Bloqueando malwares por meio de blackhole de DNS no pfSense

O que é um Blackhole de DNS?

Malware é uma criatura complicada. Todos com certeza desprezam sua difusão, mas nos maravilhamos com sua esperteza e frequentemente temos pesadelos sobre seus efeitos. Infelizmente, o problema do malware só multiplica, tanto em infraestruturas críticas, como em smartphones, dispositivos médicos e até mesmo em carros.

Como a maioria das defesas tem como objetivo impedir a entrada de malwares, as empresas geralmente não estão preparadas para lidar quando entram. Contê-las e erradicá-las em toda a rede exige abordagens diferentes. Este é o lugar onde um Blackhole de DNS pode vir a calhar.

Como funciona um Blackhole de DNS

Uma vez que o malware atinge seus sistemas, sua missão é “telefonar para casa”, onde seja, entrar em contato com seus servidores de comando e controle para fazer o check-in com o invasor. Depois que um invasor confirma o controle positivo, ele inicia o ato de assumir seus sistemas e roubar números de cartões de crédito, propriedade intelectual e o que mais puder. Mas se você tem um Blackhole de DNS, o malware não pode “ligar para casa” e é efetivamente neutralizado.

Também conhecido como “sumidouro”, um Blackhole de DNS funciona usando o DNS para interceptar e isolar malwares. Existem duas abordagens principais que os blackholes podem usar para interceptar e remover malware:

  • Bloquear o malware de “telefonar para casa”, impedindo-o de continuar em seu caminho para invadir, manter refém ou destruir; ou
  • Bloquear, mas depois continuar a conversa com o malware

Ao interceptar as comunicações do malware, o blackhole pode coletar dados da vítima para determinar exatamente onde está, o que está tentando fazer e quais partes do sistema podem ser afetadas.

Um produto excelente e gratuito para isso é o Pi-hole, um Blackhole de DNS que protege seus dispositivos contra conteúdo indesejado, sem instalar nenhum software do lado do cliente.

É fácil de instalar e bem leve, funcionando sem problemas com requisitos mínimos de hardware e software. Consegue bloquear conteúdos em locais sem navegador, como aplicativos móveis carregados de anúncios e smart TVs, acelera continuamente a sensação da navegação diária ao armazenar consultas DNS em cache. Possui um painel de interface Web responsivo e bonito, além de permitir interação por linha de comando, pode opcionalmente funcionar como um servidor DHCP, garantindo que todos os seus dispositivos sejam protegidos automaticamente.


Mas vamos deixar pra falar mais do pi-hole em outra postagem, o objetivo dessa é ver como configurar Black Holes de DNS usando o pfSense. Uma ótima maneira de ajudar a proteger sua rede contra malware, phishing e anúncios antes que eles cheguem aos seus endpoints.

Implantando um Blackhole de DNS no PfSense

Primeiro de tudo, vá para o gerenciador de pacotes e pegue o pacote pfBlockerNG.

Em seguida, vá para o Firewall / pfBlockerNG

Vá para DNSBL

Vamos ligar a EasyList primeiro.

Em seguida, certifique-se de alterar a ação da lista de padrão para Não consolidado

Isso adicionará o Bloqueio de anúncios, já que é a maioria da lista na EasyList, mas vamos dar um passo além e adicionar nossa própria lista personalizada.

Vá para o DNSBL Feeds e clique em adicionar.


Aqui eu vou estar adicionando a lista de ransomware Abuse.ch.

Adicione o nome do grupo: ransomware abuse.ch e dê uma descrição para suas anotações.

Adicione a fonte da lista, neste caso:

https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt

Dê-lhe um título/rótulo, por exemplo: ransomwaretracker

Certifique-se de alterar a ação da lista de Desativado para Não consolidado.

Escolha uma frequência de atualização, eu escolhi 2 horas.

E vamos salvar!

Vamos verificar esta tudo ok. Vá para Firewall / pfBlockerNG / Log Browser

Selecione o tipo de registro / arquivo para arquivos DNSBL e selecione o nome do rótulo que você deu à lista, no meu caso eu usei ransomwaretracker (.txt).

Você deve então ver o seguinte:

Isso significa que, se algum malware tentar se conectar com qualquer um dos nomes DNS da lista, eles carregarão um recurso em branco localizado no roteador / firewall e não no servidor do malware.

Veja algumas outras boas listas para adicionar:

  • Outra lista através do projeto Abuse.ch:
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
https://www.openphish.com/feed.txt
  • Phishtank, uma parte do OpenDNS agora de propriedade da Cisco
http://data.phishtank.com/data/online-valid.csv
  • Malwaredomains o oldie mas goodie
https://mirror1.malwaredomains.com/files/justdomains
https://raw.githubusercontent.com/Hestat/minerchk/master/minerlist-all.txt

Ah, e uma última etapa de resolução de problemas, se a sua lista não aparecer imediatamente, talvez seja necessário executar uma atualização manual dos feeds.

Firewall / pfblockerNG / Update

Não se esqueça da seção DNSBL da lista de permissões, para colocar na lista de permissões domínios que possam aparecer  e que sejam analisados ​​incorretamente, como google.com, amazon.com etc.

Um material complementar, excelente de como configurar o pfBlockerNG de modo eficaz foi registrado por Dallas Haselhorst nesse artigo – pfsense-using-pfblockerng-dnsbl e nesse outro ele faz uma explanação de como usar bloqueio de listas IPv4.

Automatizando o pfSense com pfSsh.php

O pfSense teve a interface completamente redesenhada nas últimas versões. Todas as configurações podem ser facilmente acessadas e ajustadas com essa interface. No entanto, às vezes, você gostaria de fazer configurações por meio de uma API ou através do terminal. No momento, o pfSense não possui uma API, que estará disponível somente em uma das próximas versões. Até lá, você pode usar o shell do desenvolvedor pfSense, também chamado de pfSsh.php.

Acessando pfSsh.php

A maneira mais rápida de acessar o shell do desenvolvedor é conectar-se ao pfSense via SSH ou conectar diretamente ao firewall. Se o SSH ainda não estiver ativado, você pode fazer isso na interface da web em Sistema → Avançado.

É melhor proibir o login com uma senha e permitir somente o login com um certificado.

Se o acesso SSH estiver ativado, você pode fazer login com o usuário admin (ajustar IP):

$ ssh admin@192.168.1.254

Na opção 12, você encontrará o shell do desenvolvedor, que é basicamente um shell PHP.

Exemplo de comandos para pfSsh.php

Aqui estão alguns exemplos de comandos para mostrar como usar o shell. Cada entrada é um código PHP normal e deve ser completada com exec;.

Mostrar configurações de DHCP

pfSense shell: print_r($config["dhcpd"]);
pfSense shell: exec;
Array
(
    [lan] => Array
        (
            [range] => Array
                (
                    [from] => 10.0.1.7
                    [to] => 10.0.255.245
                )

        )

)

Definir domínio

pfSense shell: $config['system']['domain'] = 'mydomain.com';
pfSense shell: write_config();
pfSense shell: exec;

Execute comandos regulares do shell

Dentro do shell do PHP você também pode executar comandos normais do shell colocando um “!” Na frente dele:

pfSense shell: ! cat /etc/version
pfSense shell: exec;
2.4.3-RELEASE

Comandos “Gravar” e “Reprodução”

Com pfSsh.php você também pode “gravar” vários comandos e “reproduzi-los” mais tarde. Isso é útil para tarefas recorrentes. Um exemplo:

pfSense shell: record echoTest
Recording of echoTest started.
pfSense shell: echo "Isso\n";
pfSense shell: echo "eh\n";
pfSense shell: echo "um\n";
pfSense shell: ! echo "teste\n"
pfSense shell: exec;
pfSense shell: stoprecording
Recording stopped.

As entradas são salvas em / etc / phpshellsessions / e podem ser editadas lá, se necessário.

A “gravação” agora pode ser reproduzida da seguinte maneira:

pfSense shell: playback echoTest

Playback of file echoTest started.

Isso
eh
um
teste

pfSense shell:

ou diretamente da raíz do shell:

$ pfSsh.php playback echoTest

Conclusão

O pfSsh.php é uma ferramenta útil para automatizar o pfSense com scripts ou personalizações. Especialmente se você gerencia várias instâncias ou precisa de uma certa configuração repetidas vezes, pfSsh.php é uma grande ajuda. Por exemplo, você pode empacotar todas as configurações (isto é, código PHP) em um arquivo, salvá-las em /etc/phpshellsessions/ e executá-las ou encaminhar a saída diretamente para pfSsh.php:

$ ssh admin@192.168.1.254 '/usr/local/sbin/pfSsh.php' < MyConfig.txt

 

Compartilhando um diretório do Windows (Active Directory) no Linux

Maneira simples de acessar compartilhamentos Windows em um servidor Linux.

Imagine a seguinte situação:

  1. Você tem uma infraestrutura com Active Directory da Microsoft ou LDAP, com pastas compartilhadas na rede, tudo funcionando de boa;
  2. Você também tem um servidor web (apache ou nginx) rodando tranquilamente, servindo sua intranet ou site na internet…;
    1. Aí alguém chega pra você e fala:
      – Sabe essa pasta compartilhada do setor XXX, então, precisamos colocar esses arquivos disponíveis TAMBÉM na Web (intranet ou internet).
      – Ah, mas esses arquivos devem continuar sendo acessível normalmente pelo compartilhamento do Windows. 

Isso é bem fácil de resolver, basta utilizar o cliente CIFS de sistemas de arquivos do Windows.

1° passo

Criar um ponto de montagem no servidor web. Usualmente utilizamos o /mnt, mas fica a critério de suas necessidades. No nosso exemplo, vamos criar esse ponto de montagem direto na pasta DocumentRoot de nosso servidor, que roda Apache e posteriormente definir o usuário apache como dono do diretório criado.

[root@servidor ~]# mkdir /var/www/html/arquivos

[root@servidor ~]# chown apache:apache /var/www/html/arquivos/ -R

2º passo

Criar um arquivo com as credenciais de acesso do Active Directory à pasta compartilhada. Vamos criar dentro do home do usuário Root:

[root@servidor ~]# vim /root/.shared_credencial

Insira essas informações, tão como informados:

username=nome_usuario_ad
password=senha_usuario_ad
domain=dominio.de.seu.ad

3º passo

Editar o fstab, inserindo o ponto de montagem para a pasta /var/www/html/arquivos, passando as credencias de acesso que foram registradas em /root/.consu_credencial.

[root@manjuba ~]# vim /etc/fstab

Inserir a seguinte linha no final do arquivo, substituindo o IP do servidor de arquivos e o caminho da pasta compartilhada do exemplo dado (192.168.0.10/SETORX/arquivos) pelas informações de seu compartilhamento windows.

//192.168.0.10/SETORX/arquivos /var/www/html/arquivos/ cifs credentials=/root/.shared_credencial,iocharset=utf8,sec=ntlm,nobootwait,uid=apache,gid=apache 0 0

4º passo

Se você fizer uma nova entrada no fstab, ela não será montada automaticamente. Portanto, você deve recarregar/atualizar as entradas. Uma reinicialização no Linux fará isso, mas essa não é uma maneira amigável. Uma maneira rápida de recarregar novas entradas em /etc/fstab é usar o comando mount:

[root@manjuba ~]# mount -a

Após isso, se você acessar a pasta montada, irá ter acesso aos arquivos compartilhados e como foi montado dentro do DocumentRoot do apache, os mesmos também estarão acessíveis na Web.

[root@manjuba ~]# ls /var/www/html/arquivos/

http://192.168.0.10/arquivos/

 

 

Como criar um repositório GiT de um projeto já existente e enviar ao Bitbucket?

Criando essa postagem porque nunca lembro desta sequência de comandos!

Situação: você possui um projeto já existente (pasta) e deseja que esse projeto vire um repositório GIT e que seu conteúdo seja enviado ao Bitbucket ou outro host remoto, como faz?

Obviamente você precisará ter o GiT já instalado em sua máquina (não vou colocar isso aqui), partindo do pressuposto que você ja o tenha instalado, execute os seguintes comandos para realizar a atividade proposta:

OBS: os comandos devem ser executados na pasta do projeto

  1. git init (inicializa um repositório GIT)
  2. git add –all (adiciona todos os arquivos ao GIT)
  3. git remote add origin LINK_PARA_O_REPOSITORIO (este link você consegue no próprio Bitbucket na página do projeto)
  4. git commit -m “Commit inicial” (cria um commit inicial)
  5. git push -u origin master (envia seu projeto para a branch master, se tive routra branch, mude o nome).

É isso!

Geradores de sintaxe Crontab

Se você quiser executar periodicamente uma tarefa (por exemplo, enviar e-mails, fazer backup de banco de dados, fazer manutenção regular etc.) em horários e datas especificadas, é bem provável que você irá utilizar o CRON disponível nos sistemas Unix / Linux para isso.

A sintaxe de agendamento é simples, mas permite muitas customizações:

# .---------------- minute (0 - 59) 
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ... 
# | | | | .---- day of week (0 - 7) (Sunday=0 or 7)  OR sun,mon,tue,wed,thu,fri,sat 
# | | | | |
# * * * * *  command to be executed

Para facilitar na hora de definir esse agendamento, existe alguns geradores que poderão ajudá-lo a produzir uma sintaxe de crontab que você possa copiar e colar em seu arquivo crontab (você pode abrir o arquivo usando o comando crontab –e).

Crontab GURU
https://crontab.guru/

Crontab Generator
https://crontab-generator.org/ ou https://crontabgenerator.org/

 

 

Turnkey Linux – Access denied for user ‘root’@’localhost’

Se você estiver utilizando algum Appliance da TurnKey GNU/Linux 15.0 que venha com banco de dados MySQL, saiba que o banco que vem por padrão é o MariaDB e isso é ótimo!

Distributor ID: TurnKey
Description: TurnKey GNU/Linux 9.5 (stretch)
Release: 9.5
Codename: stretch

Algo que tem ocorrido com essa versão do Appliance é que o acesso ao TurnKey Linux Database Administration Console – Powered by Adminer   – (https://IP:12322), é não permitir o login com usuário root e senha definida na instalação, exibindo o erro:

Access denied for user ‘root’@’localhost’

Para resolver isso o procedimento é simples:

# mysql -u root -p 
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 6
Server version: 10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> use mysql;
MariaDB [(none)]> update user set password=PASSWORD('INFORME_A_SENHA') where User='root';
MariaDB [(none)]> update user set plugin='' where User='root';
MariaDB [(none)]> flush privileges; 
MariaDB [(none)]> quit;

# /etc/init.d/mysql restart

Lembrando que esse não é um erro, mas uma modificação na imagem Turnkey Linux na versão 9.5. O acesso ao banco de dados MySQL/MariaDB pode ser feito normalmente pelo usuário adminer e senha definida na instalação, sem necessidade de fazer essa alteração acima no console.

Como fazer uma separação a cada 4 resultados de foreach

Esses dias recebi essa pergunta aqui no blog:

Olá, você poderia me ajudar com essa dúvida em PHP?

Preciso que, a cada quatro valores listados de um foreach, coloque uma separação.

Já consigo buscar todas as informações do BD e exibi-las, porém gostaria dessa divisão a cada 4 resultados.

Seria algo tipo:

[xxx] [xxx] [xxx] [xxx]

________

[xxx] [xxx] [xxx] [xxx]

Ou seja, uma linha para separar a cada 4 valores.

//Exemplo:
foreach ($links->result() as $value) {
echo $value;
}

Bem isso é bem simples de resolver, basta fazer algo assim:

$contador = 1;
foreach ($links->result() as $value) {
echo $value;

if($contador%4==0){
echo 'SEPARADOR';
} 
$contador++;
}

Fonte: http://php.net/manual/en/control-structures.foreach.php