Cài đặt và cấu hình Snort

Trong bài viết này sẽ hướng dẫn việc cài đặt và cấu hình Snort từng bước một. Tuy nhiên, phạm vi áp dụng của hướng dẫn này là cài đặt Snort dùng làm NIDS, nếu cài làm HIDS thì có thể tối ưu một số tham số (ngoài phạm vi hướng dẫn này :D)

Bước 1: Cài các gói phụ thuộc

yum install -y wget gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel tcpdump

Cài đặt thêm gói libdnet:

Đối với bản RHEL6 and CentOS-6 32bit:

libdnet-1.11-1.2.el6.rf.i686.rpm

libdnet-devel-1.11-1.2.el6.rf.i686.rpm

Hoặc dành cho bản RHEL6 and CentOS-6 64bit:

libdnet-1.11-1.2.el6.rf.x86_64.rpm

libdnet-devel-1.11-1.2.el6.rf.x86_64.rpm   RHEL6 and CentOS-6 x86 64bit

Download file binary từ nguồn sau:

http://pkgs.repoforge.org/libdnet/

Hoặc từ http://pkgs.org

Cài đặt các gói tải về:.

yum install libdnet-1.11-1.2.el6.rf.i686.rpm

yum install libdnet-devel-1.11-1.2.el6.rf.i686.rpm

Bước 2: Cài đặt daq
download daq từ trang chủ snort, giải nén

cd /daq 

./configure && make && make install 

Bước 3. cài đặt snort
download file mã nguồn từ trang chủ snort, giải nén

cd  /snort 

./configure --prefix /usr/local/snort && make && make install

Bước 4: Cấu hình Snort

4.1 Tạo link shortcut cho snort

ln -s /usr/local/snort/bin/snort /usr/sbin/

4.2 Tạo thư mục ghi log

mkdir /var/log/snort

4.3 Download cấu hình cài đặt

Download snortrules-snapshot mới nhất trên trang chủ của Snort (Hoặc từ nguồn được cung cấp trong nội bộ)

Link có dạng như sau:
https://www.snort.org/downloads/registered/snortrules-snapshot-2970.tar.gz

Giải nén

tar –xvzf /usr/local/src/snort/snortrules-snapshot-2*

Cấu trúc thư mục:

Etc

Preproc_rules

Rules

So_rules

File cấu hình

Copy toàn bộ file và thư mục trong thư mục /usr/local/src/snort/snortrules-snapshot-2*/etc vừa giải nén vào thư mục /etc/snort trên máy (nếu chưa tồn tại thư mục này thì tạo thêm):

cp /usr/local/src/snort/snortrules-snapshot-2*/etc  /etc/snort

4.4 Tạo thư mục Snort_dynamicrules

mkdir /usr/local/snort/lib/snort_dynamicrules

copy toàn bộ thư viện dynamicrules vào thư mục snort_dynamicrules

cp /usr/local/snort/so_rules/precompiled/Centos-5-4/i386/2.9.7.0/*.so /usr/local/snort/snort_dynamicrules/

hoặc

cp /usr/local/snort/so_rules/precompiled/Centos-5-4/x86-64/2.9.7.0/*.so /usr/local/snort/snort_dynamicrules/

Để xác định đúng thư viện phù hợp với máy (bao gồm distro, và version), các bạn có thể check với

uname -a

Sau đó vào thư mục

/usr/local/snort/so_rules/precompiled/

để tìm đến phiên bản thích hợp với máy của mình (trong trường hợp này thì thư mục phù hợp với CentOS là Centos-5-4/i386)
4.5 Chỉnh sửa cấu hình của file config: /etc/snort/snort.conf
Thiết lập HOME_NET, EXTERNAL NET
ipvar HOME_NET <ipaddr>
<ipaddr>: là địa chỉ mạng sẽ giám sát, có thể thiết lập là các ip rời rạc: 10.0.0.1,10.0.0.2 hoặc cả dải mạng bao gồm subnet: 10.0.0.0/8, hoặc trong khoảng 10.0.0.2-10.0.0.100
EXTERNAL NET không phải là HOME NET
ipvar EXTERNAL_NET !$HOME_NET
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules

# If you are using reputation preprocessor set these
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Cấu hình đường dẫn tới thư viện dynamic preprocessor, preprocessor engine, dynamic rules
# path to dynamic preprocessor libraries
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/

# path to base preprocessor engine
dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

# path to dynamic rules libraries
dynamicdetection directory /usr/local/lib/snort_dynamicrules
Thiết lập flowbit với giá trị 2048
# Configure maximum number of flowbit references.  For more information, see README.flowbits
 config flowbits_size: 2048
Bước 5: Rules snort
Copy toàn bộ các rules trong thư mục rules đi kèm trong bộ cài đặt được cung cấp. Nếu có chỉ dẫn khác thì sẽ nhận rules từ nguồn đó.
Bước 6: Test xem snort đã được cấu hình đúng và có thể chạy được chưa

snort -c /usr/local/snort/etc/snort.conf -T

nếu kết quả trả vê như sau:

Snort successfully validated the configuration!

Snort exiting

Thì đã thành công.
Bước 7. Tạo service cho Snort
Copy file snortd tại đường dẫn: /usr/local/src/snort/snort-2.9.7.0/rpm/snortd
cp /usr/local/src/snort/snort-2.9.7.0/rpm/snortd /etc/init.d
chkconfig --add snortd
Thay thế dòng sau trong file snortd:
/usr/sbin/snort/ bằng /usr/local/bin/snort
Bước 8: Cấu hình trong Sysconfig
Copy file snort.sysconfig vào thư mục /etc/sysconfig
cp /usr/local/src/snort/snort-2.9.7.0/rpm/snort.sysconfig /etc/sysconfig/snort
Cấu hình các interface mà Snort sẽ monitor
Tìm đến dòng INTERFACE=
Và thiết lập giá trị là ALL: INTERFACE=ALL
Cấu hình chế độ ghi alert của Snort
Tìm đến dòng: ALERTMODE=
Thiết lập giá trị là fast: ALERTMODE= fast

Bước 9: Phân quyền

Tạo nhóm snort và group snort:

groupadd -g 40000 snort

useradd snort -u 40000 -d $LOG_SNORT -s /sbin/nologin -c SNORT_IDS -g snort

Thiết lập quyền 700 và chủ sở hữu (owner) là snort, nhóm sở hữu (group) là snort cho các thư mục: /etc/sysconfig/snort, /usr/local/bin/daq-modules-config, /var/log/snort, /etc/snort, /usr/local/snort

chown -R snort:snort /var/log/snort

chmod 700 /var/log/snort

chown -R snort:snort /usr/local/snort

chmod -R 700 /usr/local/snort

chown snort:snort /usr/local/bin/daq-modules-config

chmod 700 /usr/local/bin/daq-modules-config

chown -R snort:snort /etc/snort

chmod -R 700 $ETC_SNORT

chown -R snort:snort /etc/sysconfig/snort

chmod 700 /etc/sysconfig/snort

Xử lý lỗi

Nếu bị lỗi: "libdnet.1: cannot open shared object file: No such file or directory"

=> ln -s /usr/local/lib/libdnet.1.0.1 libdnet.1

Nếu gặp lỗi: snort: error while loading shared libraries: libsfbpf.so.0: cannot open shared object file: No such file or directory

=>ldconfig

Nếu có lỗi khác thì cần check lại xem lỗi liên quan đến thư viện nào và cấu hình cho phù hợp.

 --- Jukai Helios ---

21 nguyên tắc của các triệu phú “tay trắng làm nên”

Bằng cách nghiên cứu các hành vi ứng xử của hàng ngàn triệu phú giàu lên nhờ vào chính bản thân mình, Brian Tracy – Chủ tịch kiêm Tổng Giám đốc điều hành của Brian Tracy International, một công ty chuyên về đào tạo và phát triển cá nhân và các tổ chức, đã đúc rút được 21 phẩm chất làm nên thành công của họ. Bản thân Brian Tracy đã từng tư vấn cho hơn 1.000 công ty và hơn bốn triệu người ở Mỹ, Canada và 40 nước khác trên thế giới. 

​

Những nguyên tắc mà Tracy đưa ra có thể đã trở nên quá hiển nhiên đối với nhiều người, nhưng đó là những nguyên tắc bất hủ và phải luôn được đề cao. Khi áp dụng các nguyên tắc này, các doanh nhân có thể tạo ra những thay đổi lớn trong suy nghĩ, hành động, thói quen, thu nhập và lối sống của mình…

1. Nuôi dưỡng những ước mơ lớn. Hãy hình dung, tưởng tượng và tạo ra một bức tranh, một viễn cảnh đầy niềm vui, bình yên và giàu có.

Thiết lập proxy cho Linux

Ngoài câu lệnh truyền thống để thiết lập proxy tạm thời:

http_proxy=http://user:password@proxyaddress:port
export http_proxy

Cấu hình proxy cho apt-get


Để thiết lập proxy cho lệnh apt-get trong các phiên bản ubuntu, debian...  cần phải ấn định proxy server trong file cấu hình apt.conf. Cấu hình proxy cần đầy đủ cả domain/IP và port. Nếu proxy yêu cầu xác thực với username/password thì cần thiết lập theo cú pháp như sau:
http://user:password@proxyserver:port

Các bước thực hiện như sau:
B1: Mở file apt.conf:

sudo vi /etc/apt/apt.conf (Nếu file này chưa tồn tại thì nó sẽ được tạo mới)

Phòng tránh mất cắp dữ liệu cá nhân trước cuộc tấn công POODLE

POODLE (Padding Oracle On Downgraded Legacy Encryption)

Đây là một tấn công mới nhắm tới SSLv3. Cuộc tấn công này có mức độ nguy hiểm có thể gây thiệt hại lớn cho cá nhân người sử dụng. Do nếu thực hiện thành công thì kẻ tấn công có thể lấy được dữ liệu người dùng như cookie, password, thông tin thẻ tín dụng … mà nạn nhân không hề nhận biết là mình bị tấn công. Tuy nhiên, tấn công này không dễ thực hiện và cũng cần có thời gian.

Tấn công này ảnh hưởng trực tiếp tới người sử dụng, do vậy thay vì đợi các nhà cung cấp dịch vụ đưa ra giải pháp khắc phục, người dùng có thể và nên tự mình chủ động phòng tránh bị mất dữ liệu bởi cuộc tấn công trên như sau:

1.      Đối với trình duyệt Internet Explorer

Chọn Internet Option à chọn thẻ Advanced à kéo xuống đến phần security à bỏ tick ô Use SSL 3.0

Xem hình minh họa với Internet Explorer 11

Bỏ tích với SSLv3

Stay hungry, stay foolish - Hãy luôn khao khát, hãy cứ dại khờ

Đây là một bài phát biểu rất nổi tiếng của Steven Jobs, CEO của Apple, cho các bạn sinh viên mới ra trường. Bài phát biểu này đã đem đến rất nhiều điều tốt đẹp cho cuộc sống của tôi. Hy vọng nó cũng sẽ đem đến điều đó cho bạn ( Nguyệt Anh)

********

Tôi rất vinh dự được có mặt tại lễ phát bằng tốt nghiệp của các bạn ngày hôm nay tại một trường đại học danh giá bậc nhất thế giới. Tôi chưa bao giờ có bằng tốt nghiệp đại học.
Nói một cách trung thực nhất thì thực ra, tôi chưa bao giờ học đại học. Ngày hôm nay, tôi muốn kể cho các bạn nghe ba câu truyện đã từng xẩy ra trong cuộc đời tôi. Chỉ như vậy thôi, không có gì to lớn, chỉ đơn giản là ba câu truyện.

Câu chuyện thứ nhất là về việc kết nối những dấu chấm
(Connecting the dots – nối những dấu chấm từ hàng vạn cái chấm hỗn độn - để thấy con đường mình sẽ phải đi)
Tôi đã bỏ học chỉ sau sáu tháng theo học trường cao đẳng Reed, tôi lưu lại đó tạm thời trong vòng 18 tháng nữa trước khi tôi chính thức rời trường Reed.

Tại sao tôi lại bỏ học?

Tôi đã bắt đầu điều đó khi tôi mới được sinh ra. Mẹ ruột của tôi là một nữ sinh viên trẻ, độc thân và bà đã quyết định cho tôi đi làm con nuôi. Bà thực sự muốn tôi được làm con nuôi của những người đã tốt nghiệp đại học. Vì thế, tất cả mọi chuyện đã được sắp đặt để tôi trở thành con nuôi của một cặp vợ chồng luật sư. Tuy nhiên, tất cả chuyện đó đã bị thay đổi ở phút cuối cùng khi tôi vừa cất tiếng khóc chào đời, họ đã đổi ý và muốn nhận một đứa bé gái làm con nuôi chứ không phải tôi.

Cài đặt Snort trên Windows

1.      Download bản Snort mới nhất từ Snort.org

2.      Cài đặt Snort từ file download về. Lưu ý cần phải install Winpcap version từ 4.1.1 trở lên

3.      Cấu hình Snort

File cấu hình của Snort (snort.conf) nằm trong thư mục \Snort\etc/ (ví dụ: c:\Snort\etc\snort.conf.).

Chỉnh sửa file cấu hình để cài đặt như sau:

-          Thay thế ipvar bằng var

-          Thay thế HOME_NET bằng địa chỉ mà Snort sẽ bảo vệ

Tìm tới đoạn:

     Chuyển thành:

X Windows over SSH on Windows

Trong tài liệu đính kèm sẽ hướng dẫn cách remote đến một ứng dụng có giao diện trong CentOS qua SSH.
Đối với server (CentOS):
-  Khởi động chế độ remote SSH: /etc/init.d/sshd start 

-  Khởi động X server: run with level 5 để bật X server

    Thực hiện command: /sbin/init 5
    hoặc chỉnh sửa trong /etc/inittab: 
       mở /etc/inittab bằng vim tìm đến dòng:
      id:3:initdefault: 
      chuyển sang:
      id:5:initdefault:

Sqli Dork

+union+select+from
+union+select+pass
+union+select+SHOP
+union+select+admin
index.php?id=
trainers.php?id=
buy.php?category=
article.php?ID=
play_old.php?id=
declaration_more.php?decl_id=
pageid=
games.php?id=
page.php?file=
newsDetail.php?id=
gallery.php?id=
article.php?id=
show.php?id=
staff_id=
newsitem.php?num=
readnews.php?id=
top10.php?cat=
historialeer.php?num=
reagir.php?num=
Stray-Questions-View.php?num=
forum_bds.php?num=
game.php?id=
view_product.php?id=
newsone.php?id=
sw_comment.php?id=
news.php?id=
avd_start.php?avd=
event.php?id=
product-item.php?id=
sql.php?id=
news_view.php?id=
select_biblio.php?id=
humor.php?id=
aboutbook.php?id=
ogl_inet.php?ogl_id=
fiche_spectacle.php?id=
communique_detail.php?id=
sem.php3?id=

Google Dorks For Finding Shells

ntitle:webr00t cgi shell
“inurl:.root”.”webr00t cgi shell”
“intitle:Index of */sym”.”inurl:/sym”
“5.2.17 Safe mode:”
“5.2.11 Safe mode:”
“5.2.12 Safe mode:”
“Sifre=webr00t”
“5.2.11 Safe mode:”
“5.2.10 Safe mode:”
“5.2.1 Safe mode:”
intxt:”webadmin.php”
inurl:webadmin.php”
intitle: Linux * 2.6.18-348.1.1.el5PAE
intitle: – WSO 2.3
intitle: – WSO 2.4
intitle: – WSO 2.5
intitle: – WSO 2.5.1
5.2.16 Safe mode: OFF [ phpinfo ] Datetime:
2009 i686 Server IP:
2010 i686 Server IP:
2011 i686 Server IP:
2012 i686 Server IP:
2013 i686 Server IP:
“Userful: gcc, cc, ld, make, php, perl, python, tar, gzip, bzip2, nc, locate”
“Downloaders: wget, lynx, links, curl, lwp-mirror”
“Type Host Login Password Database”
“Execution PHP-code”
“reverse (login -> nigol)”.”/etc/passwd”
” Bind port to /bin/sh [perl]“
“drwxr-xr-x [ home ]“
inurl:wso2.php
inurl:wso2.4.php
inurl:wso2.5.php
inurl:wso2.5.1.php

PHP Webshells

WSO 2.5.1

Features:

- Authorization for cookies
- Server Information
- File manager (copy, rename, move, delete, chmod, touch, creating files and folders)
- View, hexview, editing, downloading, uploading files
- Working with zip archives (packing, unpacking) + compression tar.gz
- Console
- SQL Manager (MySql, PostgreSql)
- Execute PHP code
- Working with Strings + hash search online databases
- Bindport and back-Connect (Perl)
- Bruteforce FTP, MySQL, PgSQL
- Search files, search text in files
- Support for * nix-like and Windows systems
- Antipoiskovik (check User-Agent, if a search engine then returns 404 error)
- You can use AJAX
- Small size. The boxed version is 22.8 Kb
- Choice of encoding, which employs a shell. 

Changelog (v2.5.1):

- Remove comments from the first line .
- Added option to dump certain columns of tables.
- the size of large files are now well defined .
- in the file properties field “Create time” changed to “Change time” (http://php.net/filectime).
- Fixed a bug that caused not working mysql brute force if there was a port of the server .
- Fixed a bug due to which one can not see the contents of a table called download in the database. 

Download: http://pastebin.com/V8XZkGzg

Madspot Shell

Features: