن طريق الشل :

نكتب هذا الامر :

كود PHP:

pico /etc/wwwacct.conf 


راح يظهر الملف بهذا الشكل :

كود PHP:

ADDR 123.456.78.90
CONTACTEMAIL host2need@gmail.com
CONTACTPAGER
DEFMOD x3
ETHDEV
FTPTYPE proftpd
HOMEDIR /home
HOMEMATCH home
HOST server.host2need.com
LOGSTYLE combined
MINUID
NS ns1.host2need.com
NS2 ns2.host2need.com
NS3 ns3.host2need.com
NS4 ns4.host2need.com
NSTTL 86400
******ALIAS n 


TTL 14400

في السطر الاول ADDR قم بتغيير الاي بي الي الاي بي الاساسي لسيرفرك .

في السطر الثاني CONTACTEMAIL قم بتغيير الايميل الي بريدك لكي يصلك أي اجراءات يتم تنفيذها علي السيرفر .

في السطر الرابع هنا DEFMOD x3 هذي الشكل الافتراضي للسي بانل عند انشاء اي موقع يمكنك تغيير x3 حسب الثيمات الموجوده لديك الي من لديهم RVSKIN يمكنهم استبدال x3 بـ rvblu .

هنا HOST تقوم بتغيير إسم السيرفر الي إسم سيرفرك مثال عندنا server.host2need.com او تكتب host.host2need.com مع إستبدال host2need.com الي إسم موقعك .

تعديل DNS :

كود PHP:

NS ns1.host2need.com
NS2 ns2.host2need.com
NS3 ns3.host2need.com
NS4 ns4.host2need.com 


يمكنك عمل 2 فقط بدلا من 4 و الأمر راجع لك سواء ns , dns .

هنا ******ALIAS n سوف تجدها Y قم بتغييرها الي n .

بعد الانتهاء من التعديلات قم بالضغط علي Ctrl+x ثم y ثم enter هكذا إنتهينا من اعداد الملف الاول من إعداد DNS .



الان تابع الخطوات ونجي نضبط اعدادات الـ dns في السيرفر

كود PHP:

pico /etc/nameserverips 


ضع فيه التالي :

كود PHP:

123.456.78.90=ns1.host2need.com 
123.456.78.91=ns2.host2need.com 
123.456.78.92=0 
123.456.78.93=0 


وقم بوضع اي ايبي تابع لسيرفر وضع امام الايبيهات الغير مستخدمة 0
قم بحفظ الملف Ctrl+x

كود PHP:

service named restart 
service chkservd restart 
service cpanel restart 


بعدها

كود PHP:

pico /etc/resolv.conf 


خلي المحتوى يصير زي كذا :

كود PHP:

domain host2need.com
search host2need.com
server.host2need.com 127.0.0.1
ns1.host2need.com 123.456.78.90
ns2.host2need.com 123.456.78.91
ns3.host2need.com 123.456.78.92
ns4.host2need.com 123.456.78.93
# Private Network
rs1.service.softlayer.com  10.0.80.11
rs2.service.softlayer.com  10.0.80.12 


لاحظ اننا اضفنا في الأخير السطر التالي :

كود PHP:

rs1.service.softlayer.com  10.0.80.11
rs2.service.softlayer.com  10.0.80.12 


ملاحظة :
Private Network :
host ضع هنا Private IP ان كان متوفرا
هذا الاعداد خاص بعملاء شركة Softlayer ينبغي عليك سؤال شركتك لتحصل على بيانات Resolv

كود PHP:

rs1.service.softlayer.com  10.0.80.11  
rs2.service.softlayer.com  10.0.80.12 


مثال لـداتا سنتر LayeredTech
https://support.layeredtech.com/home...&mod_id=2&id=5

اذا كان في اي بي موجود داخل الملف /etc/resolv.conf
لا تحذفة وضع في البداية كما ذكرت لكم بالشرح مع حذف
rs1.service.softlayer.com 10.0.80.11
rs2.service.softlayer.com 10.0.80.12
وتضع الي كان موجود في الملف /etc/resolv.conf

بعدها نسوي حفظ Ctrl+x

كود PHP:

service named restart 
service chkservd restart 
service cpanel restart 


بعدها نروح

كود PHP:

pico /etc/named.conf 


نقوم بوضع تحت هذا السطر التالي :

كود PHP:

include "/etc/rndc.key"; 


كود PHP:

acl "trusted" {
123.456.78.90;123.456.78.91;123.456.78.92;123.456.78.93;127.0.0.1;
}; 


في منطقة Options ضع :

كود PHP:

        allow-recursion { trusted; };
        allow-notify { trusted; };
        allow-transfer { trusted; }; 


ليصبح شكله كتالي :


اذا كان لديك ايبيهات اخرى لا تنسى وضعها
ثم احفظ الملف Ctrl+x وقم بالتالي :

كود PHP:

service named restart 
service chkservd restart 
service cpanel restart 


نعود لـ WHM :

اذهب الى :
Main >> DNS Functions >> Edit Zone Templates

قم بالتعديل على كل القوالب الثلاثة : simple . standard . standardvirtualftp

سوف نقوم بالتعديل على :

كود PHP:

86400    ; refresh, seconds 
7200    ; retry, seconds 
3600000    ; expire, seconds 


86400 تصبح : 7200
3600000 تصبح : 2419200

ثم احفظ الملفات وعد للشل ونفذ هذه الاوامر

كود PHP:

service named restart 
service chkservd restart 
service cpanel restart 


[الزعيم]

بعد ذلك نقوم بتحديث برامج السيرفر من خلال SSH كتالي


تحديث لوحة التحكم CPANEL

كود PHP:

/scripts/upcp --force 


ترقية الآكزايم exim

كود PHP:

/scripts/exim4 --force 


ترقية قواعد البيانات MYSQL

كود PHP:

/scripts/mysqlup --force 


ترقية الأف تي بي FTP

كود PHP:

/scripts/ftpup --force 


ترقية Syncup Cpanel RPM

كود PHP:

/scripts/sysup 


امر اصلاح البريد

كود PHP:

/scripts/mailperm 


امر اصلاح المساحات وبعض المشاكل

كود PHP:

/scripts/fixquotas 


كود PHP:

/scripts/fixcommonproblems 


كود PHP:

/scripts/fixeverything 


كود PHP:

/scripts/fixndc 


كود PHP:

/scripts/fixvaliases 


ترقية الأباتشي + PHP
شرح مفصل لترقية الأباتشي و تركيب البرامج الهامة
نكتب الأمر التالي :

كود PHP:

/scripts/easyapache 


طبعا ينصح بتركيب اخر اصدار من الـ php



بعد ذلك نقوم بالضغط على بExhaustive Options List ونقوم تفعيل هذه البرامج لأنها هامة جدا للسكربت لكي تعمل

تإكد بوجود علامة X على هذه البرامج الهامة للسيرفر

CURL
CurlSSL
CURLWRAPPERS
FTP
GD
Iconv
Imap
MM
Magic Quotes
Mbregex
Mbstring
Mcrypt
Mhash
Mysql
Mysql of the system
Openssl
POSIX
Path Info Check
Pear
Sockets
TTF (FreeType)
XSL
Zend Multibyte
Zip
Zlib


واخير نختار SAVE AND BULED
سوف ياخذ وقت طويل تقريبا 10 دقائق الى 20 دقيقة تقريباً

بعد تحديث البرامج نقوم بإعادة ريستارت لها :

كود PHP:

# /scripts/restartsrv httpd 

# /etc/rc.d/init.d/cpanel restart 

# /scripts/restartsrv mysql 

# /scripts/restartsrv named 

# /scripts/restartsrv exim 

# service chkservd restart

# service xinetd restart

# /scripts/restartsrv_pureftpd 


بعد عمل الريستارت للخدمات التالية نقوم بتفعيل SUPHP

Main >> Service Configuration >> Configure PHP and SuExec

نضع الأعداد كما في الصورة



تحديث OpenSSH :

كود PHP:

cd /usr/src 


كود PHP:

wget http://mirror.mcs.anl.gov/openssh/portable/openssh-5.1p1.tar.gz
tar -zxf openssh* 
cd openssh* 


كود PHP:

./configure --prefix=/usr --sysconfdir=/etc/ssh  --without-zlib-version-check 


كود PHP:

make 
make test 
make install 


للتإكد من انه قد تم تحديثه الى الأصدارة الأخيرة نكتب الأمر التالي :

كود PHP:

ssh -v 


راح يظهر لك :

كود PHP:

OpenSSH_5.0p1, OpenSSL 0.9.8b 04 May 2006 


تحديث bind9 :
لمعرفة الأصدار المتوفره حاليا بالسيرفر اكتب الأمر التالي :

كود PHP:

named -v 


راح يظهر لك الأصدارة اذا حاب تعرف ان فيها ثغرة او لا
راح اختصر الموضوع الأصدارات الخالية من الأصابة حتى الأن

9.5.1b1
9.5.0-P2-W1
9.5.0-P2
9.5.0-P1
9.4.3b2
9.3.5-P2-W1
9.3.5-P2
9.3.5-P1

هنالك ثغرة في برنامج Bind9 لذلك اخترت لكم الأصدارة الجديدة والخالية من الثغرات حتى تاريخ 11/09/2008
طبعا معظم الأصدارات مصابة بالثغرات لذلك انصح بتركيب الأصدار التي سوف اقوم بشرحها لأنها خالية من الثغرات

كود PHP:

cd /usr/src
wget http://ftp.isc.org/isc/bind9/9.5.0-P2/bind-9.5.0-P2.tar.gz
tar -zxf bind*
cd bind*
./configure
make
make test
make install 


يـــتبع الشرح

[الزعيم]

بعض الأشياء المتعلقة بالحماية السيرفرات من تغير تصريح ملفات واغلاق بعض الخدمات الغير لازمة للسيرفر :


اعلاق الخدمات الغير ضرورية :

كود PHP:

service cups-config-daemon stop 
chkconfig cups-config-daemon off 
service iiim stop 
chkconfig iiim off 
service mDNSResponder stop 
chkconfig mDNSResponder off 
service nifd stop 
chkconfig nifd off 
service rpcidmapd stop 
chkconfig rpcidmapd off 
service bluetooth stop 
chkconfig bluetooth off 
service anacron stop 
chkconfig anacron off 
service gpm stop 
chkconfig gpm off 
service saslauthd stop 
chkconfig saslauthd off 
service avahi-daemon stop 
chkconfig avahi-daemon off 
service avahi-dnsconfd stop 
chkconfig avahi-dnsconfd off 
service hidd stop 
service cups stop 
chkconfig cups off 
service xfs stop 
chkconfig xfs off 
service atd stop 
chkconfig atd off 
service nfslock stop 
chkconfig nfslock off 
service canna stop 
chkconfig canna off 
service FreeWnn stop 
chkconfig FreeWnn off 
chkconfig hidd off 
service pcscd stop 
chkconfig pcscd off 
service sbadm stop 
chkconfig sbadm off 
service webmin stop 
chkconfig webmin off 


حماية ملفات النظام :

كود PHP:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies 


كود PHP:

chmod 750 /usr/bin/rcp 
chmod 750 /usr/bin/wget 
chmod 750 /usr/bin/lynx 
chmod 750 /usr/bin/links 
chmod 750 /usr/bin/scp 


كود PHP:

chmod 000 /etc/httpd/proxy/ 
chmod 000 /var/spool/samba/  
chmod 000 /var/mail/vbox/ 


تركيب LES لحماية ملفات النظام :

كود PHP:

cd /usr/src  
wget http://www.r-fx.ca/downloads/les-current.tar.gz 
tar -zxvf les-current.tar.gz 
cd les* 
sh install.sh 
/usr/local/sbin/les -ea 1 


اغلاق المترجمات

كود PHP:

chmod 000 /usr/bin/perlcc  
chmod 000 /usr/bin/byacc  
chmod 000 /usr/bin/yacc  
chmod 000 /usr/bin/bcc  
chmod 000 /usr/bin/cc  
chmod 000 /usr/bin/gcc  
chmod 000 /usr/bin/i386*cc 


كود PHP:

/scripts/compilers off 


حمايه أوامر الشل من خلال المجلد bin

أفتح الشل و قم بتنفيذ الأوامر التاليه :

كود PHP:

cd /bin 


كود PHP:

chmod 700 basename
chmod 700 bash
chmod 700 cat
chmod 700 chmod
chmod 700 domainname
chmod 700 more
chmod 700 netstat
chmod 700 passwd
chmod 700 sh
chmod 700 su
chmod 700 touch
chmod 700 kill
chmod 700 ls
chmod 700 vi 


بعد ذلك نقوم بتعزيز الحماية ووضع الصلاحيات البيرل في السيرفر للروت
اكتب الأمر التالي :

كود PHP:

chmod 700 /usr/bin/perl 


كود PHP:

chown root:root /usr/bin/perl 


حماية tmp :

كود PHP:

/scripts/securetmp 


ثم افتح

كود PHP:

pico /etc/fstab 


امام كلمة defaults ضع ( noexec,nosuid ) ليصبح السطر هكذا :

كود PHP:

LABEL=/tmp  /tmp  ext3  defaults,noexec,nosuid 
/tmp  /var/tmp  ext3    defaults,noexec,nosuid,bind,noauto 
none  /dev/shm tmpfs   defaults,noexec,nosuid 


ثم احفظ الملف ونفذ هذا الامر :

umount /dev/shm
mount /dev/shm


الحماية ضد spam


نروح على الخيار التالي من whm :
Main >> Service Configuration >> Exim Configuration Editor

ضع تخت هذا السطر :

كود PHP:

#!!# cPanel Exim 4 Config 


ضع تحتة :
log_selector = +arguments +subject

احفظ الملف وسوي ريستارت

كود PHP:

service exim restart 
service cpanel restart 


[الزعيم]

حماية الـphp و الأباتشي ووضع افضل اعدادات لهم


نإتي الآن الى حماية الـ php :

نكتب الامر التالي :

كود PHP:

pico /usr/local/lib/php.ini 


في اول سطر هو [php]
ضيف تحته مباشرة
reveal_php 0

وتإكد من القيم التالية :

كود PHP:

safe_mode = On 


كود PHP:

allow_url_fopen = Off 


كود PHP:

expose_php = Off 


كود PHP:

enable_dl = Off 


كود PHP:

include_path "/usr/lib/php:/usr/local/lib/php:/tmp:/home" 


كود PHP:

register_globals = off 


`

كود PHP:

display_errors = Off 


كود PHP:

allow_call_time_pass_reference = off 


كود PHP:

safe_mode_include_dir = /usr/local/php/include 


كود PHP:

safe_mode_exec_dir = /usr/local/php/bin 


ابحث عن :
disable_functions

وضع امام كتالي ليصبح شكله :

كود PHP:

dl,escapeshellarg,escapeshellcmd,exec,passthru,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exec,system,pcntl_exec,getrusage,chown,chgrp,closelog,openlog,syslog,define_syslog_variables,php_ini_scanned_files,php_ini_loaded_file,ini_get_all,get_cfg_var,getservbyname,getservbyport 


وابحث عن :

كود PHP:

max_execution_time 


وغير القيمة الى 3600

وتحتها مباشرة غير القيمة الـ

كود PHP:

max_input_time 


الى 3600
وتحتها مباشرة راح تلقى :

كود PHP:

memory_limit 


غير القيمة الى 64M او 128M او 256M

بعد ذلك ابحث عن :

كود PHP:

upload_max_filesize 


وغير القيمة الى 10M

هذا الخيار هام لوضع اقصى مساحة ملف ممكن رفعها من خلال السي بنال وهي الأفتراضي 2M ويفضل رفعها حسب رغبت مدير الأستضافة يفضل وضعها 5M او 10M


واخير ابحث عن :

كود PHP:

post_max_size 


وضع القيمة مناسبة 50M


بعد ذلك اضف في نهاية الملف php.ini التالي :

كود PHP:

; Solution Problem VB
suhosin.request.max_vars = 1024
suhosin.post.max_vars = 1024 


هذه النقطة هامة لمن قام بتركيب suPHP وهذا لتعزيز الحماية في السيرفر
بعد ذلك نروح الى :

كود PHP:

pico /usr/local/apache/conf/php.conf 


اضف هذا السطر :

كود PHP:

suPHP_ConfigPath /usr/local/lib/php.ini 


وهذه صورة توضيحية لشكل الملف :



بعد ذلك نسوي حفظ للعمل ونسوي ريستارت للأباتشي :

كود PHP:

httpd restart 


بعد ذلك حماية الأباتشي :

نروح لملف الأباتشي :

كود PHP:

pico /usr/local/apache/conf/httpd.conf 


نضع في بداية الأباتشي القيمة التالية :

RLimitMEM 1161234090
RLimitCPU 350

لتعطيل البيرل بالسيرفر :
ابحث عن :

كود PHP:

AddHandler cgi-script .cgi .pl 


وسوي امامة علامة #
لتعطيل البيرل

وبعدين ابحث عن :

كود PHP:

<Directory "/"> 


وخلية زي كذا

كود PHP:

<Directory "/">
    Options SymLinksIfOwnerMatch +ExecCGI
    AllowOverride All
</Directory> 


وبحث عن :

كود PHP:

ServerSignature ON 


وخلية off

وضع تحتها التالي :

كود PHP:

ServerTokens Prod
SecServerSignature "Security by Host2Need.Com" 


بعدين سوي حفظ للعمل وريستارت للأباتشي

كود PHP:

httpd restart 


[الزعيم]

بعد ذلك تركيب برنامج ELS او Easy Linux Security

هذا البرنامج يحتوي على برامج اساسية للسيرفر وراح ناخذ منه بعض البرامج الهامة التي نحتاج اليها في السيرفر لتعزيز الحماية

للتركيب البرنامج اكتب الامر التالي :

كود PHP:

wget --output-********=installer.sh http://servermonkeys.com/projects/els/installer.sh; chmod +x installer.sh; sh installer.sh 


راح نركب البرامج التالية :
Install RKHunter
Install RKHunter Cronjob which emails a user-set email address nightly
Install/update APF
Install/update BFD
Install CHKROOTKIT
Install CHKROOTKIT Cronjob which emails a user-set email address nightly
Disable Telnet
Secure /tmp
Tweak WHM Settings for security and stability
Optimize MySQL tables


[B][SIZE="5"]وراح يتم التطرق للشرح ولكن بالترتيب :

[الزعيم]

بعد تركيب برنامج الحماية الآن نإتي الى شرح الحماية السيرفر من عمليات الفلود وهجمات الـ DDOS ATTACK :


هذا الجزء متعلق بالحماية :

1 • الحماية ضد Dos , DDos

? تقوية sysctl.conf و host.conf

كود PHP:

cd /etc/ 
mv sysctl.conf sysctl.conf.css 


كود PHP:

pico sysctl.conf 


ضع فيه التالي :

كود PHP:

#Kernel sysctl configuration file for Centos 5.x
# http://www.securecentos.com
# See sysctl(8) and sysctl.conf(5) for more details.
kernel.panic = 60
net.ipv4.ip_forward=0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.lo.log_martians = 0
net.ipv4.conf.eth0.log_martians = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
kernel.sysrq = 0
net.ipv4.tcp_fin_timeout = 15
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_syncookies = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.conf.all.log_martians = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_max_tw_buckets = 1440000
net.ipv4.ip_local_port_range = 16384 65536
net.ipv4.conf.all.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1 


ثم نحفظ العمل

كود PHP:

/sbin/sysctl -p 


كود PHP:

sysctl -w net.ipv4.route.flush=1 


ثم

كود PHP:

cd /etc 
mv host.conf host.conf.css 


كود PHP:

pico host.conf 


نضع فيه التالي :

كود PHP:

# Lookup names via DNS first then fall back to /etc/hosts 
order hosts,bind 
# Check for IP address spoofing. 
nospoof on 
# multiple IP addresses 
multi on 


ثم

كود PHP:

httpd restart 


الساين كوكيز يمكن تفعيلها عن طريق الأمر :

كود PHP:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies 


الي مركب البرنامج احنا راح ننزل برنامج APF + BFD مع افضل الأعدادات :


نـبداء الشرح :


اولا : تركيب برنامج الجدار الناري APF مع افضل اعدادات
نكتب الأمر التالي لتركيب البرنامج :

كود PHP:

els --apf 


بعد تنزيل البرنامج نكتب الأمر التالي لضبط الأعدادات :

كود PHP:

pico /etc/apf/conf.apf 


ونتإكد من القيم التالية بإنها :

كود PHP:

EGF="1"
USE_DS="1"
USE_AD= 1 


بعد ذلك نسوي حفظ للعمل


بعد ذلك نذهب الى الملف التالي :

كود PHP:

pico /etc/apf/ad/conf.antidos 


ونتأكد من القيم التالية :

كود PHP:

LP_KLOG="1"
CONAME="Your Company"
USR_ALERT="1"
USR="you@yourco.com"
ARIN_ALERT="1" 


بعد ذلك نسوي خفظ للملف

هذه اوامر مهمة للفايرول :
تشغيل الفايرول :

كود PHP:

/usr/local/sbin/apf -s 


اعادة تشغيل الفايرول :

كود PHP:

/usr/local/sbin/apf -r 


ايقاف الفايرول :

كود PHP:

/usr/local/sbin/apf -f 


مشاهدة حالة الفايرول :

كود PHP:

/usr/local/sbin/apf -st 


للسماح للأي بي

كود PHP:

/usr/local/sbin/apf -a 124.11.11.11 


لحظر أي بي شخص بالفيرول

كود PHP:

/usr/local/sbin/apf -d 124.11.11.11 


بعد الانتهاء نقوم بتشغيل الفايرول اكتب الأمرين التالين :

كود PHP:

/etc/apf/ad/antidos -a
/usr/local/sbin/apf -r 


ثانيا : بعد الانتهاء من تركيب الفايرول نقوم بتركيب برنامج الحماية BFD (Brute Force Detection)


لتركيب البرنامج اكتب الأمر التالي :

كود PHP:

els --bfd 


ولضبط اعدادات البرنامج نكتب الأمر التالي :

كود PHP:

pico -w /usr/local/bfd/conf.bfd 


يجب انت تكون القيم كتالي :

كود PHP:

ALERT_USR="1"
EMAIL_USR=you@yoursite.com 


مع استبدال البريد الإلكتروني

نسوي حفظ للملف

لتشغيل البرنامج نكتب الأمر التالي :

كود PHP:

/usr/local/sbin/bfd -s 


معلومة هامة حول البرنامج :
للسماح بالأي بي

كود PHP:

pico -w /etc/apf/allow_hosts.rules 


ونضع الأي بي داخل الملف ونسوي له حفظ

ولحظر اي بي نروح الى

كود PHP:

pico -w /usr/local/bfd/ignore.hosts 


ونضع الأي بي داخل الملف ونسوي له حفظ


ثالثا : تركيب برنامج الحماية من هجمات DOS-Deflate


تنصيب البرنامج :

كود PHP:

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0755 install.sh
./install.sh 


بعد ذلك نقوم بضبط الأعدادات :

كود PHP:

pico /usr/local/ddos/ddos.conf 


ونغير التالي :

كود PHP:

Set NO_OF_CONNECTIONS=150 


هذا الرقم 150 يفضل وضعها في السيرفر وعدم تغيرها اذا حاب تزيد في قيمة الحد الأقصى لعدد الأتصال بالسيرفر للأي بي الواحد بتغير الرقم 150
يفضل وضعها 150 او 250 او 300
اذا صار هجوم قوي جدا على السيرفر قم بتغير القيمة الى 45 او 35 لكي يتم حجب الفلود بشكل سريع

وتإكد من القيم التالية :

كود PHP:

APF_BAN=1
EMAIL_TO=xxx@xxx.com
هذا عدد الوقت بالثانية للحظر 600 ثانية 
BAN_PERIOD=600 


لمعرفة المتصلين بالسيرفر نكتب الامر هذا

كود PHP:

cd /usr/local/ddos/;./ddos.sh
sh /usr/local/ddos/ddos.sh 


لحظر اي شخص ندخل هنا

كود PHP:

pico /usr/local/ddos/ignore.ip.list 


ونضع الأي بي داخل الملف ونسوي له حفظ


تشغيل البرنامج :

كود PHP:

/usr/local/ddos/ddos.sh -c
iptables -F 


ولجعل البرنامج يعمل بعد الريستارت نروح للملف :

كود PHP:

pico /etc/rc.d/rc.local 


ونضع في نهاية الملف التالي :

كود PHP:

## Add the following lines at the bottom of the file
/usr/local/ddos/ddos.sh -c 


لو رغبت بحذف البرنامج اكتب الأمر التالي :

كود PHP:

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
sh uninstall.ddos 


وهذا اعدادات للحماية من الفلود :

وهذا ملف لتعزيز الحماية من هجمات الدوس وتعطيل بعض الخدمات وحصرها :

كود PHP:

#!/bin/bash

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp

rm /root/.dyn*

echo "Setting kernel tcp parameters to reduct DoS effects"

#Reduce DoS'ing ability by reducing timeouts
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog

#ANTISPOOFING
for a in /proc/sys/net/ipv4/conf/*/rp_filter;
do
echo 1 > $a
done

##
#NO SOURCE ROUTE
for z in /proc/sys/net/ipv4/conf/*/accept_source_route;
do
echo 0 > $z
done
#SYN COOKIES
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#echo $ICMP_ECHOREPLY_RATE > /proc/sys/net/ipv4/icmp_echoreply_rate
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "1" > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

# NUMBER OF CONNECTIONS TO TRACK
echo "65535" > /proc/sys/net/ipv4/ip_conntrack_max

# Set default policies
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP

/sbin/iptables -F
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F -t mangle
/sbin/iptables -X

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -d 127.0.0.0/8 -j REJECT

/sbin/iptables -A INPUT -i eth0 -j ACCEPT

/sbin/iptables -A INPUT -m state --state INVALID -j DROP

### chains to DROP too many SYN-s ######
/sbin/iptables -N syn-flood
/sbin/iptables -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
/sbin/iptables -A syn-flood -j LOG --log-prefix "SYN flood: "
/sbin/iptables -A syn-flood -j DROP 


طبعا انصح الجميع بالتعديل في اخر السطور :

كود PHP:

/sbin/iptables -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN 


هذا لتحديد اقصى حد لعدد المتصلين بالسيرفر يجب تغيرها حسب ما ترغب يفضل ضعها بدل 100 غيرها 200
و الـ 150 غيرها 300

بعدين احفظ الملف وارفعه على السيرفر بإسم :

كود PHP:

ddos.sh 


ولتنصيب الملف اكتب الأمر التالي :

كود PHP:

sh ddos.sh 


للمعلوماية الطريقة الأخيرة مع المحتمل انها لا تعمل مع السيرفرات VPS


الأن نجي لطريقة صد الهجمات الفلود هذا الشرح عشان يكون الموضوع له قيمة والدرس يكون مفيد للكل :


بعد الانتهاء من اعداد برامج الحماية السيرفر والفايرول افضل اعدادات اقدم لكم معلومات لكيفة صد اي هجوم DOS يتعرض له السيرفر وكيفية معرفة ذلك

اكتب الأمر التالي لمعرفة عدد المتصلين بالسيرفر :

كود PHP:

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
or
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n 


راح يظهر لك النتيجة كتالي :

كود PHP:

      1 195.229.235.36
      1 195.229.235.39
      1 195.229.236.214
      1 195.229.237.39
      1 195.229.242.53
      1 195.229.242.55
      1 195.229.242.56
      1 196.12.217.252
      1 196.20.126.97
      1 41.200.213.119
      1 86.60.97.145
      1 89.108.0.85
      2 195.229.235.41
      2 41.201.175.161
      2 41.248.162.42
      2 77.30.118.133
      2 94.97.78.197
      3 84.11.138.148
    400 41.235.239.187 


هذا يعني ان الأي بي
41.235.239.187
مسوي فلود على السيرفر طيب الحين عرفنا مسبب الفلود الحين نجي نسوي له حظر

اكتب الأمر التالي :

كود PHP:

pico /usr/local/ddos/ignore.ip.list 


وضع الأي بي الشخص المسبب للحظر

ولحظر الأي بي بواسطة برنامج BFD
ولحظر اي بي نروح الى

كود PHP:

pico -w /usr/local/bfd/ignore.hosts 


ونضع الأي بي داخل الملف ونسوي له حفظ

وايضا نروح للبرنامج APF ونحط الأي بي

كود PHP:

/usr/local/sbin/apf -d 41.235.239.187 


وهذه طريقة اخرى لخظر الشخص

كود PHP:

iptables -I INPUT -s 41.235.239.187 -j DROP 


بعد كذا نكتب الامر

كود PHP:

service iptables save
service iptables restart 


تركيب برنامج الفايرول CSF :

هذا البرنامج لا انصح به اطلاقا في تركيبه على السيرفرات VPS لأنه راح يسبب مشاكل في السيرفر لذلك لا تقم بتركيبه وبالنسبة للبرامج الي ذكرتها كفاية وقوية جدا

راح اشرحه للي يرغب بتركيبه على سيرفره :)

كود PHP:

cd /usr/src 
wget http://www.configserver.com/free/csf.tgz 
tar -xzf csf.tgz 
cd csf 
sh disable_apf_bfd.sh 
sh install.sh 


نجي نضبط اعداداته :

كود PHP:

pico /etc/csf/csf.conf 


تاكد من هذه الخيارات انها على ذات القيم الموضحة :

كود PHP:

TESTING = "0" 


كود PHP:

AUTO_UPDATES = "1" 


كود PHP:

TCP_IN = "20,21,22,25,53,80,110,143,443,465,953,993,995,2077,2078,2082,2083,2086,2087,2095,2096,6102" 


كود PHP:

TCP_OUT = "20,21,22,25,37,43,53,80,110,113,443,587,873,953,2087,2089,2703,6102" 


ملاحظة لا تنسى وضع بورت الشل ضمن هذه الارقام وذلك وبضع , ويليها ارقم بدون مسافات
ملاحظة : 6102 هو بروت الشل الي وضحته في الشرح لا تضعه ضمن البروتات

ثم احفظ الملف

كود PHP:

service csf restart 


نذهب الى WHM :

Main >> Plugins >> ConfigServer Security & Firewall





اضغط على


في هذه الخانة اضغط hight



واخيرا :



نعود الى الشل ونحرر ملف csf.conf

كود PHP:

pico /etc/csf/csf.conf 


ctrl + w >> LF_MODSEC

اجعلها هكذا :

كود PHP:

LF_MODSEC = "10" 


او ضع مكان الرقم 10 اي عدد يفضل ان لا يكون اقل من 5

احفظ الملف ثم

كود PHP:

service csf restart 


ولحظر اي شخص من خلال برنامج csf

اكتب الأمر التالي :

كود PHP:

csf -d 124.11.11.11 


انتهى الشرح وهذا افضل طريقة للحظر هجمات الدوس وهي طريقة مجربة

عند عمل فلود راح توصلك رسالة كتالي على بريدك
IP addresses banned on Wed Aug 13 17:10:07 AST 2008

كود PHP:

Banned the following ip addresses on Wed Aug 13 17:10:01 AST 2008

41.249.56.19 with 205 connections 


[/CENTER]


تــــابع الشرح :

[الزعيم]

تركيب بعض البرامج اللازمة للحماية السيرفر :

رابعا : بعد الأنتهاء من تركيب برامج الفايرول والحماية نقوم بتركيب برنامج chkrootkit

اكتب الأمر التالي لتركيبة :

كود PHP:

els --chkrootkit 


ولجعل البرنامج يعمل بشكل يومي ويرسل كل 24 ساعة تقرير عن الفحص الملفات السيرفر

اكتب الأمر التالي وضع ايميلك :

كود PHP:

els --chkrootkitcron 


سوف يطلب منك اضافه بريدك
اكتب بريدك و أضغط enter
سوف تظهر هذه الرساله :

كود PHP:

Ensure this is correct.
Proceed? (y/n): 


أضغط علي مفتاح Y للتأكيد .



خامساً : ضبط تصاريح مجلدات الروت الخطره :

اكتب الأمر التالي :

كود PHP:

els --chmodfiles 


سادساً : لتعطيل التلنت :

اكتب الأمر التالي :

كود PHP:

els --disabletelnet 


سابعاً : تركيب imagemagick برنامج محرر الصور علي السيرفر :

اكتب الأمر التالي :

كود PHP:

els --imagemagick 


سوف يقوم بتركيب البرنامج و اذا كان موجود مسبقا سوف يقوم بتحديثه علي سيرفرك .


قد يستغرق التحديث بعض الوقت انتظر لحين الانتهاء ...


ثامناً : تركيب rkhunter :


يقوم هذا البرنامج :

* بمقارنة MD5 Hash وفحصها .
* البحث عن الملفات المستخدمة من قبل الروت كيت بشكل دائم.
* التأكد من تصريحات الملفات المهمة بالنظام .
* فحص ملفات LKM و ملفات KLD .
* البحث عن الملفات المخفية .

لتركيب اكتب الأمر التالي :

كود PHP:

els --rkhunter 


سوف تظهر هذي الرساله تطلب منك تأكيد التركيب :

كود PHP:

ELS can now install RKHunter.
Proceed? (y/n): 


أضغط Y ثم Enter لتأكيد التركيب ...

سوف يقوم الأسكربت بتركيب البرنامج الخطوه التاليه لنقوم بأعداد البريد الخاص بك ليصلك تقرير يومي :

كود PHP:

els --rkhuntercron 


تظهر هذه الرساله تطلب ادخال بريدك الالكتروني :

أكتب بريدك بعدها enter سوف تظهر هذه الرساله :

أضغط مفتاح Y للتأكيد ثم Enter ...

لتشغيل الاسكربت يدوي اكتب الامر التالي في الشل :

كود PHP:

rkhunter -c 


سوف يقوم البرنامج بعمل فحص النظام وعرض الأخطاء أو العمليات المشبوهة باللون الأحمر والسليمة بالأخضر .


الخطوة رقم تسعة : تركيب برنامج zend :

كود PHP:

els --zendopt 


سوف تظهر امامك خيارات Yes , Exit أضغط Enter بشكل متواصل لحين الانتهاء ...



الخطوة رقم عشرة : ضغط ووضع اعدادات للملف قواعد البيانات /etc/my.cnf

كود PHP:

els --optimizemysqlconf 


كود PHP:

els --mysqlrenice 


بعد ذلك نقوم بضبط اعدادات قواعد البيانات :

كود PHP:

/etc/my.cnf 


نبحث عن :
max_allowed_packet
نغير القيمة الى 45

ونبحث عن :
wait_timeout
ونغير القيمة الى :
7200 او 14400



الخطوة رقم 11 : حماية ملف التيمب بواسطة البرنامج els

كود PHP:

els --securepartitions 


الخطوة الأخيرة اكتب الامر التالي لضبط اعدادات Tweak Settings
اكتب الأمر

كود PHP:

els --tweakcpsettings 


واكتب الامر التالي لأصلح الأخطاء :

كود PHP:

els --fixrndc 


[الزعيم]

حماية SSH وتغير البورت الخاص بالـssh

كود PHP:

pico /etc/ssh/sshd_config 


سوف نقوم بالتعيدل على هذه الاسطر :

كود PHP:

#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress :: 


نروح نغيرها القيم الى التالي :

كود PHP:

Port 3322
Protocol 2
Protocol 2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress :: 


مع تغير الـ 3322 الى بورت الشيل الذي ترغب به المهم ان يكون البورت من 4 ارقام وما يكون من ضمن هذه القائمة من البورتات



الآن نقوم بعمل أعداد للنسخ الأحتياطي للسيرفر

راح اقوم بشرح كيفية ضبط النسخ الأحتياطي بالتوقيت معين

اولا لازم تروح الشل وتكتب التالي :

كود PHP:

cd / 


ثم

كود PHP:

mkdir backup 


ثم

كود PHP:

cd backup 


ثم

كود PHP:

mkdir cpbackup 


ثم

كود PHP:

cd cpbackup 


ثم

كود PHP:

mkdir daily 


ثم

كود PHP:

mkdir weekly 


ثم

كود PHP:

mkdir monthly 


ثم اعطي المجلدات التصريح 711

كود PHP:

chmod 711 /backup
chmod 711 /backup/cpbackup
chmod 711 /backup/cpbackup/daily
chmod 711 /backup/cpbackup/weekly
chmod 711 /backup/cpbackup/monthly 


بعدين تروح whm >> Main >> Backup >> Configure Backup :

ونضع الخيارات كما هي بالصور التالية :



بعد ذلك نجي نضبط التوقيت النسخ الأحتياطي

اولاً نروح نضبط الوقت بالسيرفر من خلال لوحة التحكم WHM :
نروح الخيار التالي :
Main >> Server Configuration >> Server Time

نروح نختار توقيت الرياض :
Asia/Riyadh
بإمكانك اختيار التوقيت حسب الدول والمدينة الي انت فيها وبعدين سوي تغير للوقت


الآن بعد ضبط الوقت بالسيرفر نروح ننزل برنامج الكرون للي يضبط المهام بالسيرفر

نروح اول شيء على لوحة التحكم WHM :


نروح الحين ننزل برنامج cronconfig من لوحة التحكم WHM :
اذهب الى لوحة التحكم WHM :

كود PHP:

 Main >> cPanel >> Manage Plugins 


نروح للخيار :
Name: cronconfig
Author: cPanel Inc.
Installed Version: 0.4
Version: 0.4
Description: Allows user to edit cPanel cron settings/program run times
Price: free
ونضع علامة صح ونروح سوي حفظ راح ينزل البرنامج على السيرفر

الحين نسوي تحديث للوحة التحكم WHM بالضغط على F5

راح تلقى في نهاية القائمة انضاف برنامج Configure cPanel Cron Times

ندخل للبرنامج ونضبط التوقيت كتالي :





طبعا الحين توقيت الباك اب راح يكون وقت صلاة الفجر بحدود الساعة 4.30 الى 5.30 تقريباً

[الزعيم]

تركيب برنامج يساعد على ترتيب العمليات في البروسيس وراح تلاحظ معدل انخفاض 5-25%
البرنامج SPRI (Priority Scheduler)

طريقة تركيب البرنامج :

كود PHP:

cd /root
wget http://www.rfxnetworks.com/downloads/spri-current.tar.gz
tar xvfz spri-current.tar.gz
cd spri-0.5
./install.sh
spri -v 


ندخل لـ WHM لننهي اخر الخطوات :

نروح للمود سيكورتي من خلال WHM

Main >> Plugins >> Mod Security

نضغط على Edit Config

ونضع فيها الرولز التالي :
اضغط هنا للتحميل

الآن نسخ للمحتوى النوتة ونسوي لصق في المود سيكورتي

نسوي حفظ للعمل



ونروح للخيار :
نضع علامة صح على الخيارات التالية :
Main >> Server Configuration >> Tweak Settings

كود PHP:

[x] Always redirect users to the ssl/tls ports when visiting /cpanel, /webmail, etc.
[x] Only permit cpanel/whm/webmail to execute functions that have a referrer that matches one of the domains/ip on this server. This will help prevent XSRF attacks, but may break integration with other systems, login applications, and billing software. 


Main >> Server Configuration >> Tweak Settings

ضع نفس هذه الاعدادات :



• Stats Programs

كود PHP:

[x] Analog Stats
[x] Awstats Stats
[x] Webalizer Stats 


• System :

كود PHP:

[x] Always redirect users to the ssl/tls ports when visiting /cpanel, /webmail, etc.
[x] Use native SSL support if possible, negating need for Stunnel
[x] Do not start deprecated Melange 1.10 chat server 


4 •


Main >> Server Contacts >> Change System Mail Preferences





ثم اضغط change وقم بعمل نفس الشيء لكل من :

nobody's mail . cpanel's mail


بعد ذلك الى :
ونروح الى الخيار Background Process Killer
Main >> System Health >> Background Process Killer

ونسوي علامة صح للكل الخيارات

كود PHP:

[x]BitchX
[x]bnc
[x]eggdrop
[x]generic-sniffers
[x]guardservices
[x]ircd
[x]psyBNC
[x]ptlink
[x]services 


1 •

نذهب الى :
Main >> Security >> Modify Apache Memory Usage




Main >> Security >> Security Center


Configure cPHulk

اضغط :


PHP open_basedir Tweak

[x] Enable php open_basedir Protection

ثم اضغط :


Apache mod_userdir Tweak


[x] Enable mod_userdir Protection.

ثم اضغط :


Shell Fork Bomb Protection


اضغط :


2 •




Main >> Service Configuration >> Configure PHP and SuExec

نضع الأعداد كما في الصورة



Main >> Service Configuration >> FTP Configuration


اضغط على هذا الزر :


Main >> Service Configuration >> Service Manager

هذه هي مجموعة الخدمات الي يجب ان تكون فعالة بالسيرفر فقط

كود PHP:

antirelayd : [x] Enabled  [x] Monitor 
exim : [x] Enabled  [x] Monitor 
eximstats : [x] Enabled  [x] Monitor 
ftpd : [x] Enabled  [x] Monitor 
imap : [x] Enabled  [x] Monitor 
mysql : [x] Enabled  [x] Monitor 
named : [x] Enabled  [x] Monitor 
pop : [x] Enabled  [x] Monitor 
spammd : [x] Enabled  [x] Monitor 
syslogd : [x] Enabled 


ثم اضغط : save


3 •





بعد ذلك نقوم بتغير الكلام الي يظهر اثناء ما تدخل بمعلومات SSH

اكتب الإمر هذا

كود PHP:

pico /etc/motd 


واكتب الأمر التالي :

كود PHP:

Welcome To SSH Host2NeeD.Com Web Servers

Now You Can Use Your Server

Tack your Time 


بعد كذا احفظ العمل

[الزعيم]

سكربت كاشف ملفات الشل علي السيرفر


الاسكربت ممتاز و يحميك بنسبه 98% من ملفات الشل

التركيب أفتح الشل بسيرفرك و طبق الخطوات التالية :

كود PHP:

cd /root
wget http://www.modelayer.com/exploit.sh.txt
mv exploit.sh.txt exploit.sh
chmod 755 exploit.sh 


و لجدولة الاسكربت ليصلك تبليغ في حين رفع شل علي سيرفرك أتبع التالي :

كود PHP:

export EDITOR=pico

crontab -e 


و من ثم نروح لاخر سطر و نقوم بأضافة التالي

كود PHP:

0 7,19 * * * /root/exploit.sh -c -m admin@host2need.com 


و بدل البريد admin@host2need.com الى بريدك
و من ثم تضغط x + ctrl

لتشغيل الاسكربت بشكل يدوي طبق الاوامر التالية بالشل

كود PHP:

cd /root
sh exploit.sh 


تـــابع الشرح :icon30:

[/CENTER]

[الزعيم]

بعد الأنتهاء من إعداد السيرفر نقوم بعمل اعادة تشغيل للسيرفر

reboot

[الزعيم]

طريقة افراغ التمب وملفات اللوج

كود PHP:

rm -rf /var/log/exim_paniclog.[1-9].gz
rm -rf /var/log/exim_mainlog.[1-9].gz
rm -rf /var/log/exim_rejectlog.[1-9].gz
rm -rf /var/log/messages.[1-9]
rm -rf /var/log/maillog.[1-9]
rm -rf /var/log/secure.[1-9]
rm -rf /var/spool/exim/input/*
rm -rf /var/spool/exim/msglog/*
rm -rf /var/cache/eaccelerator/*
rm -rf /tmp/*
rm -rf /var/tmp/*
cd /tmp 
rm -rf * 


بعد ذلك نسوي ريستارت للقواعد البيانات :

كود PHP:

service mysql restart 


[الزعيم]

اوامر مهمة لأصحاب السيرفرات

تغير باسورد الروت :
اكتب الأمر :
passwd

معرفة البورتات المفتوحة بالسيرفر :
اكتب الامر :

كود PHP:

nmap -sT-O localhost 


او

nmap fuser localhost

البورتات الأساسية للسيرفر :

كود PHP:

21 => FTP
22 => SSH
23 => Telnet
25 => SMTP Mail Transfer
43 => WHOIS service
53 => name server (DNS)
80 => HTTP (Web server)
110 => POP protocol (for email)
995 => POP over SSL/TLS
9999 => Urchin

111 => rpcbind
953 => rndc

143 => IMAP Protocol (for email)
993 => IMAP Secure

443 => HTTP Secure (SSL for https:// )

3306 = > MysQL Server

4643 => Virtuosso Power Panel

Cpanel

2082 => CPANEL
2083 => CPANEL - Secure/SSL
2086 => CPANEL WHM
2087 => CPANEL WHM - Secure/SSL
2095 => cpanel webmail
2096 => cpanel webmail - secure/SSL

Plesk Control Panel => 8443

DirectAdmin Control Panel => 2222

Webmin Control Panel => 10000 


w
لعرض المستخدم الشيل وكم مدت السيرفر وكم الوود

كود PHP:

06:46:02 up 3 days, 2:35, 1 user, load average: 0.81, 0.30, 0.23
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 62.139.117.58 5:02am 0.00s 0.11s 0.10s -bash
root@host [~]# 


top
اعتقد من اهم الاوامر
وهو يعرض لك البروسيس اللى بتستهلك اعلى نسبة من البروسيسور

ls
او
ls -a
او
ls -l
او
ls -l | more
وهو عرض الى فى المجلد الحالى بشكل مفصل


cd
امر مهم جدا للرجوع الى عن المسار نكتب cd
للذهاب الى مسار نكتب cd /home


rm
للمسح
يفضل استخدام rm -rf
r لمسح المجلدات
f علشان ميسالش على كل ملف موافق تمسحه ولا لا


cp
لنسخ ملف من مكان لاخر
cp amr.zip /home/amr/www



cp -r
للنسخ مجلد

mv
للنقل او اعادة التسمية
mv amr /home/amr
او لاعادة تسميته
mv amr swalif

الامر wget
لسحب ملف على السيرفر
wget http://swalif.net/file.zip

والآن كيف تجرى عملية فك الضغط ؟
إذا كان الملف ينتهي بالامتداد .zip مثال لذلك File.zip قم بكتابة الأمر :
unzip file.zip

إذا كان امتداد الملف ينتهي بـ .tar مثال file.tar قم بكتابة :
tar -xvf file.tar

إذا كان امتداد الملف ينتهي بـ .gz مثل file.gz قم بكتابة :
gzip -d file.gz

إذا كان امتداد الملف ينتهي بـ .tar.gz مثال file.tar.gz قم بكتابة :
gzip -d file.tar.gz
ومن ثم :
tar -xvf file.tar


كيفية إجراء نسخ احتياطي من قاعدة بيانات :
mysqldump -u db_usr_name -pPASSWORD db_name > file name.SQL

كيفية استرجاع قاعدة بيانات تم حفظها من قبل :
mysql -u db_usr_name -pPASSWORD db_name < file name.SQL

كيفية ضغط قاعدة البيانات :
tar -czvf file name.tar.gz file name.SQL

كيفية فك الضغط عن قاعدة البيانات :
tar -zxvf file name.tar.gz

كيفية عمل نسخ احتياطي من جميع قواعد البيانات لمستخدم معين :
mysqldump -uroot --all-databases | gzip > mysql_username.sql

بعض الأوامر الأخرى :
tail : مثل cat ولكنه يقرأ نهاية الملف فقط
tail /var/log/messages لرؤية آخر 20 سطر من /var/log/messages
tail -f /var/log/messages : للمشاهدة المتواصلة للملف أثناء إجراء التغييرات عليه
tail -200 /var/log/messages : لطباعة آخر 200 سطر من الملف على الشاشة

more : مثل cat
more /etc/userdomains : للتصفح من خلال ملف الـ userdomains file.

pico : لاستخدام محرر النصوص
pico /home/burst/public_html/index.html : لتحرير صفحة الـ Index الخاصة بالمستخدم.

vi : محرر آخر للنصوص به الكثير من المميزات ولكنه أصعب من pico عند استخدامه للمرة الأولى
vi /home/burst/public_html/index.html : أيضاً لتحرير صفحة الـ Index الخاصة بالمستخدم.

touch : لإنشاء ملف فارغ
touch /home/burst/public_html/404.html : لإنشاء ملف فارغ يسمى 404.html داخل المجلد /home/burst/public_html/

ln : يقوم بإنشاء روابط بين الملفات والمجلدات
ln -s /usr/local/apache/conf/httpd.conf /etc/httpd.conf : الآن يمكنك تحرير /etc/httpd.conf بدلاً من تحرير الملف الأصلي . وسوف تظهر التغييرات في الملف الأصلي أيضاً , كما أنه يمكنك مسح الرابط دون التغيير على الملف الأصلي.

rm : لحذف ملف
rm filename.txt : لحذف ملف بالسؤال التأكيد Confirmation للحذف
rm -f filename.txt : حذف الملف دون السؤال عن تأكيد الحذف.
rm -rf tmp/ : تحويل المجلد للـ tmp ويشمل هذا كل الملفات والمجلدات الفرعية بداخله.

last : لعرض من قام بتسجيل الدخول والزمن
last -20 : عرض آخر 20 عملية تسجيل دخول
last -20 -a : عرض آخر 20 عملية تسجيل دخول مع الـ Hostmane في آخر حقل

w : عرض المستخدمين الحاليين على السيرفر والذين قاموا بتسجيل الدخول وأين هم الآن في هذه اللحظة.

netstat : عرض جميع الجهات المتصلة حالياً .
netstat -an : عرض جميع الجهات المتصلة بالسيرفر بالإضافة للـ IP الخاص بكل اتصال والـ Port أو منفذ الاتصال.

top : لعرض live system processes في شكل جدول أنيق وكذلك معلومات الذاكرة والـ Uptime ومعلومات أخرى مفيدة , وهي ممتازة جداًً في عملية إدارة النظام وللتأكد من أن كل شيء يعمل جيداً.
للفرز حسب استخدام الذاكرة قم بكتابة top ومن ثم Shift + M
للفرز حسب استخدام الـ CPU قم بكتابة top ومن ثم Shift + P

ps: وهي اختصار لـ process status وهي مشابهة لأمر top . وهي لعرض الـ processes التي تعمل حالياً مع الـ PID أو الـ Process ID وهو رقم لتعريف الـ Process أو البرنامج ويمكنك إيقاف البرنامج من خلال هذا الرقم (فضلاً قم بمراجعة أوامر Kill
ps U username : عرض البرامج لمستخدم محدد
ps aux : عرض جميع الـ Processes أو البرامج التي تعمل
ps aux --forest : عرض جميع البرامج التي تعمل مثل السابق ولكن بتدرج جيد جداً ومفيد

du : لعرض استهلاك أو استخدام القرص Disk usage.
du -sh : لعرض ملخص عن المساحة المستخدمة بواسطة المجلد الحالي متضمناً المجلدات الفرعية.
du -sh * : نفس الشيء ولكن هذا يستخدم لكل ملف أو مجلد على حده ، وهو مفيد لإيجاد الملفات التي تحجز مساحة كبيرة

wc : عدد الكلمات
wc -l filename.txt : لمعرفة عدد سطور الملف المحدد

cp : لنسخ ملف
cp filename filename.backup : نسخ ملف لـ filename.backup
cp -a /home/burst/new_design/* /home/burst/public_html/ : لنسخ جميع الملفات مع الاحتفاظ بالتصاريح من مجلد لآخر

كيفية معرفة حجم ملف أو مجلد :

du -h /home/username/public_html/test


kill: لإيقاف برنامج محدد
kill -9 PID EG: kill -9 431
kill PID EG: kill 10550
قم باستخدام top أو ps ux لمعرفة الـ PIDs أو الـ Process IDs



ps -e
لعرض البروسيس الشغالة دلوقتى



كيفيه التأكد من صلاحيات المواقع الموجوده علي السيرفر و معرفه ما اذا كان احد منهم يستطيع الدخول الي الشل و له صلاحيات الروت ؟؟ (معرفة اي شخص يمتلك حساب روت هذا مهم جدا لما يكون سيرفرك اخترق وتريد تعرف وتتإكد من انه لا يوجد حساب روت اخر )

افتح الشل و طبق الامر التالي :

كود PHP:

pico /etc/passwd 


شوف مخرجات المواقع اذا حصلت كل يوزر بالشكل التالي

gogo:x:0:0::/home/gogo:/bin/bash


احذف اليوزرات و اجعلها بالشكل التالي

كود PHP:

gogo:x:32043:32045::/home/gogo:/usr/local/cpanel/bin/noshell 


توضيح :

:x:0:0::/ تعني صلاحيات الروت كامله

موقع عادي :x:32043:32045::/

فقط قم بتبديل gogo باليوزر تبع الموقع



للبحث عن الشيلات المشفرة اكتب الأمر التالي :

كود PHP:

find /home/*/public_html -name "*.php" -print | xargs egrep -l ' base64_' >> /root/result.txt 


بعدها تجد النتيجة في /root/result.txt

كود PHP:

pico /root/result.txt 


للتأكد من عدم وجود مستخدمين من دون باسورد

كود PHP:

awk -F: '$2 == "" { print $1, "has no password!" }' /etc/shadow 


للبحث عن المستخدمين الذين لديهم صلاحيات مشابهة الى root

كود PHP:

awk -F: '$3 == 0 { print $1, "is a superuser!" }' /etc/passwd 


للتحقق من الكلمات السرية الغير جيدة

كود PHP:

john /etc/shadow 


أمر البحث عن ملف معين

كود PHP:

find / -name "file.php" 


أمر نقل ملف معين إلى داخل الروت

كود PHP:

mv /home/files.tar.gz  /root/ 


مشكلة رسائل Internal Server Error

دائما نرى كثير من هذه الرسائل تظهر في موقعنا او تظهر عند نقل موقع جديد

كود PHP:

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, webmaster@******.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request 


حل هذه المشكلة دائما في ملف الهيتكس .htaccess

او وضع ملف هيتكس فارغ


او حذف الملف كاملاً



لمعرفة اخر العمليات التي تمت داخل السيرفر من رفع ملفات او تعديل على ملفات وهذا الأمر مفيد جدا عند اختراق اي موقع على السيرفر تقدر من خلال هذا الأمر معرفة اخر العمليات التي تمت في السيرفر

اكتب الأامر التالي :

كود PHP:

grep  "uploaded" /var/log/messages 


وللبحث عن الملفات التي تم تعديلها في حساب معين ونفرض ان الحساب اسمه gogo خلال يوم واحد

نكتب الأمر التالي :

كود PHP:

find /home/gogo -type f -mtime -1 


ولو أردت البحث عن التعديلات خلال يومين عدل الmtime -1
الى mtime -2
سالب إثنين تعني أقل من يومين ,, سالب ثالثة أقل من ثلاث أيام
لو تضع موجب معناها اكثر من يوم او اكثر من يومين
وهكذا ....

لو أردت حصر النتائج على 10 نتائج

يمكنك القيام بالتالي :

كود PHP:

find /home/gogo -type f -mtime -1 | tail 


لو أردت مثلا 15 نتيجة
تقوم بالتالي :

كود PHP:

find /home/mo9a7i -type f -mtime -1 | tail -n 15 


معرفة اخر الأخطاء

كود PHP:

tail -f /var/log/messages 


[alktheri]

بسم الله ماشاء الله
مجهود اكثر من رائع

الف الف شكر على هذه المجهود

وتم التثبيت