Хостинг. Начало, с маленького

[halya]

Здравствуйте юзеры к.про, сегодня мы рассмотрим абузоустойчивый хостинг. Попробуем подойти к этому с разных сторон и взглянуть с разных ракурсов.

Чем отличается антиабуз сервер от обычного?
1. Находится в недоступном либо труднодоступном месте для разных органов.
2. Датацентр в котором находится наш сервер, не реагирует на жалобы. Причин много: Не знания английского , не желание лишаться клиентов, похуизм.
3. Местные органы правопорядка слишком некомпетентны в комп. мошенничестве ( отсталые страны ).

И много других нюансов.

Установка и настройка сервера как и для абузного, так и для обычного одинакова. Я взял себе обычный русский дедик ( а какая разница? ), и провел его настройку, после чего он стал пригоден для ведения хост бизнеса.


### Установка софта и настройка сервера ###


Небольшой план работ:
1. Нам нужен будет сервер, дня начала конечно один.
Я очень не советую Вам сразу покупать сервер, хостинг дело клопотное, сначала стоит арендовать недорогой сервер, все попробовать, и только тогда уже решить нужно ли
Вам это или нет.
Где взять экзотические сервера? Да в любого хостера, в конце-концов мы только пробуем, в дальнейшем можно будет выкупить.
2. Кроме серва, нам пожалуй нужно время, и больше ничего.

Ну поехали Я взял за основу debian 6, по моему мнению эта система является стабильной и в каком то образе удобной. Для установки Вам не нужно иметь никаких особых
знаний по работе с линукс системами, лишь следовать моим инструкциям.

В общем Вы арендовали / купили сервер. Сразу выбираем нашу систему - debian 6, говорим хостеру, он нам её любезно поставит + даст ssh.

Дальше открываем PuTTY, надеюсь она у Вас уже есть, запускаем, вбиваем свой ип и жмакаем на кнопку "Соединение":

Дальше вводим наш логин, жмем Энтер, вводим пароль, как мы знаем он не отображается у нас, и в результате:

Теперь займемся обновлением нашей системы:

1. Обновляем aptitude ( Программа для установки, удлаления, обновления программных пакетов):

Дожидаемся строки

и продолжаем.
2. Теперь апгрейтим:
Вводим:

 aptitude upgrade

И ждем строки:

В процессе апгрейта Вы увидите что то подобное:

Это нормально, просто подождите.

В итоге нам осталось перезагрузить сервер:

Нас выкинет с консоли, по этому опять запустим PuTTYи войдем на сервер.

Теперь изменем стандартый шелл, для этого вводим:

 dpkg-reconfigure dash

В итоге видим:

Отвечаем NO и ждем консоли.

Теперь стоит сихнронизовать время, делается это так:

Дождавшись консоли, можем уже наконец приступать к установке нашего по, ниже команда что его установит:

 aptitude install postfix postfix-mysql postfix-doc mysql-client mysql-server courier-authdaemon courier-authlib-mysql courier-pop courier-pop-ssl 
courier-imap courier-imap-ssl libsasl2-2 libsasl2-modules libsasl2-modules-sql sasl2-bin libpam-mysql openssl getmail4 rkhunter binutils maildrop php5-mysql
 php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy 
php5-xmlrpc php5-xsl phpmyadmin

Тут все основное, что поднадобиться для нашего хостинга

Давайте запустим эту команду:

Тыкаем Y:

И наблдаем как консоль скачивает и устанавливает наши компоненты, ждем, в скорем времени появляется такое окошко:

Выбираем как на скринах и клацаем Enter.

---------- Сообщение добавлено в 11:08 PM ---------- Предыдущее сообщение размещено в 11:07 PM ----------

Ждем пока процесс установки закончится, я прождал минуты 4, фух, софт установили, идем редактировать my.cnf (/etc/mysql/my.cnf), там опять таки комментируем

bind-address           = 127.0.0.1

Выглядит это так:

Сохраняем и перезапускаем mysql:

Так же стоит проверить его на работоспособность:

Теперь через WinSCP идем в /etc/courier/, там мы удалим SSL сертификаты для локалхост'a :

Переходим в pop3d.cnf ( он в том же каталоге ), делаем все по аналогии:

Так как мы удалили старые сертификаты и поправили настройки, следовало бы сгенерировать новые:
Команды:

mkimapdcert
mkpop3dcert

В результате:

Для вступления изменений в силу осталось ребутнуть наши ssl :

/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-pop-ssl restart

В результате:

Теперь опять установим софт, который не успели установить за первым подходом:

aptitude install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl libexpat1 ssl-cert libapache2-mod-php5 imagemagick libapache2-mod-suphp libopenssl-ruby libapache2-mod-ruby

Копируем в консоль и тыкаем Enter, ждем, вроде установили
Теперь стоит подключить модули Apache, такие как: rewrite, actions, suexec, include, ssl. Делается это командой:

a2enmod suexec rewrite ssl actions include

В результате:

Но пока еще ребутить рано, устанавливаем моды:

a2enmod dav_fs dav auth_digest

В результате:

Теперь перезапускаем апач, чтоб он начал работать с новой конфигурацией:

 /etc/init.d/apache2 restart

В результате:

Теперь для удобной работы с файлами, нам стоит установить фтп, для этого вводим:

aptitude install pure-ftpd-common pure-ftpd-mysql

Видим опять гору текста, и ждем консоли

Опять таки правим конфигурацию, для этого в WinSCP открываем этот файл: /etc/default/pure-ftpd-common:

Правим, и перезапускаем наш фтп сервер:

 /etc/init.d/pure-ftpd-mysql restart

В результате:

Теперь нужно поднять свой днс сервер, будем ставить BIND, для этого вводим:

 aptitude install bind9 dnsutils

В консоли будет так:

Теперь позаботимся о статистике, для этого поставим нужный софт:

 aptitude install vlogger webalizer awstats geoip-database

В консоли увидим:

Так же будет вопрос, отвечаем на него положительно ( пишем y ).

Если Вы хотите чтоб пользователи имели ограниченный доступ через ssh, то делаем следующее:

 aptitude install build-essential autoconf automake1.9 libtool flex bison debhelper

Опять ждем консоли

Дождавшись скачаем и поработаем с нужным софтом:

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.11.tar.gz
tar xvfz jailkit-2.11.tar.gz
cd jailkit-2.11
./debian/rules binary
cd ..
dpkg -i jailkit_2.11-1_*.deb
rm -rf jailkit-2.11*

Просто одним махом копируем в консоль. Тут ctrl + c, в PuTTY нажимаем правой кнопкой мыши.

В процессе работы видим нечто такое:

Снова дожидаемся консоли. Теперь нужно подумать о предотвращении брута нашего SSH:

 aptitude install fail2ban

Пишем в консоль, подтверждаем где просят:

Можем быть уверенны, брутфорсеры ssh будут заблокированы

Для того чтоб иметь доступ к почте через наш сайт, нужно установить squirrelmail, для этого:

 aptitude install squirrelmail

И видим в консоли:

Дальше зададим нашу папку в вэб каталоге через которую мы будем попадать в интерфейс:

 ln -s /usr/share/squirrelmail/ /var/www/webmail

Вот так:

Запускаем конфигуратор и делаем все как на скринах:

Теперь по Вашему (ip / домену) / папка которую задали выше / доступен наш mail интерфейс:

 

[halya]

Все, установка софта полностью завершена. Но удобно ли нам управлять всем? Да и я особо внимания на подробности не обращал, так как статья бы слишком затянулась.

Что бы решить проблему с управлением, нам нужно поставить панель, остановим свой выбор на ISPConfig 3. Ну что же, устанавливаем:

Скачиваем и распаковываем:

cd /tmp -перемещаемся в темп
wget http://checkmy.cc/screen/ISPConfig-3.0.5.2.tar.gz - Скачиваем.
tar xvfz ISPConfig-3.0.5.2.tar.gz - Распаковываем
cd ispconfig3_install/install/ - Перемещаемся в каталог установщика.

Запускаем файл установки:

 php -q install.php

Наблюдаем:

Действуем как на скринах :

Дальше все время ждем Enter

Опять Enter

И наконец:

Фух Ну все, панель установлена, идем в неё:

Все! Теперь можем предоставлять услуги хостинга, удобно управляя всем этим в панеле



### Безопасность. Прячем свою задницу ###



Теперь хотелось бы поговорить о способах сокрытия своего хостинга / домена в интернете.

Как это?

- Каждый домен имеет нс сервера. НС сервера в большинстве случаев указывают на Вашего хостера.
- Даже спрятав НС, все равно легко можно будет пробить Вашего хостера глядя на A записи.

Сегодня мы попытаемся все это скрыть в итоге, пробивая на Вас информацию человек наткнется на "пограничные" сервисы, и так и не узнает что искал.

Можно это считать антиабузой?

С огорчением говорю что нет. Скрыть - да, сможет, но если поступит запрос от любой службы, допустим фбр, или того меньше, то эти сервисы быстренько сдадут все логи и выкинут Вас на улицу

Для кого это подойдет?

Для серых проектов, которые за жопу не будет хватать цру Знаю с практики что скрывают нс разные сс шопы, колл сервисы и подобные организации И знаете - помогает. Только они скрывают нс, и больше ничего, а мы скроем все.

Скрывая оригинальный ip сервера, в сервисе, мы сразу должны понимать - идут логи. Эти логи никуда не попадут, пока не будет обращение соответствующих органов. Работаете тихо - дела к Вам не имеет, спалились либо попались - сразу логи уходят на лево. Можно считать это палкой с двух концов.

Сегодня мы будем использовать:

- Днс хостинг от Яндекс.
- Incapsula.

Не буду больше томить - приступаем.

Первым делом сменим наши нс.

Для этого регистрируемся в яндекс и переходим по ссылке выше:

Идем в свою хостинг панель и меняем нс хостинга на нс яндекса:

Обычно это занимает 10 - 20 минут, но для жителей России и Украины почему то все затягивается до 8 - 12 часов.

Теперь сворачиваем эту вкладку и идем заниматься своими делами периодически смотря наш яндекс

Прошло около 40 минут у меня, пока яндекс увидел свои днс и предоставил мне возможность их редактирования:

На этом пока все.

Теперь настроим инкапсулу.

Регистрируемся:

Ждем:

Клацаем кнопку и мы тут:

Теперь нужно пойти в панельку яндекса и сменить как они просят.

Настраиваем A запись:

После чего сохраняем.

Дальше CNAME:

Тыкаем "Сохранить".

Теперь почистим от палящих элементов:

И перебросим запись с @ тоже на наш инкапсула ип - мало что (Если у вас есть эта запись):

В общем итоге у меня такая картина:

Для наглядности:

Теперь Ваш домен и хостинг находятся под "занавеской", узнать хостера практически невозможно.
Пожалуй об анонимности все Едем дальше



### Новые технологии ###



Сегодня мы поговорим о fast-flux, наверно много кто из Вас слышал это название, сегодня попробуем разобраться в нем, ответить на вопросы "что?где?как?когда?".

Вот определение найденное на одном из сайтов:

Термин «[B]fast flux[/B]» (дословно переводиться как “быстрое течение, поток”) относится к быстрому многократному внесению изменений в записи ресурсов и/или NS в зоне DNS, что приводит к быстрому изменению расположения (IP-адреса), к которому относится доменное имя интернет-хоста (A) или сервера имен (NS).

Сразу будем действовать на примерах, что найти наши ботнеты, идем на абуз трекер:

Как видим сейчас их достаточно много

Клацаем например, на первый (gfe.by ):

На скрине подчеркнул А записи, они нас то и интересуют В чем смысл? Почему их так много? При отстуке бота ( Цитадели сейчас ), боты попадают на одну из А записей. Конечно все ведут в одно место

Откуда берутся ip в А записях?

ip как Вы поняли ботов Ботов с прямым ip. Выходит так, Вы заходите на сайт и попадаете на ip бота, бот в свою очередь выступает как прокси. Он не палит оригинальный сервер, хотя и передает все что Вы ввели на сайте + Ваш ip.

Оригинальный сервер может быть где хочет, хоть в UA, хоть в RU.

А если боты умирают, что тогда?

Специальный софт ежеминутно ( если не ежесекундно ), чекает А записи домена на работоспособность, если одна из записей умирает - происходит автозамена на ip валидного бота.

Ну, а домен?

Да, с доменом могут быть проблемы, тут советую держать свои нс сервера. Предварительно купить 10 - 15 впс ( 15$ ) и поставить туда нс сервера. Конечно тут без софта не обойтись, при смерти одного из нс серверов, автоматически должна меняться запись на другой.

Что получаем в итоге?

Чрезвычайно абузоустойчивый сервер, найти который практически невозможно. Это лишь сухая теория, на практике свои нюансы, которые тут говорить не стоит, главное: Пробуйте, и все выйдет!


### Заключение ###

Вроде ничего не забыл, сервер установили, научились создавать анонимные сайтики + поговорили о новшествах. На этом пожалуй все и так статья вышла объемной. Надеюсь что кому то помог, если что - пишите в лс ,отвечу на вопросы интересующихся. Желаю Вам хорошего дня.

П.С. Ах да, да прибудут с Вами $$$

Специально для c.pro by halya

 

[skeep]

Шикарно +++

 

[Hlor]

Титанический труд.

Даже представить страшно сколько на это ушло времени)

 

[halya]

Hlor, промолчу время+нервы, что то не получалось, куда то не коннектило и прочее.

 

[adlet]

Защет посоны? мне нраится! я жить ин Казахстана моя звать Борат

 

[McGrath]

chkconfig не забывай юзать, а не через "запустится или нет".

 

[maximthird]

Классно...

 

[usaXYusa]

Halya, это победа!!! Молодчага!!!

 

[Ninja]

Молодчик!

---------- Сообщение добавлено в 11:39 AM ---------- Предыдущее сообщение размещено в 11:39 AM ----------

За трудолюбие и желание наполнить ресурс полезным - VIP.

 

[halya]

Спасибо огромное всем, нинзя не подведу

 

[adlet]

Посан пубидил! я отдаюсь тебе вазелин не забудь и в жабу го.
Так и не прочитал время нету(