إعـــــــلان

تقليص
لا يوجد إعلان حتى الآن.

فزورة لأهل السيكيورتي

تقليص
هذا الموضوع مغلق.
X
X
 
  • تصفية - فلترة
  • الوقت
  • عرض
إلغاء تحديد الكل
مشاركات جديدة

  • فزورة لأهل السيكيورتي

    بعد الموضوع المطروح من قبل رايدن حاسس إن نفسي أتفحت لفتح مواضيع بخصوص السيكيورتي على هيئة أسئلة لتنشيط ذاكرة الأعضاء القدامى بتوع S4a و SG " اللي هيرجع قريب جداً.. و بمفاجئات . " و أيضاً لتحديث معلومات الأعضاء الجداد .

    لفت إنتباهي حاجة أتقالت في الموضوع السابق و هي مشكلة الconnect back اللي بتحصل نتيجة لوجود خدمات بتحتاج OUTPUT packets و إلا مش هتشتغل.. و كان خير مثال لتلك الخدمات هو البورت 25 .

    السؤال هو كيف تحمي نفسك من الإتصالات العكسية على شبكتك أو خادمك في حال وجود خدمة كpop3 ؟


    يلا ورونا دماغكم فيها أيه
    My-LiFe My Blog
    أنتظروا ثلاثة مفاجئات قريباً..
    I'm GONE !...WITHOUT h3h3!

  • #2
    ابدا الاول
    and please don't do this at home
    الله يستر بقول كل شي اعرفه وانت نقوا بعدين

    البورت 25 بورت SMTP
    وظيفتها مع البريد وخلافه
    احيانا بنستفيد منها في Mail relay
    وجماعة ال SPAM يعزوها
    نعدل على اعدادات ال MTA
    تكون تميز ما بين المستخدم الداخلي والخارجي
    نستخدم ال External authentication المستخدم ير سل ويستقبل لو كان مسجل في السيرفر

    نعمل تعطيل لل Mail Relay
    وبتختلف من خدمه الى اي خدمه اذا كانت postfix sendmail exim

    وبانتظار باقي الردود
    My sickness is called frozen mind
    and hopefully I'll find the cure for it

    تعليق


    • #3
      ســـفاح مسموح أنا أجاوب ؟

      لو مسموح ومستعجل على الجواب إحكي معاي جوال دولي عشان أحضر وأضع الرد ... ومتأكد إنه صحيح ...
      إِنَّمَـا الأُمَـمُ الأَخْـلاقُ مَا بَقِيَـتْ ... فَـإِنْ هُمُ ذَهَبَـتْ أَخْـلاقُهُمْ ذَهَبُـوا

      إذا المرء لا يرعاك إلا تكلفاً ... فدعه ولا تكثر عليه التأسفا
      ففي الناس أبدال وفي الترك راحة ... وفي القلب صبر للحبيب ولو جفا
      فما كل من تهواه يهواك قلبه ... ولا كل من صافيته لك قد صفا
      إذا لم يكن صفو الوداد طبيعة ... فلا خير في خل يجيء تكلفا
      ولا خير في خل يخون خليله ... ويلقاه من بعد المودة بالجفا
      وينكر عيشاً قد تقادم عهده ... ويظهر سراً كان بالأمس في خفا

      [ مواقع مفيدة: أروع موقع القرآن الكريم |مدونتي |Twitter |نظام طارق ]

      تعليق


      • #4
        ياعم بيناري احكي
        خلينا اعرف الاجابه
        سريع انا متابعك
        بعرف انا قربت ولا بعيد كعادتي
        My sickness is called frozen mind
        and hopefully I'll find the cure for it

        تعليق


        • #5
          المشاركة الأصلية بواسطة [email protected] مشاهدة المشاركة
          ســـفاح مسموح أنا أجاوب ؟

          لو مسموح ومستعجل على الجواب إحكي معاي جوال دولي عشان أحضر وأضع الرد ... ومتأكد إنه صحيح ...

          متقول ياعم هو حد ماسكك
          ابدا الاول
          and please don't do this at home
          الله يستر بقول كل شي اعرفه وانت نقوا بعدين

          البورت 25 بورت SMTP
          وظيفتها مع البريد وخلافه
          احيانا بنستفيد منها في Mail relay
          وجماعة ال SPAM يعزوها
          نعدل على اعدادات ال MTA
          تكون تميز ما بين المستخدم الداخلي والخارجي
          نستخدم ال External authentication المستخدم ير سل ويستقبل لو كان مسجل في السيرفر

          نعمل تعطيل لل Mail Relay
          وبتختلف من خدمه الى اي خدمه اذا كانت postfix sendmail exim

          وبانتظار باقي الردود
          I didn't test this , did you ?

          كمان الموضوع هيختلف من خدمة لخدمة زي ما أنت قلت... عايزين حل جذري، أو على الأقل للexim و الsendmail بصفتهم الأكثر إستخداما.
          My-LiFe My Blog
          أنتظروا ثلاثة مفاجئات قريباً..
          I'm GONE !...WITHOUT h3h3!

          تعليق


          • #6
            لنفترض انه البريد بيسخدم ال SMTP
            عشان يرسل البريد
            احنا ممكن نعمل فلتره بالجدار الناري (IPTABLES or ip6tables )
            انه
            Disable all incomming connection from all ip's except 127.0.0.1
            المحلي فقط لا غير
            My sickness is called frozen mind
            and hopefully I'll find the cure for it

            تعليق


            • #7
              المشاركة الأصلية بواسطة DarkLinux مشاهدة المشاركة
              لنفترض انه البريد بيسخدم ال SMTP
              عشان يرسل البريد
              احنا ممكن نعمل فلتره بالجدار الناري (IPTABLES or ip6tables )
              انه
              Disable all incomming connection from all ip's except 127.0.0.1
              المحلي فقط لا غير
              الفايروول ما بيقدر يمنع الreverse connct-back ، لأنه الكونكشن بتكون قادمة من الداخل مو من الخارج ... وعلى فرض
              انك عملت الررول اللي كتبتها من شوي: Disable all incomming connection from all ip's except 127.0.0.1
              انت هيك منعت كل العالم يدخلوا على الجهاز؟!؟! افرض انت مشغل DNS أو Apache او اي خدمة ثانية ؟ اذن انت عزلت
              خادمك عن باقي العالم واصبح فقط للارسال

              اعتقد ان الاتصال العكسي لا يمنع عن طريق الفايروول بشكل عام، لأنه بالاساس مصمم ليخدع الجدار الناري والراوترات ولكن باستخدام IDS مناسبة واعدادات سيكيوريتي عالية للراوترات يمكنك كشف هذه الاتصالات ومنعها مباشرة... وحتى انني قرأت انه فعليا لا يوجد طريقة لمنع الاتصال العكسي ولن تستطيع منعه بشكل كامل مهما حاولت
              V.I.P

              (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
              هود 115

              Linux is user-friendly, but it happens to be selective about its friends

              "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


              مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


              تعليق


              • #8
                tcpstatflow
                There's no place like 127.0.0.1

                تعليق


                • #9
                  المشاركة الأصلية بواسطة Net_Spider مشاهدة المشاركة
                  tcpstatflow
                  برضو سوفتوير يعني وفي حتى اصدارات من snort بييجي مدمج معاها... بس اعتقد سفاح عايز حاجة باعدادات السيرفر
                  نفسها...
                  V.I.P

                  (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
                  هود 115

                  Linux is user-friendly, but it happens to be selective about its friends

                  "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


                  مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


                  تعليق


                  • #10
                    ممكن من خلال iptables
                    من خلال تحديد عدد الأتصالات على السرفر
                    فى هذا الروول أستقبال 10 أتصالات فقط فى 30 ثانية و درب القادم الذى أكثر من 30

                    iptables -I INPUT -p tcp --dport 110 -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP


                    iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP

                    تعليق


                    • #11
                      المشاركة الأصلية بواسطة shafey مشاهدة المشاركة
                      ممكن من خلال iptables
                      من خلال تحديد عدد الأتصالات على السرفر
                      فى هذا الروول أستقبال 10 أتصالات فقط فى 30 ثانية و درب القادم الذى أكثر من 30

                      iptables -I INPUT -p tcp --dport 110 -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP


                      iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP
                      مع احترامي اخ شافي بس انت يبدو مو فاهم مبدأ عمل الاتصال العكسي... ايش علاقة الINPUT بالموضوع؟؟
                      V.I.P

                      (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
                      هود 115

                      Linux is user-friendly, but it happens to be selective about its friends

                      "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


                      مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


                      تعليق


                      • #12
                        ناخذ الموضوع بتدرج
                        كيف يتم reverse connect-back
                        شيل يتم ترفيعه على السيرفر يشتغل في الخلفيه
                        بعدها يستخدموا النت كات ليتم الاتصال
                        ومن هناك يتم تشغيل كم سكريبت الين تاخد الصلاحيات وفي الثواني انت اخو رووت التوأم
                        وحده من الطرق
                        صح ولا غلط
                        My sickness is called frozen mind
                        and hopefully I'll find the cure for it

                        تعليق


                        • #13
                          حاولت أصمم صورة غبيه شوي عشان اشرح عليها حل ضمن مجال اختصاصي اللي هو البزنس و الانتربرايز يعني:




                          طيب ...نيجي للشرح... ال gateway يكون فايروول إما pure ipatbles أو smoothwall او اي فايروول معروف...
                          والسيرفر اللي رمز Real Server n هو الداتا سيرفر أو الويب او اي خدمة مهما كانت... الاعدادات راح تكون كالتالي:
                          انو أمنع كل الoutgoing connection من السيرفر n ما عدا للآي بي الخاص بالgateway ... والgateway راح يكون
                          طبعا جدا خفيف وما عليه خدمات ولا سكريبتات ولا شلات ولا بطيخ.. يعني الattacker ما راح يلاقي بيئة مناسبة
                          عشان يشغل السكريبتات الخاصة فيه على الgateway لعدم وجود مكتبات كافيه على الgateway اصلا،
                          ولا عليه php ولا اي بطيخ كما ذكرنا... والسيرفر اصلا ما بيطلع اي اتصال إلا للgateway او الفايروول.

                          طبعا شركات الهوست اللي ما عندهاش هاردوير خاص فيها اكيد ما راح ينفعها هذا الtechnique والله اعلم
                          V.I.P

                          (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
                          هود 115

                          Linux is user-friendly, but it happens to be selective about its friends

                          "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


                          مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


                          تعليق


                          • #14
                            المشاركة الأصلية بواسطة DarkLinux مشاهدة المشاركة
                            ناخذ الموضوع بتدرج
                            كيف يتم reverse connect-back
                            شيل يتم ترفيعه على السيرفر يشتغل في الخلفيه
                            بعدها يستخدموا النت كات ليتم الاتصال
                            ومن هناك يتم تشغيل كم سكريبت الين تاخد الصلاحيات وفي الثواني انت اخو رووت التوأم
                            وحده من الطرق
                            صح ولا غلط
                            in god we trust


                            بسم الله

                            مش شرط انك ترفع شيل ممكن تنفز الاومر بدون شيل

                            انت بدور علي ثغره ما

                            SQLinject

                            remote include

                            local include
                            وا حاجا انا مش فكر اسمها بتنفو الامر من الصفحه

                            و دي انت بتسحب اي script اتصال وتنفزه او حتي ممكن ترفع شيل

                            البقي ابقي دور انت

                            عمليات الاتصال نوعين

                            انك تتصل عكسي بس لزم انت تفتح بروت عاندك و لو السرفير ورا router
                            او firewall
                            زي مثلا wmf
                            حيتم

                            او انك تعمل bind و انت الي تتصل بي

                            و دي نسبه النجاح قليله لانك علشان ممكن ان الرجل يكون ورا firewall

                            او router

                            تتصل ممكن يكون محظوظ وتلقي الرجل مش عامل noexec

                            تجي ترفاع local root exploit تلقي دا اخر اصدر kernel

                            :stretcher:

                            تنتحر

                            بس كل دا LAMING
                            :star_wars:


                            نفكر شويه

                            انا طبعا لا محترف والا بتاع linux

                            بس الفكره انك تعمل block لل output كلها معدا البرنامج الي بتستخدمه في الميل زي qmail مثلا

                            الحوار دل عاوز host-based IDS
                            مش network-based IDS

                            معرافش لسه ممكن امنعه بس ال network-IDS
                            ولا لاء

                            ممكن تقربا تستخدم SElinux
                            او
                            AppArmor

                            تعليق


                            • #15
                              طيب ...نيجي للشرح... ال gateway يكون فايروول إما pure ipatbles أو smoothwall او اي فايروول معروف...
                              والسيرفر اللي رمز Real Server n هو الداتا سيرفر أو الويب او اي خدمة مهما كانت... الاعدادات راح تكون كالتالي:
                              انو أمنع كل الoutgoing connection من السيرفر n ما عدا للآي بي الخاص بالgateway ... والgateway راح يكون
                              طبعا جدا خفيف وما عليه خدمات ولا سكريبتات ولا شلات ولا بطيخ.. يعني الattacker ما راح يلاقي بيئة مناسبة
                              عشان يشغل السكريبتات الخاصة فيه على الgateway لعدم وجود مكتبات كافيه على الgateway اصلا،
                              ولا عليه php ولا اي بطيخ كما ذكرنا... والسيرفر اصلا ما بيطلع اي اتصال إلا للgateway او الفايروول.

                              loooooooooooooooooooooooooooooooool

                              هوا ال hosting حيكون علي ال gateway

                              تعليق

                              يعمل...
                              X