Реклама на сайте Advertise with us

Защита от взлома

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 19.05.08
Сообщения: 1894
Рейтинг: 3625


Передовик Master-X (16.06.2010) Передовик Master-X (01.07.2010) Передовик Master-X (16.07.2010) Передовик Master-X (16.05.2011) Передовик Master-X (01.07.2012) Ветеран трепа Master-X (16.07.2012)
Ссылка на сообщениеДобавлено: 12/11/12 в 01:15       Ответить с цитатойцитата 

Сильно достали взломы и их последствия. Посему сел изобретать защиту. Понадумал следующее:
- Закрыть доступы к SSH, админкам сайтов (ещё к чему?) всем IP, кроме своих. А вось хоть чуть поможет.
- Написать умный мониторинг файлов. Алгоритм:
1. Мониторим каждый день все типы файлов з группы риска: *.php, *.cgi, .htaccess (Какие ещё?)
2. если файл изменился или добавился новый такой: КРИЧИМ.

Алгоритм мониторинга в принципе тоже простой, основан на сохранении словаря: путь файла - MD5. С последующим сравнением.


Так вот помомо имеющихзся выше вопросов в тексте есть следующие:
1. Этот алгоритм мониторинга попахивает велосипедом очень сильно и не очень хочется его занова изобретать. Может есть подобные решения? Подскажите плиз
2. Если на предыдущий вопрос ответ НЕТ: есть ли союзники желающие написать подобное или хотя бы поучавствовать в обсуждении для отполировывания идеи? Если да Велком, выложимся на ГитХабчик.
3. Какие ещё меры по защите применяете вы?


Всем Спасибо и рейтинг за ответы по теме!

(!)Внимание Ero Advertising дополнительный Еврики от продажи рекламы. Особенно попандеров и мобилок.

2
 



С нами с 28.02.12
Сообщения: 651
Рейтинг: 571

Ссылка на сообщениеДобавлено: 12/11/12 в 01:20       Ответить с цитатойцитата 

ссылки нет под рукой, тут не давно спамился сервис такой, чекает файло и почее на предмет взлома. Работает по абонплате.

0
 



С нами с 11.09.09
Сообщения: 1385
Рейтинг: 409

Ссылка на сообщениеДобавлено: 12/11/12 в 01:45       Ответить с цитатойцитата 

1. Этот алгоритм мониторинга попахивает велосипедом очень сильно и не очень хочется его занова изобретать.

иногда лучше сделать своё, чем ебстись горой мусора

0
 



С нами с 19.11.04
Сообщения: 881
Рейтинг: 837

Ссылка на сообщениеДобавлено: 12/11/12 в 03:33       Ответить с цитатойцитата 

Советую начать юзать гугл и не изобретать велосипеды, все уже придумано до вас много лет назад.
1. iptables / ipfw
2. AIDE / tripwire

9
 



С нами с 04.10.09
Сообщения: 686
Рейтинг: 638

Ссылка на сообщениеДобавлено: 12/11/12 в 09:21       Ответить с цитатойцитата 

Есть чекалки для сервера http://rkhunter.sourceforge.net/ и http://www.spenneberg.org/chkrootkit-mirror/ обе юзаются на серверах. Если сервер на cpanel там тоже есть платный плагин, который проверяет файлы на фишинг, етс. используя в том числе быза clamd (антивирус).

Качественный хостинг для Ваших проектов!

9
 

Soul's Buyer

С нами с 16.11.05
Сообщения: 12702
Рейтинг: 10740


Передовик Master-X (16.10.2008) Передовик Master-X (01.11.2008) Передовик Master-X (16.11.2008) Передовик Master-X (01.12.2008) Передовик Master-X (16.12.2008) Ветеран трепа Master-X (01.01.2009)
Ссылка на сообщениеДобавлено: 12/11/12 в 10:38       Ответить с цитатойцитата 

А чё не нанять админа, который в курсе, что всё это 100500 раз уже написано ?

Cdn быстро, надёжно и недорого!

0
 



С нами с 19.02.10
Сообщения: 251
Рейтинг: 276

Ссылка на сообщениеДобавлено: 12/11/12 в 20:25       Ответить с цитатойцитата 

StartPoint

1) Закрыть от внешнего мира все порты, кроме нужных (22 и 80-83) .
2) Использовать SSH для работы с сервером (шифрование канала, нестандартный порт, отсутствие возможности под root-ом войти в систему сразу).
3) Удалить лишнее ПО (в том числе FTP-сервер)(никаких админок! включая РМА).
4) Отключить все лишние модули для Apache.

Let's Go

1. SSH
1) создаем непривилегированного пользователя
2) удаляем все, что есть в /etc/securetty
3) открываем /etc/ssh/sshd_config запускаем редактор и меняем порт SSH
4) указываем список пользователей, которым возможен доступ по SSH (и никому другому): AllowUsers user1 xpvit2
5) перезапускаем SSH сервер и проверяем настройки доступа

2. Firewall
1) создаем новый файл с правилами фильтрации /usr/local/etc/firewall
Код: [развернуть]


В строке $IPTABLES -A INPUT -j ACCEPT -p tcp --dport 22 замените порт 22 на тот, который указали ранее для SSH

3. Apt-Updates
1) устанавливаем пакет cron-apt, который будет следить за наличием обновлений, скачивать их и уведомлять администратора по электронной почте:
Код: [развернуть]

2) решаем, в каких случаях получать почтовые уведомления - всегда или только, когда есть что обновить. Это можно установить в файле /etc/cron-apt/config


4. etc
1) проверяем error_log и access_log на наличие вандалов
2) блокируем безжалостно всех по IР, в т.ч. по подсетям
3)...постоянно проверяем логи icon_wink.gif

....

Настраивать в nix нужно\можно бесконечно, выше приведены лишь базовые шаги на пути к безопасности вашего сервака

Удачи в делах! smail54.gif

14
 
+ + + + + +


С нами с 05.11.12
Сообщения: 1938
Рейтинг: 809

Ссылка на сообщениеДобавлено: 12/11/12 в 22:53       Ответить с цитатойцитата 

Смысл строить стену выше если под ней подкоп? Нужно отталкиваться от того как ломают и через что. Если вы не устранили последствия предыдущего взлома то они будут продолжаться чтобы вы не изобретали.

RiverVanRain писал:
2) блокируем безжалостно всех по IР, в т.ч. по подсетям

Со всем согласен но блок по ип это фейл. Один раз ботнетом пофлудят и все подсети будут в бане. Да и взломщику передернуть ип дело секунд 3х

1
 



С нами с 19.02.10
Сообщения: 251
Рейтинг: 276

Ссылка на сообщениеДобавлено: 13/11/12 в 00:09       Ответить с цитатойцитата 

awm5433224455 писал:
Нужно отталкиваться от того как ломают и через что


+1 Кривизну рук и бажные скрипты еще никто не отменял icon_smile.gif


awm5433224455 писал:
блок по ип это фейл


Везде нужно думать ч т о нужно и д л я чего.
Мне, например, .CH траф не нужен вовсе, потому блокирую их В/С-сети без всякой степени жалости.

.....

ИМХО, самый простой алгоритм изучения логов должен быть такой:
- смотрим на действия
- чекаем IP
---если нехорошее что-то - в бан
---если не страшен - на заметку до следующего чека
- обнаруживаем частоту всяких нечистот с замеченных IP - баним

.....

Но это все частные случаи и не каждому, конечно, подойдут, ибо:

Цитата:
Взлом взлому - рознь, и БП еще никто не отменял icon_wink.gif

8
 



С нами с 19.05.08
Сообщения: 1894
Рейтинг: 3625


Передовик Master-X (16.06.2010) Передовик Master-X (01.07.2010) Передовик Master-X (16.07.2010) Передовик Master-X (16.05.2011) Передовик Master-X (01.07.2012) Ветеран трепа Master-X (16.07.2012)
Ссылка на сообщениеДобавлено: 13/11/12 в 00:51       Ответить с цитатойцитата 

RiverVanRain: Спасибо огромное за мануал. Но уже известно что ломают чаще всего через скрипты.вот именно от такого типа взлома и есть желание защититься. Даже не защититься, а мониторить.

(!)Внимание Ero Advertising дополнительный Еврики от продажи рекламы. Особенно попандеров и мобилок.

0
 



С нами с 19.02.10
Сообщения: 251
Рейтинг: 276

Ссылка на сообщениеДобавлено: 13/11/12 в 01:14       Ответить с цитатойцитата 

xp-ViT: Ну, если такое дело, то нет ничего лучше, чем acunetix.
Но оч.дорогое решение icon_sad.gif

0
 



С нами с 19.02.10
Сообщения: 251
Рейтинг: 276

Ссылка на сообщениеДобавлено: 13/11/12 в 01:32       Ответить с цитатойцитата 

Из других сканеров попробуйте бесплатные\платные солюшены:

- rapid7
- nessus
- arachni

Есть еще туева хуча, но либо Desktop, либо с малозаметными базами уязвимостей.

OFF HERE

Впрочем, если шкодим, то:

- от SQL трвлений берем исходник отсюда Block Bad Queries (BBQ)
- от XSS-инъекций и попыток модифицировать переменные GLOBALS и _REQUEST пишем в .htaccess
Код: [развернуть]

- от личеров защищаемся тем же:
Код: [развернуть]


...ну и еще с 10 решений, которые сейчас навскидку не вспомню (вспомню-отредактирую пост)...

Возможно, все это встроите каким-то образом в свой велосипед и он будет не хуже крутить педалями, чем у соседей icon_cool.gif

1
 
+ + + + + +


С нами с 05.11.12
Сообщения: 1938
Рейтинг: 809

Ссылка на сообщениеДобавлено: 13/11/12 в 01:57       Ответить с цитатойцитата 

xp-ViT писал:
Спасибо огромное за мануал. Но уже известно что ломают чаще всего через скрипты.вот именно от такого типа взлома и есть желание защититься. Даже не защититься, а мониторить

Мониторить можно в логах. Защититься регулярным обновлением скриптов. А тебя ломают постоянно видимо из за того что ты или не вычистил бекдор или не залатал дыру или все вместе.
Я уже тебе говорил что ты строишь еще метр стены вверх а к тебе спокойно пролазиют через подкоп. Найди баг через который к тебе пролезли первый раз, возьми бекап до первого взлома, залатай найденный баг, переустанови и перенастрой сервер залей залатанный бекап и жди взлома мониторя логи. И так пока все не залатаешь.

0
 



С нами с 12.08.04
Сообщения: 613
Рейтинг: 128

Ссылка на сообщениеДобавлено: 13/11/12 в 10:23       Ответить с цитатойцитата 

и проверяй целостность файлов. сервис в подписи.

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »