Fanx 语言 3.2 发布，全面支持中文编程

Fanx 是面向对象的函数式的编程语言。不同于其他语言的 Unicode 支持，Fanx 不仅标识符能用汉字，关键字也能用汉字。中文是可选方式。是在编译器上做的别名处理。项目主页: http://fanx.info

来源：开源中国

硬核老王点评：对于使用中文来编程，仁者见仁智者见智，不过，著名的易语言沦为恶意软件生产工具的情形值得注意和研究。

Linux 内核 4.19 和 5.4 生命周期延长至 6 年

Greg Kroah-Hartman 宣布将 Linux 内核 4.19 和 5.4 版本的生命周期终止（EOL）支持从两年延长到六年，分别延长至 2024 和 2025 年。Linux 内核主要分为稳定版和长期支持版。稳定版本每 8-10 周发布一次；长期版本则是每两年一次，并会在接下来的两年内提供安全和错误修复。2017 年，谷歌高级工程师 Iliyan Malchev 曾宣布，Linux 内核团队同意将部分 Linux 的长期支持版（LTS）维护期从两年延长到六年。目前，有 6 个受支持为六年的 LTS 内核，分别是：5.4、4.19、4.14、4.9、4.4 和 3.6 版本。

来源：开源中国

硬核老王点评：你现在用的哪个内核？是 LTS 的么？

Phoronix 发布 PHP 8 性能基准测试

由于 PHP 8 Alpha1 大约要到 6 月中旬才发布，所以 Phoronix 从 PHP 8 最新的 Git 代码（截至5月底）构建了用于测试的版本。如果 PHP 8 启用了 JIT，性能改进可以说是非常明显，比 PHP 7.4 stable 提升了 92%。至于更旧的版本，PHP 8 with JIT 的性能是 PHP 5.4 的 5 倍。从数据来看，PHP 8.0 是一个相当值得期待的版本，无论是性能方面的提升还是语言特性的增加。

来源：开源中国

硬核老王点评：看来非常值得关注啊。不过，PHP 也越来越和之前的样子不一样了。

DDoS 租用服务 vDOS 两位创始人被判处 6 个月社区服务

DDoS 租用服务 vDOS 目前已经停止运行，在过去四年中帮助付费客户发起了超过 200 万次分布式拒绝服务（DDoS）攻击，让无数互联网用户和网站陷入离线状态。两人均为以色列公民，在 2016 年被捕的时候年仅 18 岁。两名被告在运营 vDOS 服务期间非法所得超过 60 万美元。

来源：cnBeta.COM

硬核老王点评：这个处罚感觉很温柔。

随着物联网设备的普及，网络犯罪分子通过利用密码的缺陷而提供拒绝服务攻击。

随着物联网设备飞速发展，分布式拒绝服务（DDoS）攻击正在成为一种危险的趋势。就如 DNS 服务商 Dyn 上年秋季之遭遇 一样，黑客似乎瞄上了每个人，使用未保护的物联网设备来轰炸网络的做法正在抬头。

可雇佣的 DDoS 攻击的出现意味着即使是最不精通技术的人都能精准报复某些网站。就像在柜台前面买个东西一样方便，然后就可以彻底搞定一个公司。

根据 Neustar 的报告，四分之三的国际品牌、机构和公司都是 DDoS 攻击的受害者。每天至少会发生 3700 起 DDoS 攻击。

睿科网络公司（A10 Networks）网络运营总监 Chase Cunningham 说：“想要找个可用的物联网设备，你只需要在地下网站四处打听一下 Mirai 扫描器代码，一旦你找到了，你将能够利用在线的每一台设备来进行攻击”。

“或者你可以去一些类似 Shodan 的网站，然后简单的搜一下设备特定的请求。当你得到这些信息之后，你就可以将你所雇佣的 DDoS 工具配置正确的流量模拟器类型、指向正确的目标并发动攻击。”

“几乎所有东西都是可买卖的。”他补充道，“你可以购买一个 ‘stresser’，这就是个随便哪个会点按钮的人都会使用的 DDoS 僵尸网络。”

网络安全提供商 Imperva 说，用户只需要出几十美金，就可以快速发动攻击。有些公司在它们的网站上说它们的工具包含肉鸡负载和 CnC（命令与控制）文件。使用这些工具，那些有点想法的肉鸡大师（或者被称为 herders）就可以开始传播恶意软件，通过垃圾邮件、漏洞扫描程序、暴力攻击等来感染设备。

大部分 stresser 和 booter 都会有一个常见的、基于订阅服务的 SaaS（软件即服务）业务模式。来自 Incapsula 公司的 Q2 2015 DDoS 报告 显示，在 DDoS 上的月均每小时花费是 38 美元（规模较低的是 19.99 美元）。

“stresser 和 booter 只是新世界的一个副产品，这些可以扳倒企业和机构的服务只能运作在灰色领域”，Imperva 写道。

虽然成本不同，但是企业受到的各种攻击，每次损失在 1.4 万美元到 235 万美元之间。而且企业受到一次攻击后，有 82% 的可能性会再次受到攻击。

物联网洪水攻击 （ DDoS of Things ） （DoT）使用物联网设备建立的僵尸网络可造成非常大规模的 DDoS 攻击。物联网洪水攻击会利用成百上千的物联网设备攻击，无论是大型服务提供商还是企业，均无幸免。

“大部分讲究声誉的 DDoS 卖家都会将他们的工具配置为可修改的，这样你就可以轻松地设置攻击的类型。虽然我还没怎么看到有哪些可以‘付费的’物联网流量模拟器的选项，但我敢肯定就要有了。如果是我来搞这个服务，我是绝对会加入这个选项的。”Cunningham 如是说。

由 IDG 新闻服务的消息可知，要建造一个 DDoS 服务也是很简单的。通常黑客会租用 6 到 12 个左右的服务器，然后使用它们随意的攻击任何目标。去年十月下旬，HackForums.net 关闭了他们的“服务器压力测试”版块，这个做法就是考虑到黑客可能通过使用他们每月十美元的服务建造可雇佣的 DDoS 服务。

同样地在十二月时，美国和欧洲的执法机构 逮捕 34个参与可雇佣的 DDoS 服务的嫌犯。

但是如果这很简单，怎么还没有经常发生攻击？

Cunningham 说这其实每时每刻都在发生，实际上每天每秒都在发生。他说：”你不知道它们的原因是因为大部分都是扰乱攻击，而不是大规模的、想要搞倒公司的攻击。“

他说，大部分的攻击平台只出售那些会让系统宕机一个小时或稍长一点的攻击。通常宕机一小时的攻击大概需要花费 15 到 50 美元。当然这得看平台，有些可能一小时就要花上百美元。

减少这些攻击的解决方案是让用户把所有联网设备的出厂预置的密码改掉，然后还要禁用那些你不需要的功能。

（题图：Victor）

via: http://www.csoonline.com/article/3180246/data-protection/hire-a-ddos-service-to-take-down-your-enemies.html

作者：Ryan Francis 译者：kenxx 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 用户又有一个木马需要苦恼了，就像以往一样，这些坏蛋大多部署在被劫持的 Linux 系统上，并在接受到命令后发起 DDoS 攻击。

发现了这件事的 Dr.Web 的安全研究人员说，木马似乎是通过 破壳漏洞 （ Shellshock ） 感染的这些 Linux 机器——现在仍然有很多设备没有补上这个漏洞。

该木马被命名为 Linux.DDoS.93，它首要会修改 /var/run/dhcpclient-eth0.pid 这个文件，并通过它在计算机启动时运行。如果该文件不存在，就会自己创建一个。

当该木马运行起来以后会进行初始化，它会启动两个进程，一个用于与 C&C （控制）服务器通讯，另外一个用于确保木马的父进程一直运行。

该木马启动 25 个子进程进行 DDoS 攻击

当控制该木马网络的攻击者发起攻击命令时，这个木马会启动 25 个子进程来进行 DDoS 攻击。

当前，该木马可以发出 UDP 洪泛（针对随机或特定端口），TCP 洪泛（简单的包，或给每个包随机增加至多 4096 字节的数据）和 HTTP 洪泛（通过 POST、GET 或 HEAD 请求）。

而且，该木马还能自我更新、自我删除、终止自己的进程、ping、从 C&C 服务器下载和运行文件。

当它发现某些名字时会关闭

这个木马还包括一个功能，如果在扫描计算机内存并列出活动的进程时发现如下字符串会关闭自己：

privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller

这些字符串大多数与信息安全领域有关，似乎是为了防止安全研究人员的反向工程研究，或者是为了避免感染该恶意软件作者自己的机器。

在感染过程中，该木马也会扫描它的旧版本，并会关闭旧版本然后安装一个新的。这意味着这是一个自动更新系统，该木马的最新版本总是会出现在被感染的机器上。

Linux 是过去一个月以来最热门的木马攻击平台，在最近 30 天内，安全研究人员已经发现、分析和曝光了其它五个 Linux 木马： Rex、PNScan、Mirai、 LuaBot 和 Linux.BackDoor.Irc。

对于那些需要在因特网上提供服务或托管主机的人来说，保证您的系统在面对攻击时的安全是一个重要的事情。

mod\_security（一个开源的用于Web应用入侵检测及防护的引擎，可以无缝地集成到Web服务器）和mod\_evasive是两个在服务器端对抗暴力破解和(D)DoS攻击的非常重要的工具。

mod\_evasive，如它的名字一样，在受攻击时提供避实就虚的功能，它像一个雨伞一样保护Web服务器免受那些威胁。

安装mod\_security和mod\_evasive来保护Apache

在这篇文章中我们将讨论如何安装、配置以及在RHEL/CentOS6、7和Fedora 21-15上将它们整合到Apache。另外，我们会模拟攻击以便验证服务器做出了正确的反应。

以上以您的系统中安装有LAMP服务器为基础，所以，如果您没有安装，请先阅读下面链接的文章再开始阅读本文。

• 在RHEL/CentOS 7中安装LAMP

（LCTT 译注：本文有修改。原文为了在RHEL/CentOS 7或Fedora 21中使用同样的工具，而删除了它们自带的 firewalld，使用了旧式的iptables。译者以为这样并不恰当，因此，译文中做了相应删节，并增加了firewalld的相应脚本。）

步骤 1: 安装mod\_security和mod\_evasive

另外，在安装LAMP后，您还需要在RHEL/CentOS 7/6中开启EPEL仓库来安装这两个包。Fedora用户不需要开启这个仓库，因为epel已经是Fedora项目的一部分了。

# yum update && yum install mod_security mod_evasive

当安装结束后，您会在/etc/httpd/conf.d下找到这两个工具的配置文件。

# ls -l /etc/httpd/conf.d

mod\_security + mod\_evasive 配置文件

现在，为了整合这两个模块到Apache，并在启动时加载它们。请确保下面几行出现在mod\_evasive.conf和mod\_security.conf的顶层部分，它们分别为：

LoadModule evasive20_module modules/mod_evasive24.so
LoadModule security2_module modules/mod_security2.so

请注意modules/mod\_security2.so和modules/mod\_evasive24.so都是从/etc/httpd到模块源文件的相对路径。您可以通过列出/etc/httpd/modules的内容来验证（如果需要的话，修改它）：

# cd /etc/httpd/modules
# pwd
# ls -l | grep -Ei '(evasive|security)'

验证mod\_security + mod\_evasive模块

接下来重启Apache并且核实它已加载了mod\_evasive和mod\_security：

# service httpd restart         [在RHEL/CentOS 6和Fedora 20-18上]
# systemctl restart httpd       [在RHEL/CentOS 7和Fedora 21上]

# httpd -M | grep -Ei '(evasive|security)'     [输出已加载的静态模块和动态模块列表]

检查mod\_security + mod\_evasive模块已加载

步骤 2: 安装一个核心规则集并且配置mod\_security

简单来说，一个核心规则集（即CRS）为web服务器提供特定状况下如何反应的指令。mod\_security的开发者们提供了一个免费的CRS，叫做OWASP（[开放Web应用安全项目]）ModSecurity CRS，可以从下面的地址下载和安装。

下载OWASP CRS到为之创建的目录

# mkdir /etc/httpd/crs-tecmint
# cd /etc/httpd/crs-tecmint
# wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master

下载mod\_security核心规则

解压CRS文件并修改文件夹名称

# tar xzf master
# mv SpiderLabs-owasp-modsecurity-crs-ebe8790 owasp-modsecurity-crs

解压mod\_security核心规则

现在，是时候配置mod\_security了

将示例的规则文件（owasp-modsecurity-crs/modsecuritycrs10\_setup.conf.example）拷贝为同名的配置文件。

# cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf

并通过将下面的几行插入到web服务器的主配置文件/etc/httpd/conf/httpd.conf来告诉Apache将这个文件和该模块放在一起使用。如果您选择解压打包文件到另一个文件夹，那么您需要修改Include的路径：

<IfModule security2_module>
    Include crs-tecmint/owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
    Include crs-tecmint/owasp-modsecurity-crs/base_rules/*.conf
</IfModule>

最后，建议您在/etc/httpd/modsecurity.d目录下创建自己的配置文件，在那里我们可以用我们自定义的文件夹（接下来的示例中，我们会将其命名为tecmint.conf）而无需修改CRS文件的目录。这样做能够在CRS发布新版本时更加容易的升级。

<IfModule mod_security2.c>
    SecRuleEngine On
    SecRequestBodyAccess On
    SecResponseBodyAccess On 
    SecResponseBodyMimeType text/plain text/html text/xml application/octet-stream 
    SecDataDir /tmp
</IfModule>

您可以在SpiderLabs的ModSecurity GitHub仓库中参考关于mod\_security目录的更完整的解释。

步骤 3: 配置mod\_evasive

mod\_evasive被配置为使用/etc/httpd/conf.d/mod\_evasive.conf中的指令。与mod\_security不同，由于在包升级时没有规则来更新，因此我们不需要独立的文件来添加自定义指令。

默认的mod\_evasive.conf开启了下列的目录（注意这个文件被详细的注释了，因此我们剔掉了注释以重点显示配置指令）：

<IfModule mod_evasive24.c>
    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10
</IfModule>

这些指令的解释：

• DOSHashTableSize: 这个指令指明了哈希表的大小，它用来追踪基于IP地址的活动。增加这个数字将使得站点访问历史的查询变得更快，但如果被设置的太大则会影响整体性能。
• DOSPageCount: 在DOSPageInterval间隔内可由一个用户发起的针对特定的URI（例如，一个Apache 提供服务的文件）的同一个请求的数量。
• DOSSiteCount: 类似DOSPageCount，但涉及到整个站点总共有多少的请求可以在DOSSiteInterval间隔内被发起。
• DOSBlockingPeriod: 如果一个用户超过了DOSSPageCount的限制或者DOSSiteCount，他的源IP地址将会在DOSBlockingPeriod期间内被加入黑名单。在DOSBlockingPeriod期间，任何从这个IP地址发起的请求将会遭遇一个403禁止错误。

尽可能的试验这些值，以使您的web服务器有能力处理特定大小的负载。

一个小警告: 如果这些值设置的不合适，则您会蒙受阻挡合法用户的风险。

您也许还会用到以下其它有用的指令：

DOSEmailNotify

如果您运行有一个邮件服务器，您可以通过Apache发送警告消息。注意，如果SELinux已开启，您需要授权apache用户SELinux的权限来发送email。您可以通过下面的命令来授予权限：

# setsebool -P httpd_can_sendmail 1

接下来，将这个指令和其他指令一起加入到mod\_evasive.conf文件。

DOSEmailNotify [email protected]

如果这个指令设置了合适的值，并且您的邮件服务器在正常的运行，则当一个IP地址被加入黑名单时，会有一封邮件被发送到相应的地址。

DOSSystemCommand

它需要一个有效的系统命令作为参数，

DOSSystemCommand </command>

这个指令指定当一个IP地址被加入黑名单时执行的命令。它通常结合shell脚本来使用，比如在脚本中添加一条防火墙规则来阻挡某个IP进一步的连接。

写一个shell脚本在防火墙阶段处理IP黑名单

当一个IP地址被加入黑名单，我们需要阻挡它进一步的连接。我们需要下面的shell脚本来执行这个任务。在/usr/local/bin下创建一个叫做scripts-tecmint的文件夹（或其他的名字），以及一个叫做ban\_ip.sh的文件。

用于iptables防火墙

#!/bin/sh
# 由mod_evasive检测出，将被阻挡的IP地址
IP=$1
# iptables的完整路径
IPTABLES="/sbin/iptables"
# mod_evasive锁文件夹
mod_evasive_LOGDIR=/var/log/mod_evasive
# 添加下面的防火墙规则 (阻止所有从$IP流入的流量)
$IPTABLES -I INPUT -s $IP -j DROP
# 为了未来的检测，移除锁文件
rm -f "$mod_evasive_LOGDIR"/dos-"$IP"

用于firewalld防火墙

#!/bin/sh
# 由mod_evasive检测出，将被阻挡的IP地址
IP=$1
# firewalld-cmd的完整路径
FIREWALL_CMD="/usr/bin/firewall-cmd"
# mod_evasive锁文件夹
mod_evasive_LOGDIR=/var/log/mod_evasive
# 添加下面的防火墙规则 (阻止所有从$IP流入的流量)
$FIREWALL_CMD --zone=drop --add-source $IP
# 为了未来的检测，移除锁文件
rm -f "$mod_evasive_LOGDIR"/dos-"$IP"

我们的DOSSystemCommand指令应该是这样的：

DOSSystemCommand "sudo /usr/local/bin/scripts-tecmint/ban_ip.sh %s"

上面一行的%s代表了由mod\_evasive检测到的攻击IP地址。

将apache用户添加到sudoers文件

请注意，如果您不给予apache用户以无需终端和密码的方式运行我们脚本（关键就是这个脚本）的权限，则这一切都不起作用。通常，您只需要以root权限键入visudo来存取/etc/sudoers文件，接下来添加下面的两行即可：

apache ALL=NOPASSWD: /usr/local/bin/scripts-tecmint/ban_ip.sh
Defaults:apache !requiretty

添加Apache用户到Sudoers

重要: 在默认的安全策略下您只能在终端中运行sudo。由于这个时候我们需要在没有tty的时候运行sudo，我们必须像下图中那样注释掉下面这一行：

#Defaults requiretty

为Sudo禁用tty

最后，重启web服务器：

# service httpd restart         [在RHEL/CentOS 6和Fedora 20-18上]
# systemctl restart httpd       [在RHEL/CentOS 7和Fedora 21上]

步骤4: 在Apache上模拟DDoS攻击

有许多工具可以在您的服务器上模拟外部的攻击。您可以google下“tools for simulating DDoS attacks”来找一找相关的工具。

注意，您（也只有您）将负责您模拟所造成的结果。请不要考虑向不在您自己网络中的服务器发起模拟攻击。

假如您想对一个由别人托管的VPS做这些事情，您需要向您的托管商发送适当的警告或就那样的流量通过他们的网络获得允许。Tecmint.com不会为您的行为负责！

另外，仅从一个主机发起一个DoS攻击的模拟无法代表真实的攻击。为了模拟真实的攻击，您需要使用许多客户端在同一时间将您的服务器作为目标。

我们的测试环境由一个CentOS 7服务器[IP 192.168.0.17]和一个Windows组成，在Windows[IP 192.168.0.103]上我们发起攻击：

确认主机IP地址

请播放下面的视频（YT 视频，请自备梯子： https://www.youtube.com/-U_mdet06Jk ），并跟从列出的步骤来模拟一个DoS攻击：

然后攻击者的IP将被防火墙阻挡:

阻挡攻击者的IP地址

结论

在开启mod\_security和mod\_evasive的情况下，模拟攻击会导致CPU和RAM用量在源IP地址被加入黑名单之前出现短暂几秒的使用峰值。如果没有这些模块，模拟攻击绝对会很快将服务器击溃，并使服务器在攻击期间无法提供服务。

我们很高兴听见您打算使用（或已经使用过）这些工具。我们期望得到您的反馈，所以，请在留言处留下您的评价和问题，谢谢！

参考链接

• https://www.modsecurity.org/
• http://www.zdziarski.com/blog/?page_id=442

via: http://www.tecmint.com/protect-apache-using-mod_security-and-mod_evasive-on-rhel-centos-fedora/

作者：Gabriel Cánepa 译者：wwy-hust 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出