- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Попросите своего админа сделать аудит сервера
да тут какое дело... я и есть админ.
сделать то я всё сделал, теперь ломать перестали, но дырки найти так и не могу
просмотр логов апача не прояснил ситуацию?
я так понял пеха у вас модулем, и все папки доступны на запись всем как минимум от имени апача...
потому как я не хостер... могу посоветовать сделать так (собственно лишним в любом варианте не будет) :
раз у вас нет желания\возможности сделать пеху сэгэайкой , чтобы она исполнялась под определенным узером (ну типо длякаждого акка свой) .. поделите для начала аккаунты на несколько частей - которые "ломают -тоесть где появляются проблемы), которым не нужны исходящие коннекты, и все остальные. биндите эти сборки на 127 0 0 1 (2 3 4 5 6 ) сколько вам их там понадобится, биндите эти апачи чрутенные на эти 127*, на каждом заводите пачку виртуалхостнеймов.
делаете chroot, в него кидаете комплект софта и юзеров. делите по хостнейму нгинксом просто тупо проксированием в зависимости от запроса хостнейма.
получаете как минимум вероятность ломания в разы меньше = то что было поделить на количество чрутченных систем.
ставьте мод секур, пишите им все данные POST. если есть клиенты которым пост не нужен - блокаете на нгинксе не допуская вообще к апачу.
елси есть есть vip пользователи - выносите их в отдельный chroot.
мониторьте логи проблемных сайтов. фильтруйте пост и гет запросы с фразами хотя бы откровенно опасными типа http ftp:// wget curl -я бы порекомендовал это делать до апача например прямо в нгинксе.
определитесь с аккаунтами на предмет -кому нужен исходящий коннект а кому нет. всем кому не нужен - запретите фаерволом. фря вполне умеет делать deny tcp out по ID узера
поделите их.
вообще делеать паблик на модПхп не стоит.
хотя ... по моему в последних апачах чтото было про проверку принадлежности файлов , если память на беглый годовалый просмотр не изменяет - то апач не даст писать в папку не принадлежащуй юзеру.. полистайте на предмет ИДтрак или чтото в этом роде
может чтото и выловите.
manman, тогда уже лучше jail
manman, тогда уже лучше jail
у жайла изначально нету возможности оут коннектов, не всегда оно лучше в жизни то...
Апач - не апач.
Скорее, троян засел у Вас на компе и скомуниздил пароль на FTP из ftp-клиенты.
Достаточно частая ситуация. Нужно не аудит сервера делать, а свой комп защищать тщательнее
Апач - не апач.
Скорее, троян засел у Вас на компе и скомуниздил пароль на FTP из ftp-клиенты.
Достаточно частая ситуация. Нужно не аудит сервера делать, а свой комп защищать тщательнее
если они админы - нафига бы им фитипи :-)
скорее уж тогда рута уперли,
1 last и посмотреть откуда были коннекты
2 закрыть ssh фаерволом от всех кроме себя на всяк случай ...
grepнуть по пути логи фитипишиные особенно в части поста файлов с вирусом...
не все хостеры знают, что файло даже залитое пд рутом в папку с правами на запись группе, убивается любым из этой группы :-)
я когда то сам был ошарашен
файло от рута в паке юзера, права на папку -принадлежат узеру, права на файл - только руту.
узер не может открыть файло на запись.. но **, зато может ему rm сказать, рм ругается - типа "оно не твое ж" ...но стирает :-)
отсюда второй вывод - "свое" не лить на того же апача где клиенты
просмотр логов апача не прояснил ситуацию?
я так понял пеха у вас модулем, и все папки доступны на запись всем как минимум от имени апача...
потому как я не хостер... могу посоветовать сделать так (собственно лишним в любом варианте не будет) :
раз у вас нет желания\возможности сделать пеху сэгэайкой , чтобы она исполнялась под определенным узером (ну типо длякаждого акка свой) .. поделите для начала аккаунты на несколько частей - которые "ломают -тоесть где появляются проблемы), которым не нужны исходящие коннекты, и все остальные. биндите эти сборки на 127 0 0 1 (2 3 4 5 6 ) сколько вам их там понадобится, биндите эти апачи чрутенные на эти 127*, на каждом заводите пачку виртуалхостнеймов.
делаете chroot, в него кидаете комплект софта и юзеров. делите по хостнейму нгинксом просто тупо проксированием в зависимости от запроса хостнейма.
получаете как минимум вероятность ломания в разы меньше = то что было поделить на количество чрутченных систем.
ставьте мод секур, пишите им все данные POST. если есть клиенты которым пост не нужен - блокаете на нгинксе не допуская вообще к апачу.
елси есть есть vip пользователи - выносите их в отдельный chroot.
мониторьте логи проблемных сайтов. фильтруйте пост и гет запросы с фразами хотя бы откровенно опасными типа http ftp:// wget curl -я бы порекомендовал это делать до апача например прямо в нгинксе.
определитесь с аккаунтами на предмет -кому нужен исходящий коннект а кому нет. всем кому не нужен - запретите фаерволом. фря вполне умеет делать deny tcp out по ID узера
поделите их.
вообще делеать паблик на модПхп не стоит.
хотя ... по моему в последних апачах чтото было про проверку принадлежности файлов , если память на беглый годовалый просмотр не изменяет - то апач не даст писать в папку не принадлежащуй юзеру.. полистайте на предмет ИДтрак или чтото в этом роде
может чтото и выловите.
php как модуль работает, да. Делать его как fastcgi или просто cgi нет ни возможности ни желания. Точнее как fastcgi + nginx без апача я бы еще и сделал, но не все проекты под этим делом поедут, да и код переписывать скорее всего придется. А в качестве просто cgi php не канает.
"Клиентов" как таковых нет, все "пользователи" сервера - это просто разбивка проектов по разным папкам грубо говоря. Все сайты на сервере наши с партнером.
Сейчас я закрыл всех пользователей по open_basedir. И ломать перестали. Пока.
Закрывал по open_basedir пользователей не сразу а постепенно, дабы проверять где ломают, где нет.
Последним поломаным оставался пользователь, где стоит только phpAdsNew (теперь OpenAds). Но ставилось это дело из портов и поэтому гноилось в папке /usr/loca/www/phpadsnew и все файлы принадлежали www:www, от которого и апач работает. Но как закрыл по open_bd, так и там взломы прекратились. До этого были закрыты все пользователи, кроме этого phpads. Но одного пользователя тогда ломали. Код всего сайта, который ломали, писал я сам. Перерыл всё что смог, дыр так и не нашел.
В логах апача и nginx'а как я уже говорил весьма пусто. Есть куча попыток долбежа к разным скрипта с подозрительными урлами, но они все в другое время относительно взлома, и там половина с 404 ошибкой, остальное все проверил - всё чисто, ничего не дает.
Правда на всякий случай внес еще хренову прорву проверок в скрипты :).
Половину слов, типа биндить сборки я не понял. Точнее понял, но как сделать несколько разных инстансов апача - в душе не представляю. Да и думаю лишнее это.
Насчет фильтрации get и post запросов в nginx с подозрительными фразами. А как это сделать? Т.е. их денаить или записывать в отдельный лог? Ну если с curl и wget понятно, то например http часто встречается и по делу в запросах.
У последнего апача есть suexec. Так вроде называется. Он может исполнять все от текущего пользователя. Но, как я понял, производительность падает чуть ли не в 2 порядка. Что критично, сервер весьма нагруженый.
Скорее, троян засел у Вас на компе и скомуниздил пароль на FTP из ftp-клиенты.
Достаточно частая ситуация. Нужно не аудит сервера делать, а свой комп защищать тщательнее
как я уже неоднократно писал, взломы были в то время, когда фтп на сервере был отключен, оба компа, которые имеют доступ к серверу были физически выключены, а доступ по ssh2 был только для 1го пользователя по privatekey длинной 2к.
1 last и посмотреть откуда были коннекты
2 закрыть ssh фаерволом от всех кроме себя на всяк случай ...
рут явно не уперли. Ласт и лог авторизации показывал, что всё ок. Никто не пробился, хотя попытки были. ssh закрыт privatekey'ем. А как его еще и файрволом закрыть? Но есть проблема - что уменя, что у партнера, айпишники динамические.
Половину слов, типа биндить сборки я не понял. Точнее понял, но как сделать несколько разных инстансов апача - в душе не представляю. Да и думаю лишнее это.
и не надо - это плохой путь - мое ИМХО:)
как я уже неоднократно писал, взломы были в то время, когда фтп на сервере был отключен, оба компа, которые имеют доступ к серверу были физически выключены, а доступ по ssh2 был только для 1го пользователя по privatekey длинной 2к.
самая частая проблема - галкка в сохранить пасс в тотал...вин т.п. коммандаре
соответсвенно и неважно была ваши компы в сети или нет!
НО... если фтп выключали на серваке... тогда отпадает (за редким исключением... какой у вас сервис стоит -профтпд?)
да тут какое дело... я и есть админ.
Назвался админом - делай аудит 🚬
***
Половину слов, типа биндить сборки я не понял. Точнее понял, но как сделать несколько разных инстансов апача - в душе не представляю. Да и думаю лишнее это.
надо ли... от параноии помогает, по крайней мере если поломают что-то дальше апача - то восстанавливается система на раз-два.
*
😡 непонятно, за что меня натыкали в тыковку ну да ладно. странные люди ... поэтому все остальное в мануал 😡
зы: в этой ветке есть народ, который может подтвердить , что я не даю бесполезных советов. просто, как я понял, не всем спрашивающим советы нужны.