[資訊安全] Email Spoofing

最近收到好心人(？)的信，告知因為 MX 的設定不對，可能會有 Email Spoofing 的可能。 

會發生問題主要是 SPF 和 DMARC 設定不正確。 

舉例來說，原本參考 Google 的 SPF 設定建議。 

```

v=spf1 include:_spf.google.com ~all 

``` 

但在好心人的信裡，建議使用 `-` 取代 `~`，半信半疑，但有找到某篇文章說明這兩種區別，好吧就這樣用吧。 

``` 

v=spf1 include:_spf.google.com -all 

``` 

另外 DMARC 原本也是參考 Google 的建議。 

``` 

v=DMARC1; p=none; rua=mailto:dmarc-reports@google.com 

``` 

後來好心人建議，要有積極作為，因此改為 

``` 

v=DMARC1; p=reject; rua=mailto:dmarc-reports@google.com 

``` 

但其實我要講的重點是。 

1. rua 後面要先接 mailto 才行！ 因為一開始看錯，導致掃描時顯示 DMARC 沒有 enable。 

2. 我只有付少少的獎金，希望大家都愉快。 

* [Google] 新增DMARC 記錄- Google Workspace 管理員說明 

* [Google] 在網域供應商網站新增SPF 記錄- Google Workspace 管理員說明 

* [MX 工具] SuperTool Beta7 

* [工具] DMARC Check 

* How To use an SPF Record to Prevent Spoofing & Improve E-mail Reliability 

* How to Implement DMARC/DKIM/SPF to Stop Email Spoofing/Phishing: The Definitive Guide

[Security] conoret.com

今天在檢查網站的時候，從 developer tools 的 network 發現有一個 script 會連到 conoret.com，過很久連不上才會 timeout。 

 一開始以為裝到奇怪的 open source，所以將 source code 根據關鍵字查了一遍都沒有。想說可能是儲存在資料庫裡，可是 dump 全部資料庫也沒看到這關鍵字。google 了一下沒有太多討論，但用 whois 查發現是連到 .ru，而且該網域是 2022 年才註冊的，這就需要緊張了。

開始做各種實驗，比如說把套件一個一個拔掉測試，沒效果。把佈景主題換掉也沒效果，隨便建立一個頁面發現還是會連到 conoret.com。感覺是主機被駭了或是 apache 的 module 有被感染了。 

因為好幾個網域都有這樣的情況，這當然超緊張的，難道我固若金湯(?)的安全設定都被破解了嗎？ 而且我檢查不出來是怎麼進來的，也不知道這東西在哪裡，真沮喪... 

但換了一個瀏覽器測試，發現連線不見了。哇賽那就很明顯了嘛 就是有壞壞的 extension 偷連出去。 起初懷疑最有可能就是 VPN，這種我當時沒特別檢查就裝了兩個，先移掉，沒效果。再來就要懷疑各種 downloader，例如 哔哩哔哩bilibili影片下載工具，也不是。 

 最後兇手找到了，是 SaveFrom Helper，這是 youtube 下載器，我蠻常用的。但最常用的還是網頁板 ssyoutube。果然移掉就正常了。耶

[資訊安全] 在 Plesk 安裝 GoDaddy 的憑證

之前有寫到安裝免費憑證。但最近要更新突然就失智了... 

簡單說，如果要使用續購的憑證，要重新申請 private key(在 Plesk 上做)，然後會產生 private key 和 CSR。 

再把 CSR 貼到 GoDaddy 的 我的產品 > SSL 憑證 > 管理 > 管理憑證 > 重設您的憑證金鑰。

等待網域驗證通過後，將可以下載一個包有 crt, pem 和 bundle 的壓縮檔。 

這時後再到剛剛的 Plesk 將 crt 和 bundle 貼回去，就新增一筆憑證完成了。

對了，最重要的一步，就是打給客服請他們更新忘記講了...

[資訊安全] 申請憑證

話說 google 修改演算法, 將 HTTPS 的權重設定比較高, 怕網站沒人用, 就順手申請了憑證

第一次只有申請一年, 不太貴, 明年到期後再找 coupon 好了

從 godaddy 申請的憑證, 要搭配別地方 host 主機大概參考這幾篇文章就可以了

1.[筆記] SSL 憑證購買記
2. Godaddy SSL 購買與安裝
3. Ubuntu Server with Apache2 SSL Certificate Installation

我的設定是在 /etc/apache2/sites-available/000-default.conf 下, 內容和 *.80 相同

<virtualhost>
...
        SSLEngine on
        SSLCertificateFile /path/to/crt
        SSLCertificateKeyFile /path/to/key
        SSLCertificateChainFile /path/to/gd_bundle.crt
...
</virtualhost>

問題就是 /path/to/key 我用到原本 request 的檔案, 所以就錯誤啦 要注意第一行要這樣開頭的才行

-----BEGIN CERTIFICATE REQUEST-----

這樣就不對啦

-----BEGIN CERTIFICATE-----

這問題是參考 Installing SSL certificate causes the server to fail when restarting

同場加映如何強制 HTTP 導到 HTTPS?

NameVirtualHost *:80
<VirtualHost *:80>
   ServerName my.example.com
   DocumentRoot /path/to/doc
   Redirect permanent / https://my.example.com/
</VirtualHost>

<VirtualHost _default_:443>
   ServerName my.example.com
   DocumentRoot /path/to/doc
   SSLEngine On
   ...
</VirtualHost>

參考：http to https apache redirection

[資訊安全] xmlrpc.php DDoS 攻擊

好久沒搞資安了...

今天發現主機上的 mysql 一直停掉, 查了一下 apache 的 log 和連線的 log, 發現是被 DDoS, 就先把一些 IP 手動加到 iptables 的黑名單, 也用了 hosts.deny 亂擋一陣, 可是結果還是一直停掉

最後只好拜咕狗, 看到有人提供簡單的解法, 目前是有效的

<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>

再觀察一下吧...

[資訊安全] nmap掃IP和掃port

nmap是出門在外的好物, 簡單紀錄幾個常用語法

可掃網段, 看ping的回應(-sP: Ping Scan - go no further than determining if host is online)

$ sudo nmap -sP 192.168.1.0/24

可掃網段, 列出主機列表(-sL: List Scan - simply list targets to scan)

$ sudo nmap -sL 192.168.1.1-254

針對特定主機掃描(也可掃網段), 會顯示開啟的port

$ sudo nmap -vPN 192.168.1.x

針對特定主機掃描(也可掃網段), 會顯示開啟的port, 主機用的作業系統

$ sudo nmap -sV 192.168.1.x

以stealth SYN scan的方式掃描, 較不易被對方主機紀錄

$ sudo nmap –sS 192.168.1.x

reference:
* The Art of Port Scanning

[資訊安全] Debug information

今天正想在某個網站採購一些東西, 網頁載入到一半突然噴出這樣的訊息, 這樣甘好?

2006 MySQL server has gone away
in:
[select c.categories_id, cd.categories_name from categories c, categories_description cd where c.categories_id=cd.categories_id and c.parent_id= '0' and cd.language_id='1' and c.categories_status='1' order by c.sort_order, cd.categories_name ]
2006 MySQL server has gone away
in:
[select count(*) as total from sessions where sesskey = '98937f53e2395dcc174f66449017743b']

哪個網站就不說了

[資訊安全] Reversing SSH Tunneling

最近需要連到防火牆後的某台電腦找東西,發現透過reverse ssh就可以做反向連線,輕鬆達陣

情境是這樣,要從123.45.67.89(public)連線到192.168.0.100(private):

Destination(192.168.0.100) <-- |NAT| <-- Source(123.45.67.89)

in destination host

dst$ ssh -R 1234:localhost:22 username@123.45.67.89

in source host

src$ ssh localhost -p 1234

目前是用ssh做,我想nc應該也有類似的功能,找到再補上吧

reference: Reverse SSH Tunneling

[資訊安全] Reversing for Newbies

今天逛到一個不錯的教學網站,希望練習練習,下次wargame能拿第一

[Security] 看雪論壇十週年

大陸最有名的資訊安全論壇看雪論壇發中秋禮物(當然還有很多有名的論壇,比如說邪惡八進制等...),裡面有很多好東西,先備份一下,未來再慢慢研究吧...

順道一提完全無關的事,就是剛好在備份的時候發現,不同的壓縮演算法其實壓縮比差蠻多的,我是比了bzip2,rar,gzip,zip四種格式而已(使用預設壓縮比率)

-rw-r--r--  1 44768826 2010-11-24 11:11 pediy.tar.bz
-rw-r--r--  1 47059808 2010-11-24 11:25 pediy.rar
-rw-r--r--  1 45356338 2010-11-24 11:27 pediy.tar.gz
-rw-r--r--  1 45355127 2010-11-24 11:18 pediy.zip

這四種格式看起來是bzip2的壓縮效率最好,雖然沒有在網路上找到壓縮比的評比來實證,但wikipedia還是有列出一些其他方面的比較