книги хакеры / журнал хакер / 114_Optimized

squid_redirectскачиваетсяскрипт,которыйзатемкопируется наместо/usr/bin/adzapper.Всамомконцеadzapper,в областиDATA,находитсясписокшаблоновURL.Хотяопыт показывает,чтоегообновляютнеоченьчасто.

Уконфигурационногофайла/etc/adzapper.confнастроекнемного.Еслиустановитьзначение:

ZAP_MODE="CLEAR"

тобудетиспользоваться«тихая»блокировка,безвыводауказаннойвышенадписи.Прижеланиитекстлегкоподменить своим.Адрес,откудазагружаютсякартинки,указываетсяв двухпеременных:

ZAP_BASE=http://adzapper.sourceforge.net/ zaps ZAP_BASE_SSL=https://adzapper.sourceforge. net/zaps

НиктонемешаетздесьуказатьсвойURL,—разработчики дажерекомендуюттакойвариант.Дляэтого,естественно, необходимрабочийвеб-сервер,например,Apache.Послеус-

тановкиadzapperвкаталоге/usr/share/doc/adzapper/ examples/zapsнаходятсявсенужныешаблоны.Теперьдостаточновконфигурационномфайлеапача/etc/apache2/ apache2.confуказатьалиаснаэтоткаталог:

$sudomcedit/etc/apache2/apache2.conf

Alias /zaps /usr/share/doc/adzapper/examples/ zaps/

<Directory /usr/share/doc/adzapper/examples/ zaps/>

Options FollowSymLinks Indexes AllowOverride Limit

Order Allow,Deny Allow from all

</Directory>

ИпоправитьзначениеZAP_BASE:

ZAP_BASE=http://localhost/zaps

НезабывайперезапуститьApacheиSquid.Еслиестьжелание, можноизменитьфайлы,находящиесявнутрикаталогаzaps, насвои.Увы,частьрекламывсежепрорываетсясквозь такойзаслон.Чтобыневозитьсясacl,можнодобавитьвэту схемуBfilter(bfilter.sf.net),гдеиспользуетсяэвристический алгоритмсобственнойразработки,позволяющийобнаруживатьбольшуючастьбаннеровиблокироватьвсплывающие окна.ИлидобавитьsquidGuard(www.squidguard.org),речьо которомпойдетниже.

Борьба с вирусами

Баннеры—несамаянеприятнаявещь,которуюможно встретитьнасайтах.Большаячастьвирусовзагружаетсяс различныхресурсовсамимипользователями.Задачалюбого админа—недопуститьподобного.Можнопростоблокиро- ватьфайлысопределеннымрасширениемилитипом.Но этоневсегдаприменимо.Поэтомудавайразбираться,как добавитьвнашусхемупроверкутрафикаантивирусом.

Длянашейцелиподходят,какминимум,двапроекта.Ре-

шениеSquidClamAv(sf.net/projects/squidclamav)является редиректором,работающимсантивирусомClamAV.Оно позволяетвыборочнопроверятьфайлы,основываясьна

ХАКЕР.PRO

ДиагностическиесообщенияHAVP

таккаквесьвходящийтрафикпроверяетсяантивирусом,а страницыизкэшаSquidвыдаютсябезпроверки.Открываем squid.conf ипишем:

#Порт и адрес, на котором принимает соединения

HAVP PORT 8080

BIND_ADDRESS 127.0.0.1

#Можно дополнительно указать IP-адрес интерфейса для исходящих пакетов

#SOURCE_ADDRESS 1.2.3.4

#Указываем Squid в качестве Parent прокси

PARENTPROXY 127.0.0.1 PARENTPORT 3128

Теперьподключаемсявеб-браузеромкпорту8080ипри подключенииксерверупроходимцепочкуHAVPSquid Веб-сервер.Естьнесколькомоментоввконфигурационном файле,накоторыехотелосьбыобратитьвнимание.Например,пользовательигруппа,отименикоторыхработает HAVP,указанывпараметрах:

ИнформацияобобнаруженныхвирусахвлогахHAVP

USER havp

GROUP havp

HAVPдолжениметьправочтенияизаписивовсерабочие каталоги.Крометого,приработесантивирусомчастопоявляетсяошибка«Permissionsdenied».Чтобывдальнейшемне былопроблемсдоступом,ядобавляюпользователяhavpв

группуclamav.

Количествопроцессов,запускаемыхдемономHAVP,определяетсядвумяпараметрами:

SERVERNUMBER 8

MAXSERVERS 100

Значенияпоумолчаниюподходятдлядомашнегоиспользованияилидлянебольшойорганизации.SERVERNUMBER устанавливаетсявзависимостиотколичестваклиентов. Вотещедванеменееценныхпараметра:

SCANTEMPFILE /var/spool/havp/havp-XXXXXX TEMPDIR /var/tmp

ЗдесьуказываетсяразмещениевременныхфайловHAVP икаталогдлявременныхфайловантивируса.Вруководст­ вах,доступныхвСети,идокументацииHAVPсказано,что

SCANTEMPFILEдолженнаходитьсявразделе,смонтированномсиспользованиемпараметраmand.Майнтейнерпакета упростилнамзадачу,ивстартовомскрипте/etc/init. d/havpестьвсе,чтонужно.Вэтомможноубедиться,введя командуmountпослезагрузкиHAVP:

$ mount

/var/lib/havp/havp.loop on /var/spool/havp type ext3 (rw,mand,loop=/dev/loop/0)

Хотяприбольшихнагрузкахнасерверлучшевынестиэтот каталогвОЗУ:

$ sudo mount -t tmpfs -o size=100M,mand tmpfs /var/spool/havp

ВкомплектеHAVPестьнесколькошаблоноввеб-страниц, которыевыводятся юзеруприобнаружениивирусаивозникновениидругихпроблем.Подключаемрусскиешаблоны:

TEMPLATEPATH /etc/havp/templates/ru

>>

ХАКЕР

конфигsquidguard

Кстати,можноподправитьhtml-файлывнутриэтогокаталогапосвоему вкусу.ВHAVPтакжеподдерживаютсябелыйичерныйсписки.Всяинформацияизпервогопроходитбезпроверкинавирусы,аURL,занесенныево второйсписок,блокируются:

WHITELISTFIRST true

WHITELIST /etc/havp/whitelist

BLACKLIST /etc/havp/blacklist

ВнутриэтихфайловсодержатсяшаблоныURL.Например,еслизанести вwhitelistстроку«*/*.gif», тогдавсеGIF-файлыбудутпроходитьбез проверки.НекоторыетипыархивовClamAVпроверятьнеумеет.Чтобы пользовательнеполучалсообщениеобошибке,разрешимпропускать такиефайлы,азаодноотключимсканированиеизображений,ограничим размерпроверяемыхобъектовипроизведемнебольшуюоптимизацию:

FAILSCANERROR false SCANIMAGES false MAXSCANSIZE 5000000

STREAMUSERAGENT Player Winamp iTunes QuickTime Audio RMA/ MAD/ Foobar2000 XMMS

Теперьразберем,какподключаетсякHAVPантивирусClamAV.Поумолчаниюпроверкапроизводитсяприпомощиlibclamav:

ENABLECLAMLIB true

CLAMDBDIR /var/lib/clamav

Причем,нужнопроследить,чтобыпараметрCLAMDBDIRуказывалнатот жекаталог,чтоипараметрDatabaseDirectoryвфайле/etc/clamav/ clamd.conf.Впрочем,есливжурналеHAVP/var/log/havp/access. log видимзаписьвроде:

— Initializing ClamAV Library Scanner

ClamAV: Using database directory: /var/lib/clamav/ ClamAV: Loaded 244019 signatures (engine 0.92)

ClamAV Library Scanner passed EICAR virus test (Eicar- Test-Signature)

— All scanners initialized Process ID: 8406

— значит,всепутем,иничеготрогатьненужно.Далеевhavp.config идутпараметры,определяющиеповедениеClamAVприсканировании зашифрованныхархивов,максимальныйразмерпроверяемогофайлаи др.Чтобывместоlibclamavиспользовалсядемонclamd,комментируем предыдущиестрокиипишем:

ENABLECLAMD true

CLAMDSOCKET /var/run/clamav/clamd.ctl

ЗначениевторогопараметраберемизпеременнойLocalSocketфайла clamd.conf.Этокакразтотслучай,когдавключениеhavpвгруппу clamavбудетнелишним.

тяжелая артиллерия — SQUidgUARd

БезsquidGuardописаниеполезныхдополненийкSquidбылобынеполным.Возможностейунегопредостаточно,частоадминынеиспользуют иполовинуизних.СпомощьюsquidGuardможноотфильтровыватьи переадресовыватьзапросыпоадресам,именамирегулярнымвыражениям,распределятьпользователейпогруппамсзаданиемсобственных настроекиуказаниемвременногопромежутка.Например,разрешить группепосещатьтолькоресурсыизбелогосписка.ДляускоренияобработкибольшихсписковонихранятсявBerkeleyDB.УстановкавUbuntu сложностейневызывает:

$ sudo apt-get install squidguard

ПодключаетсяsquidGuardкSquidтакже,какиостальныередиректоры

—простодобавляемвsquid.confстрокудлязапуска:

redirect_program /usr/bin/squidGuard redirect_children 5 redirector_bypass on

ВсенастройкиsquidGuardпроизводятсявконфигурационномфайле /etc/squid/squidguard.conf.НовначаленужнопояснитьструктуруБД.Переменнаяdbhomeуказываетнакаталог,вкоторомхранятся описанияресурсов.ВUbuntuинекоторыхдругихдистрибутивах—это /var/lib/squidguard/db.Приустановкеспомощьюпакетовкаталог пуст,поэтомупридетсясамомупозаботитьсяоегонаполнении.Список blacklistможновзятькакизархиваисходныхтекстовпрограммы,таки выбратьлюбойпоссылкеBlacklistsнасайтепроекта.Списки,предлагаемыестороннимиорганизациями,гораздополнееиобновляютсячаще, поэтомуихибудемиспользовать.Например:

$ wget -c www.shallalist.de/Downloads/shallalist.tar.gz

$sudo tar xzvf shallalist.tar.gz -С /var/lib/squidguard/db

Врезультате,внутритыобнаружишьцелуюструктурукаталоговсназваниямивродеads,warezипрочее.Порядокследованияоченьважен,ведь вправилахуказываетсяпутьотносительноdbhome.Вкаждомкаталоге могутнаходитьсяследующиефайлы:

•domains—списокдоменныхимениадресовсайтов(ad.count.com);

•urls—списокконкретныхссылокнаресурс(site.com/banners);

•expressions—списокрегулярныхвыражений,ожидаемыхвURL (adult|girls|avi|mp3ит.д.).

Списковexpressionsвбольшинствеblacklistмалоизлоупотреблятьимине стоит,таккакихиспользованиесильнонагружаетсистему.

Расскажуоещеодноммоменте,связанномсобновлениемсписка.Например, можетвозникнутьситуация,когдатребуетсядобавитьилиубратьресурс

изblacklist.Еслисделатьэтоводномизуказанныхвышефайлов,топриобновлениивсеизменениябудутпотеряны.Чтобыизбежатьтакого,сохраняй изменениявнужномподкаталогевфайлахсрасширениемdiff.Например, рядомсоригинальнымdomainsпишемdomains.diff.Форматегопрост:

+ads.domain.com

— domain.com

Первыйресурсбудетдобавленвбазу,второйубран.Приобновленииспискаситуациянеизменится.

ХАКЕР.PRO

Баннеры,заблокированныеAdzapped

Создаем правила

ЕсливSquidресурсыблокируютсяприпомощисвязкиacl+http_access,тов squidGuardтакихпараметровнамногобольше.Например,чтобыописатьи затемблокироватьресурсы,содержащиерекламу,добавляемтакоеправило:

$sudomcedit/etc/squid/squidguard.conf

dest adv {

domainlist adv/domains urllist adv/urls expressionslist adv/expression

redirect http://localhost/block.html

}

dest warez {

domainlist warez/domains urllist warez/urls

}

acl { default {

pass !adv !warez all

}

}

Впримеребыласозданакатегорияadv,гдеприпомощитрехпараметров domainlist,urllistиexpressionslistподключаютсяфайлы,находящиесяв каталоге/var/lib/squidguard/db/adv.Такжесоздаютсяописания дляостальныхресурсов.Названияможнобратьлюбые(обычноихвыбираютпоназваниюкаталогаилипоназначению,чтобыпотомлегчебыло ориентироваться).Вдокументацииприведенсписокзарезервированных слов,советуюснимознакомиться.СписокACLсдействиемdefaultявляется правиломпоумолчанию.

Параметрdestаналогиченaclвsquid.conf —описываетвнешнийре- сурс.Чтобыуказатьклиентскиеподключения,применяетсяsrc.Вкачестве значенияемуможнопередатьотдельныйIP-адрес,адрессети,доменили списокпользователей.

src clients {

ip 192.168.1.2-192.168.1.50

}

src admins {

ip 192.168.1.55, 192.168.1.150

}

Временнойдиапазонзадаетсяпросто:

time workhours {

weekly mtwhf 09:00-18:00 date *.04.01

}

Подописаниеwork-timeпопадаютдниотпонедельникапопятницу(ис-

Параметрывadzapper.conf

пользуютсяпервыебуквыанглийскихслов)ивремяс9до18.Плюс,сюда жевходитпервоеапрелякаждогогода.

Времяможноиспользоватьпрямовописанииклиентов:

src managers {

ip 192.168.0.0/24 within workhours

}

Илинепосредственновacl.Настраиваемспискиконтролядоступом:

$sudomcedit/etc/squid/squidguard.conf

acl {

#Этой группе режем все, и будем пускать менеджеров только в workhours

managers {

pass !warez !chat !porno !agressive !drugs !ads all

}

#В рабочее время режем все

clients within workhours {

pass !warez !chat !porno !agressive !drugs !ads all

}else {

#После работы только рекламу :) pass !ads all

}

...

}

Сцельюупрощенияянедобавлялописанияресурсовchat,pornoидругих. Когдаправилазаписаны,создаембазуиустанавливаемправа:

$ sudo squidGuard -d -C all

$ sudo chown -R squid /var/lib/squidguard/db/*

Хотяэтонеобязательныйшаг—припервойзагрузкебазыбудутсозданы автоматически—нотакможноубедитьсявотсутствииошибок.Дляоб- новленияконкретногоспискавместоallуказываемнаконкретныйфайл. Еслиобновлениепроизводитсяизdiff-файла,тоиспользуемпараметр'–u':

$ sudo squidGuard -u /var/lib/squidguard/db/ads/ domains.diff

ПослечегоперезапускаемSquidипроверяемработу.

Заключение

Как видишь, использование дополнительных решений позволяет превратить Squid в настоящую боевую машину, которая будет блокировать все, что не разрешено администратором. Обилие функций никак не усложняет дальнейшее сопровождение системы. Достаточно лишь настроить автоматическое обновление блэклистов и антивирусных баз, а затем добавлять или удалять пользователей! z

+

Годовая подписка по цене

Единая цена по всей России. Доставка за счет издателя, в том числе курьером по Москве в пределах МКАД

Внимание! Второе спецпредложение!

Приподпискенакомплектжурналов

железоdvd + хакерdvd+ ITспецcd:

- Один номер всего за 147 рублей (на 25% дешевле, чем в розницу)

Подписка на журнал «ХАКЕР+DVD» на 6 месяцев стоит

1080 руб.

ВЫГОДА ГАРАНТИЯ СЕРВИС

Как оформить заказ

1. Разборчиво заполните подписной купон и квитанцию, вырезав

их из журнала, сделав ксерокопию или распечатав с сайта www.

glc.ru.

2. Оплатите подписку через Сбербанк .

. Вышлите в редакцию копию подписных документов — купона и

квитанции — любым из нижеперечисленных способов:

по электронной почте subscribe@glc.ru;

по факсу 8 (495) 780-88-24;

по адресу 119021, Москва,

ул. Тимура Фрунзе, д. 11, стр. 44,

ООО «Гейм Лэнд», отдел подписки.

Внимание!

Подпискаоформляетсявденьобработкикупонаиквитанциивредакции:

в течение пяти рабочих дней после отправки подписных документов в

редакцию по факсу или электронной почте;

в течение 20 рабочих дней после отправки подписных документов по

почтовому адресу редакции.

Рекомендуем использовать факс или электронную почту, в последнем

случае предварительно отсканировав или сфотографировав документы.

Подписка оформляется с номера, выходящего через один кален-

дарный месяц после оплаты. Например, если вы производите оплату в ноябре, то журнал будете получать с января.

крис касперски

Десять линийобороны

#1— заплатки и обновления

Многиеадминистраторывообщенеустанавливаютникакихзаплаток, считая,чтониктоихатаковатьнебудет.Это—всеголишьраспростра- ненноезаблуждение.Основнаяугрозаисходитотчервей,сканирующих IP-адресаивыявляющихнезалатанныемашины,дажееслиэтодомашний сервер,накоторомнетникакойконфиденциальнойинформации. Обновлятьсявсе-такинадо,причемобновлятьследуетнетолькоопераци- оннуюсистему,ноивсеиспользуемыеприложения,гдетакжеобнаруживаютсякритическиеошибки,естественно,неустраняемыеобновлениями отMicrosoft.Видеале,нужносоставитьсписокиспользуемогопрограммногообеспеченияирегулярнопосещатьсайтыпроизводителейна предметпоискаобновлений.

Кстатиговоря,заплаткиотMicrosoftсодержатоднуоченьнеприятную особенность,граничащуюсошибкой,аименно—непроверяютномера версийзамещаемыхисполняемыхфайлов/динамическихбиблиотек. Допустим,унасестьдвезаплаткиAиB,исправляющиеошибкив kernel32.dll.Посколькуустановщикнеотслеживаетпоследовательностьобновлений,то,установивзаплаткивобратномпорядке(инсталляторприэтомдаженепикнет!),мызакроемдыркуA,нооткроемдырку

B—ведь kernel32.dll(какилюбаядругаядинамическаябиблиотека) всегдазамещаетсяцеликом,анечастями!

Приавтоматическомобновленииникакихпроблемневозникает,таккак заплаткиставятсявтомпорядке,вкоторомонивыпускаются.Ноесли мыкачаемихвручную,тонеобходимовсвойствахкаждогофайланайти внутреннююверсиюидатусоздания,азатемсоставить«план»последовательностиустановкизаплаток.Впрочем,тутнеобходитсябезподводных камней.ИногдаMicrosoftвыпускаетодниитежезаплаткипонесколько

раз.Допустим,сначалавыходитA,исправляющаяошибкиE1,E2,E3,после чеговыходитB,исправляющаяE4,E5,E6,азатем…выходитобновленная заплаткаA’,исправляющаявсетежеE1,E2,E3,аобновленнойзаплаткиB

—нет.УстановкаA’поверхужеустановленнойBоткрываетдырыE4,E5, E6.Такчтосзаплаткаминужнобытьоченьвнимательнымивсегдачитать бюллетенибезопасности,чегопрактическиниктоделатьнесобирается. Вцеляхэкономиитрафикарядинтернет-провайдеровустанавливает своисобственныесервераобновлений,предлагаяклиентампрописать ихадресавнастройкахWindowsUpdate.Соблазноченьвелик,ноугроза бытьатакованным—ещевыше!Microsoftприлагаетогромныеусилиядля защитысвоихсерверов,вкладываявбезопасностьнемалыеденьги.Что

>>

ХАКЕР

info

• Утилита sfc (System File Checker, support. microsoft.com/ kb/310747) входит в состав Win2k3/Win2k8

и осуществляет проверку всех защищенных системных файлов и замену неправильных версий правильными. Ее можно использовать после сбоя системы, вредоносного дейст­ вия вирусов и для настройки размера файлового кэша.

•DEP элементарно обходится атакой типа return2libc, позволя-

ющей атакующему вызывать API-функции, присваивающие стеку атрибуты исполняемого.

•PaX — это патч к ядру Linux, предоставляющий возможность настроить минимальные права доступа приложений к страницам памяти.

•Благодаря ASLR, при каждой загрузке операционной системы критически важные данные записываются в разные участки памяти. Это усложняет проведение атак, поскольку системный код оказывается в случайном месте.