FreeBSD – бесплатная операционная система с открытым исходным кодом.

NFS (Network File System) – это серверное и клиентское приложение, которое превращает FreeBSD в сервер обмена файлами.

Пользователи могут загружать или обновлять файлы на удаленном сервере NFS.

NFS является стандартом для устройств NAS (подключенных к сети) или совместно использует данные для веб-серверов.

Новая ошибка, обнаруженная в коде сервера NFS, которая может позволить удаленному злоумышленнику свернуть сервер NFS, что приведет к атаке отказа в обслуживании (DoS).

Другая возможность – выполнить произвольный код на сервере.

Несколько уязвимостей в коде сервера NFS FreeBSD

Из списка рассылки:

Сетевая файловая система (NFS) позволяет хосту экспортировать некоторые или все его файловые системы, чтобы другие хосты могли обращаться к ним по сети и монтировать их, как если бы они были локальными. FreeBSD включает как серверные, так и клиентские реализации NFS.

Недостаточная и неправильная проверка кода сервера NFS может привести к отказу в обслуживании или, возможно, удаленному выполнению кода через специально созданный сетевой пакет.

Обходной путь недоступен, но системы, которые не предоставляют службы NFS, не уязвимы.

Кроме того, настоятельно рекомендуется, чтобы порт службы NFS (номер порта 2049 по умолчанию) был защищен с помощью брандмауэра на базе хоста или сети, чтобы предотвратить возможность подключения произвольных и ненадежных клиентов.

Как исправить уязвимости FreeBSD NFS

Можно исправить FreeBSD с помощью бинарного метода.

Все, что вам нужно сделать, это ввести следующие две команды в качестве пользователя root:

# uname -mrs

# freebsd-update fetch

Установите обновления:

# freebsd-update install

Installing updates... done.

После исправления просто перезагрузите ваш FreeBSD:

# reboot

или

# shutdown -r now

Проверка

После перезагрузки убедитесь, что у вас появилось новое ядро.

Вы можете узнать версию FreeBSD и номер патча, выполнив следующие команды:

# freebsd-version

# uname -mrs

Обратите внимание: если вы используете настраиваемое ядро, вам необходимо скомпилировать ядро FreeBSD.

Бинарный метод, основанный на freebsd-update, работает только в том случае, если вы используете стоковое ядро FreeBSD.

# svn update /usr/src/

# more /usr/src/UPDATING

# cp -v /usr/src/share/examples/jails/VIMAGE /usr/src/sys/amd64/conf/VIMAGE

# cd /usr/src/

# make -j 16 KERNCONF=VIMAGE kernel

# reboot

# freebsd-verion 

Сегодня я нашел уязвимость в WordPress. Хакеры могут использовать его, чтобы получить исходный IP-адрес вашего сервера, чтобы они могли запустить DDOS-атаку.

Вот как они могут это получить и как вы можете остановить это.

Как получить исходный IP-адрес сервера через регистрацию пользователя

Шаг 1. Зарегистрируйте учетную запись на своем сайте WordPress.

Перейдите к одному из следующих URL-адресов, чтобы зарегистрировать аккаунт

yourdomain.com/wp-admin



yourdomain.com/wp-login.php



yourdomain.com/wp-login.php?action=register

Введите имя пользователя и адрес электронной почты.

Как администратор вашего сайта WordPress, вы получите уведомление по электронной почте о том, что новый пользователь регистрирует учетную запись на вашем сайте.

В то же время ваш сайт отправит электронному письму новому пользователю (потенциальному атакующему), чтобы установить пароль.

Шаг 2. Откройте исходное сообщение электронной почты

Вместо того, чтобы устанавливать пароль, хакер открывает исходное сообщение электронной почты.

В Gmail откройте письмо, отправленное WordPress, и в правом верхнем углу нажмите стрелку раскрывающегося списка и выберите показать оригинал.

В Mozilla Thunderbird откройте письмо, отправленное WordPress.

В правом верхнем углу нажмите кнопку «More» и выберите «View Source» в раскрывающемся меню.

Вот как выглядят первые несколько строк исходного сообщения:

Return-Path: <admin@yourdomain.com>   

Received:from yourdomain.com([12.34.56.78])<< Это оригинальный IP-адрес вашего сервера!

        by smtp.gmail.com with ESMTPSA id 388343daereqrefa.19.2016.01.05.21.32.31

        for <the-hacker@gmail.com>

        (version=TLS1 cipher=AES128-SHA bits=128/128);

        Tue, 05 Jan 2016 21:32:33 -0800 (PST)

В строке Received: from хакер может увидеть исходный IP-адрес вашего сервера!

Даже если ваш сервер использует внешний SMTP-сервер для отправки электронной почты, исходный IP-адрес сервера все еще можно увидеть в исходном сообщении электронной почты.

X-Received: by 10.66.155.8 with SMTP id qrer3439005dfd.18.1452058439952;

        Tue, 05 Jan 2016 21:33:59 -0800 (PST)

Return-Path: <smtp@external.com>

Received:from yourdomain.com ([12.34.56.78]) << Это оригинальный IP-адрес вашего сервера!

        by smtp.external.com with ESMTPSA id rewre134373dfa.35.2016.01.05.21.33.57

        for <the-hacker@gmail.com>

        (version=TLS1 cipher=AES128-SHA bits=128/128);

        Tue, 05 Jan 2016 21:33:59 -0800 (PST)

Почему это плохо для вас?

Если вы используете службу CDN ( а вы должны), исходный IP-адрес вашего сервера защищен CDN.

Когда люди ищут IP-адрес вашего сервера в DNS, они получат IP-адрес, указывающий на узел CDN.

Если хакер запускает DDOS-атаку на ваш домен, этот плохой DDOS-трафик будет поступать на узлы CDN, развернутые по всему миру вашим поставщиком CDN.

Ваш исходный сервер не получит эти вредоносные DDOS-запросы.

Но если хакер обнаружил исходный IP-адрес вашего сервера по электронной почте, он может запустить DDOS-атаку непосредственно на ваш исходный IP-адрес.

За короткий промежуток времени ваша загрузка сервера увеличивается, и ваша пропускная способность заканчивается.

Легальные посетители получат сообщение об отказе в обслуживании в своем браузере.

Как остановить это

Вы можете остановить его, отключив регистрацию пользователя на своем сайте WordPress.

На панели инструментов WordPress откройте «Настройки»> «Общие».

Снимите отметку в графе Членство – 

Ссылка регистрации на вашем сайте исчезнет.

Таким образом, посетители не могут зарегистрироваться на вашем сайте, и ваш сайт не будет отправлять какие-либо письма хакерам.

Суть

Ваш веб-сервер должен отправлять электронную почту только себе или администратору.

Вы должны настроить свой почтовый сервер на другом сервере.

Grafana – это потрясающий инструмент, который позволяет визуализировать ваши журналы.

Компании во всем мире используют этот удивительный проект, чтобы лучше понять визуализированные логи.

Есть только одна вещь, которая, кажется, забывается, когда дело доходит до таких удивительных проектов, как проект Grafana.

Вы всегда должны проверять, была ли ваша среда защищена, что означает, невозможность того, что кто-то может достичь этой среды и что-то там сделать.

Потому что после небольшого запроса Google Dork я заметил, что вы можете найти десятки публичных проектов Grafana, которые хранят и визуализируют различные файлы журналов.

Google Dork:

intext:Docs Support Plans Community Grafana New version available! -grafana.com -grafana.org inurl:/login

см. также

• Как установить инструмент мониторинга Grafana на Ubuntu 18.04 LTS
• Как установить Prometheus на Ubuntu 18.04
• dorkbot — Инструмент командной строки для Google доркинга
• DorkMe — поисковик Google дорков
• Прекратите использовать Trello в качестве менеджера паролей (как получить пароль пользователей с помощью Google Dorks
• SQLiv – SQL Injection Dork Scanning Tool
• Коллекция Google список дорков для SQL инъекции- SQL дорки 2018
• Snitch — сбор информации через дорки

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

В основном обновление ядра Linux потребует перезагрузки системы.

Новое ядро не вступает в силу до перезагрузки системы.

В среднем ядро Linux получает обновления безопасности и исправления ошибок примерно раз в месяц.

Для критической системы мы не можем планировать время простоя один раз в месяц, потому что у нее много зависимостей, и мы не получим одобрение руководства.

Как преодолеть это? Да, у нас есть опция в Oracle Premier Support.

Она называется Ksplice.

Что такое Ksplice

Oracle Ksplice позволяет поддерживать безопасность и доступность ваших систем, позволяя вам обновлять свои системы с помощью последних исправлений безопасности ядра и других критических обновлений.

Он обновляет текущее изображение ядра без необходимости перезагрузки.

Он обновляет текущее ядро в памяти.

Обновление Ksplice вступает в силу сразу же после его применения.

Это не изменение на диске, которое вступает в силу только после последующей перезагрузки.

Убедитесь, что ваша система должна быть зарегистрирована в Unbreakable Linux Network (ULN), чтобы использовать Ksplice.

Вы можете использовать Oracle Ksplice, если у вас есть учетная запись поддержки Oracle Linux Premier.

Обратитесь к следующему URL-адресу для регистрации системы с помощью Unbreakable Linux Network (ULN).

После того, как вы прошли регистрацию в Unbreakable Linux Network (ULN), подпишите свои системы на канал Ksplice для Oracle Linux и установите на них программное обеспечение Ksplice Uptrack

Как зарегистрировать систему для использования Oracle Ksplice в ULN

Если у вас уже есть учетная запись в ULN, вы можете зарегистрировать свою систему для использования Ksplice Uptrack.

Залогиньтесь в ULN @ http://linux.oracle.com.

Нажмите кнопку регистрации Ksplice Uptrack Registration на домашней странице ULN и выберите идентификаторы поддержки клиентов (CSI), которые вы хотите использовать, и нажмите «Register».

На экране отображается подтверждение, что была создана учетная запись Ksplice, и письмо электронной почты, содержащее ключ доступа Ksplice.

То же самое было проверено через портал ULN.

Используйте учетную запись Oracle SSO для входа в веб-интерфейс Ksplice по адресу https://status-ksplice.oracle.com/ и регистрации систем.

На данный момент система не зарегистрирована. То же самое было проверено на следующем скриншоте.

Как установить Ksplice Uptrack

Просто запустите следующие команды для установки Ksplice Uptrack.

Убедитесь, что вы запускаете следующие команды как root.

Он предлагает скрипт установки, поэтому запустите следующие команды как root и замените YOUR_ACCESS_KEY своим ключом доступа.

Если вы хотите включить автоматическое обновление, установите autoinstall = yes в файле /etc/uptrack/uptrack.conf после установки.

# wget -N https://www.ksplice.com/uptrack/install-uptrack

# sh install-uptrack YOUR_ACCESS_KEY

В качестве альтернативы мы можем добавить параметр –autoinstall в команду install-uptrack.

# sh install-uptrack YOUR_ACCESS_KEY --autoinstall

По умолчанию Ksplice Uptrack будет переустанавливать перезагружаемые обновления во время процесса загрузки, чтобы вы оставались в безопасности даже после перезагрузки.

Вы можете настроить это поведение, изменив параметр install_on_reboot в /etc/uptrack/uptrack.conf.

# vi /etc/uptrack/uptrack.conf

install_on_reboot = [no or yes]

Да, теперь я могу видеть список зарегистрированных систем.

Просмотр доступных обновлений и установленных обновлений.

Используйте приведенную ниже страницу, чтобы разрешить или запретить системе использовать ksplice uptrack.

Чтобы перечислить доступные обновления Ksplice, используйте следующие команды uptrack-upgrade.

# uptrack-upgrade -n

или

# uptrack-show --available

Available updates:

[fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.

[9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.

Чтобы установить все доступные обновления Ksplice:

# uptrack-upgrade -y

The following steps will be taken:

Install [guclwyc2] CVE-2012-0957: Information leak in uname syscall.

Install [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.

Install [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.

Install [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.

Install [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.

Installing [guclwyc2] CVE-2012-0957: Information leak in uname syscall.

Installing [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.

Installing [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.

Installing [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.

Installing [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.

Your kernel is fully up to date.

Effective kernel version is 3.8.13-118.20.3.el6uek

Просмотр установленных обновлений.

# uptrack-show

Installed updates:

[guclwyc2] CVE-2012-0957: Information leak in uname syscall.

[j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.

[r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.

После запуска команды uptrack-upgrade мы можем видеть, как эффективное ядро запускает компьютер.

Ksplice Uptrack не изменяет вывод uname. Запустите uptrack-uname, чтобы увидеть обновленное запущенное ядро на машине.

# uname -r

3.8.13-68.2.2.el6uek



# uptrack-uname -r

3.8.13-118.20.3.el6uek

Чтобы удалить все обновления из ядра.

# uptrack-remove -y

или

# uptrack-remove --all

The following steps will be taken:

Remove [guclwyc2] CVE-2012-0957: Information leak in uname syscall.

Remove [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.

Remove [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.

Remove [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.

Remove [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.

Чтобы удалить Uptrack.

# yum -y remove uptrack