最近發現這幾天有一個怪怪的主機好像在試著用字典攻擊的方式
一直重複的try 系統登入,所以還是把他的IP封鎖好了!!
在Linux平台上,要鎖IP可以透過用 iptables 阻擋 ip
假如要阻擋某個 ip 存取 Linux 伺服器,可以用以下指令:
iptables -A INPUT -s ip_address -j DROP
這時 ip_address 便不可以存取伺服器,要禁止連線到 ip_address,可以這樣:
iptables -A OUTPUT -d ip_address -j DROP
- 目前客戶有台主機是使用sendmail 寄信,但最近發現有退信的狀況,經查看,客戶的IP被設進去CBL了..
去查了一下,看來是sendmail 的設定要調整才行,sendmail 預設使用localhost.localdomain 在寄信,
有部份的Mail Server加入了CBL 認證,會認為這個有問題而將寄信的IP列管,所以導致被列入CBL黑名單,要查看的方式很簡單,先前就有提到可以 到spamhaus 把IP 輸入進去查查看就知有沒有被列入黑名單,指令如下:
http://www.spamhaus.org/query/bl?ip=168.95.1.1
當我們想查查看是不是如我上面說的目前主機名稱為localhost.localdomain ,很簡單的測試方式就是使用 telnet指令,如下:
telnet localhost 25
即可看到提示訊息會顯示你目前主機的名稱
220 localhost.localdomain ESMTP Sendmail 8.13.6/8.13.6; Mon, 05 Jun 2009
15:10:5
7 +0800
調整方式為:
解決方法:
- 知道自己正確的 hostname 為何 (通常是: 主機名稱.網域名稱, 如: myserver.idv.tw, 其中 myserver
是主機名稱; abc.idv.tw 是網域名稱)
- 執行 hostname 指令, 查看 hostname 是否正確
- cat /etc/sysconfig/network, 查看 hostname 是否設定正確, 若不正確請修改後,
執行:
hostname= 正確的hostname
- cat /etc/hosts 檢查 127.0.0.1 那一行是否只有 localhost 與 localhost.localdomain 這兩種敘述.
若否, 請清除不相干的敘述, 並確定是否有如: 192.168.1.1 myserver.idv.tw 描述正確 hostname 的文字列. 若無,
請新增空白行加入該敘述.
- /etc/init.d/sendmail restart 重新啟動 Sendmail
- telnet localhost 25 檢查是否出現正確的 hostname
參考資料:
- http://cha.homeip.net/blog/archives/2004/12/sendmail_localh.html
- http://www.linuxfans.org/bbs/thread-158875-1-28.html
最近在查詢客戶的系統寄信失敗的問題,才知該IP被列入XBL中的CBL,找了一些資訊才瞭解這麼多專業術語,特別在此列出來給大家參考一下。
Spamhaus 是一個在英國提供 DNSBL
(DNS-based Blackhole List)服務的單位,主要提供三份名單:
- SBL (Spamhaus Block List) :SBL 列出了
Spam Source 的機器 (Direct UBE sources, verified spam services and ROKSO
spammers)
- XBL (Exploits Block List):XBL 則是列出被 crack 當作跳板的機器 (Illegal 3rd party exploits, including
proxies, worms and trojan exploits)
- PBL (The Policy Block List):PBL 是列出出非認證SMTP Email 固定IP清單。(IP ranges which should not be delivering unauthenticated SMTP Email.)
可以在網頁輸入你的IP,即可快速查看你的IP是否有列入上述這三份黑名單,指令如下:
http://www.spamhaus.org/query/bl?ip=168.95.1.1
中國反垃圾郵件聯盟(anti-spam.org.cn) ,CASA是中國國內一個民間的專門關注反垃圾郵件方面的非營利組織,由熱心於反垃圾郵件工作人士組成。在此會列有以下這幾種名單:
- CBL(中國垃圾郵件黑名單):主要面向中國國內的垃圾郵件情況,所甄選的黑名單地址也以中國境內的垃圾郵件回應情況為主。
- CDL(中國動態地址列表):中國國內與台灣省的動態分配的地址。
- BML(大型郵件運營商列表)
- TML(可信郵件伺服器地址)
可供應用的黑名單有這些(這些黑名單都已經把 BML 剔除了):
- CBL
- CDL
- CBL+:內容是 CBL 加上 CDL。
- CBL-:內容是 CBL 加上 CDL,再減去 TML。
參考資料:
http://blog.gslin.org/archives/2006/10/27/849/
http://www.joehorn.idv.tw/archives/tag/sendmail/
目前需要針對網站進行流量分析,當然就想到 Webalizer
它除了能夠分析 Apache web server 所產生的log 紀錄檔之外,還能夠分析FTP 的 Log 檔,透過HTML網頁輸出,該有的都有
目前相當多的網站都採用流量分析統計之用
安裝的資訊在網路上非常的多,小弟就列出一些重點就好,其它細節就不羅列啦
在安裝前要先確定你是否有安裝取得Webalizer所需的相關套件
因為Webalizer 會要畫圖 所以要先確認GD Library有沒有
可以用 rpm -qi gd 查看看是不是系統原先就有
如沒就麻煩了 要先去安裝後Webalizer才能起作用
1.先解壓
tar zxvf webalizer-2.01-10-src.tgz
cd webalizer-2.01-10
2.Configure
./configure –prefix=/usr/local/webalizer –with-language=chinese –with-gdlib=/usr/lib –with-gd=/usr/bin
小弟喜歡依package 的目錄放置 所以有加prefix
其它的那–with-language=chinese 看你有沒有需要,有加就有中文化
不過加了會有問題,因為GD Library目前似乎無法產生中文字的圖會變亂碼
所以參考了 顏老師(2002) 寫的調整方式
http://mail.tses.tcc.edu.tw/nuke/sections.php?op=viewarticle&artid=139
就可以把中文化的GD Library 中文字改成英文字
在此要特別注意,顏老師 是直接貼上perl 的script在html 所以 直接COPY來用會有問題
問題出在@LINE=; 這原來應該是@LINE=〈IN〉;
3. make & make install
接下就可以執行make 及 make install
4. 再來要設定你要將分析的html 結果放在哪,假設要放置 /var/www/html/usage
就先建立目錄
mkdir /var/www/html/usage
6.再來就改參數設定檔 /etc/webalizer.conf.sample 改成自己要用的
cp /etc/webalizer.conf.sample /etc/webalizer.conf
vi /etc/webalizer.conf
7.調整apahce httpd.conf 以便可以看到
vi /etc/httpd/conf/httpd.conf
加上以下的參數讓該目錄有權限使用
<Directory “/var/www/html/usage”>
Options None
AllowOverride None
Order deny,allow
Allow from all
</Directory>
別忘了重起 Apache 讓剛改的參數值生效
8.執行Webalizer
/usr/bin/webalizer -c /etc/webalizer.conf
第一次手動執行 Webalizer ,會有找不到記錄的現像..這是正常的
因為畫圖要至少三次,所以多執行幾次…就沒會成功囉
如果還是不能執行 可能是語系的問題
加上這個試試
export LANG=C
export LC_ALL=POSIX
9.設定crontab ..讓它每二小時跑一次:
crontab -e
加入
0 */2 * * * /usr/bin/webalizer -c /etc/webalizer.conf
這樣就大功告成啦
參考資訊:
MRTG 流量偵測工具安裝
試裝看看MRTG 以前就有用過,不過都是用現成的
這一套也是眾多網站使用,學術單位尤其眾多
因為他可以看目前流量外,也可監控資源的使用
以下也是把重點提出,小弟都是參考
的文章,真的寫的還不錯
要安裝MRTG,當然他只是一套方便的偵測工具
要偵測什麼就要把相關套件備妥才行
偵測網卡流量,就要透過SNMP 通訊協定來要資料
以下是SNMP 的位置,請自行安裝
偵測CPU,就要安裝sysstat,才可以監控
以下是sysstat 的位置,請自行安裝
還有可以 即時偵測線上人數 可以針對單一服務(如FTP OR WWW) 進行統計 可以利用netstat 來做
這個是基本功能就不用再安裝啦
MRTG的主程式在以下位置
MRTG
小弟這次安裝,是少見都用source 進行complier,呵~~大家可別學
有rpm還是用用rpm 方便點
因為是舊linux版本,再加上安裝的package漏東漏西的
所以除了上述MRTG會直接使用到的功能
因為MRTG 會畫圖嘛,所以GD library還是免不了要的啦
還有小弟也安裝了 autoconf automake 及libtool 才能完成上述工作
此外,鳥哥寫的在設定crontab 時,他的設定如下
*/5 * * * * root /usr/local/mrtg-2/bin/mrtg /var/www/html/mrtg/net/mrtg.cfg > /dev/null 2>&1
小弟照設定後沒啥反應,找了好久才知是那root的問題,拿掉就好 真是怪異,看來要再深入研讀一下crontab 才是
此外,還有在設定之中有遇到語系設定問題 MRTG會要求有
LANG,LC_ALL,LANGUAGE 環境變數
如果你執行時也遇上error
可以設定環境變數為
就可以過啦
參考資訊:
近期留言