Jump to content

Хелп! Ломанули сервер!


Recommended Posts

  • Replies 72
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.

Вообще по феншую делать так: - меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас - делаете персона

Posted Images

Вообще по феншую делать так:
- меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас

- делаете персональные ключи для аутентификации и на сервак ходите только по ключам ( ключи персональные, ими не делится )

- в ssh отключаете аутентификацию по паролю

- Через find найдите все файлы созданные/измененные за месяц, если это просто роутер то там будет только всякие логи, пиды ну и новые "друзья" их просто удалите. 

- Проверьте /etc/passwd на предмет новых юзеров с невменяемыми названиями. Проследите чтоб у изначально системных логинов не было изменено шелла (обычно у них стоит какой то /sbin/nologin из под которого нельзя удаленно  попасть на сервак). 

- Проверьте файл /etc/sudoers если используете sudo

- Обновите ПО

 

Закрывать ссш наружу не всегда вариант, казявка может быть и в вашей сети, или вобще вашим занкомым имеющим пароль на сервак и решив его поюзать в своих интересах.

Link to post
Share on other sites

Вообще по феншую делать так:

- меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас

- делаете персональные ключи для аутентификации и на сервак ходите только по ключам ( ключи персональные, ими не делится )

- в ssh отключаете аутентификацию по паролю

 

...

 

Закрывать ссш наружу не всегда вариант, казявка может быть и в вашей сети, или вобще вашим занкомым имеющим пароль на сервак и решив его поюзать в своих интересах.

Еще навесить denyhosts или аналог. Отлично защищает от подбора паролей.

ОС надо переустанавливать, конечно. Система уже скомпроментирована, доверия ей никакого. После получения рутового доступа гадость может сидеть где угодно, вплоть до того что система на самом деле сейчас может работать в виртуалке.

Edited by madf
Link to post
Share on other sites

 

Закрывать ссш наружу не всегда вариант, казявка может быть и в вашей сети, или вобще вашим занкомым имеющим пароль на сервак и решив его поюзать в своих интересах.

Ну так и сам админ может бэкдоры на клиентские машинки ставить и до одного места тогда все остальное. 

Link to post
Share on other sites

Лучше начните с основ - белых списков, tcp wrappers в sshd ведь на всех системах включен по дефолту. Открываете /etc/hosts.allow и пишите туда только свои айпишники, например:

sshd : 1.1.1.1 1.1.1.2 : allow
sshd : 2.2.2. : allow
sshd : ALL : deny 
Link to post
Share on other sites

После получения рутового доступа гадость может сидеть где угодно, вплоть до того что система на самом деле сейчас может работать в виртуалке.

Строго говоря - гадость может сидеть уже даже в биосе ;) Прецеденты "бирусов" уже есть.
Link to post
Share on other sites

Эта "штука" работает для sshd на всех системах по дефолту, ее специально включать не надо, ее можно только специально отключить.

Link to post
Share on other sites

 

Лучше начните с основ - белых списков, tcp wrappers в sshd ведь на всех системах включен по дефолту. Открываете /etc/hosts.allow и пишите туда только свои айпишники, например:

sshd : 1.1.1.1 1.1.1.2 : allow
sshd : 2.2.2. : allow
sshd : ALL : deny 

Нехорошо так делать, правилами хорошего тона говорится что все блокировки должны быть в фаерволе. Зачем выдумывать сущности?

Link to post
Share on other sites

Кайот, что-то у вас много правил каких-то непонятных. Нехорошо следовать каким-то правилам непонятно кем и зачем придуманным, хорошо - думать своей головой.

Edited by ttttt
Link to post
Share on other sites

Кайот, что-то у вас много правил каких-то непонятных. Нехорошо следовать каким-то правилам непонятно кем и зачем придуманным, хорошо - думать своей головой.

Вот моя голова как раз эти правила и подсказывает. Иначе следующий админ проклянет вас, пока поймет с какого лешего ssh не конектится с нужных адресов.

Link to post
Share on other sites

Ну если у вас один дистр какой-то на всех машинах, то еще терпимо ограничивать что-то файрволом. А когда это и линуксы и фря и где-то есть файрвол, а где-то нет и файрволы, как вы понимаете, разные, то какое вообще ограничение файрволом? Это будет ужас для админа. 

Link to post
Share on other sites

Ну если у вас один дистр какой-то на всех машинах, то еще терпимо ограничивать что-то файрволом. А когда это и линуксы и фря и где-то есть файрвол, а где-то нет и файрволы, как вы понимаете, разные, то какое вообще ограничение файрволом? Это будет ужас для админа.

Машины без файрвола вообще? Оригинально-с...

И да, админа, разводящего зоопарк разных дистров и тем более разных осей без крайней на то нужды (а ее собссно и нет в большинстве случаев - бздя по большей части ставится исходя из привычки, а не реальной необходимости в каком-либо специфичном функционале) и так ждет ужас. Вернее, его преемника, который будет весь этот зоопарк причесывать и риводить к единообразному виду.

Edited by NiTr0
Link to post
Share on other sites

 

Машины без файрвола вообще? Оригинально-с...

Ну расскажите мне, зачем файрвол на машинах. Это админская чушь "по феншую" уже поднадоела, почему нельзя головой подумать? Вот если нет реальной надобности держать файрвол, зачем держать файрвол?

 

 

И да, админа, разводящего зоопарк разных дистров

Админов, вообще-то, никто спрашивать не будет по архитектуре, а то они понаделают.. 

Да и нет у меня админов, они давно заменены скриптами.

Link to post
Share on other sites

 

а http://www.fail2ban.org/ кто-то юзал?

Вот скажите, зачем оно вам? Оно нужно только хостингам с sshd открытым на весь мир, потому что они не могут использовать белые списки или отключить пароли. 

Link to post
Share on other sites

а http://www.fail2ban.org/ кто-то юзал?...  вопрос так..ради интереса -)

я использую, ставил для asteriska в день по 3-4 ip ловлю,  ssh - раньше каждый день очень большой подбор был, поменял порт и ни кого + fail2ban(так сказать двойная защита на ссш)

Link to post
Share on other sites

 

 

Машины без файрвола вообще? Оригинально-с...

Ну расскажите мне, зачем файрвол на машинах. Это админская чушь "по феншую" уже поднадоела, почему нельзя головой подумать? Вот если нет реальной надобности держать файрвол, зачем держать файрвол?

 

 

Например, где конкретно нет надобности разграничить доступ к сервисам на "доверенные"/"локалка"/"мир"? Вы мускул открытым портом в мир высовываете? На PPTP (юзаемый, к прмеру, для доступа извне в сеть) не ставите лимит на коннекты дабы не зафлудили его? На DNS не режете rate запросов, давая тем самым пищу ддосу через dns amplification?

И накой при наличии файрвола в ядре городить костыли в юзерленде в виде tcpwrappers, который с одними сервисами работает, с другими - не работает, с третьими - работает только если собрать с нужным флагом? Что вами руководит - тяга к зоопаркам, как и в случае дистров?

Админов, вообще-то, никто спрашивать не будет по архитектуре, а то они понаделают.. 

Да и нет у меня админов, они давно заменены скриптами.

Единственный и незаменимый мегоодмин, привязанный 24 часа в сутки 7 дней в неделю к местонахождению сети (ибо если крякнется что-то - никто, кроме него, не осилит сеть поднять)?

И да, судя по вашему зоопарку - вы таки и понаделали...

Link to post
Share on other sites

 

Например, где конкретно нет надобности разграничить доступ к сервисам на "доверенные"/"локалка"/"мир"?

Вы не подменяйте понятия, файрвол и ограничение доступа - разные вещи. Мне нужно разграничивать доступ, но мне не нужно это делать файрволом.

 

 

Вы мускул открытым портом в мир высовываете?

Мускула вообще нет.

 

 

На DNS не режете rate запросов, давая тем самым пищу ддосу через dns amplification?

Мда. Вы вообще понимаете, что такое dns amplification? Такие атаки возможны, только если ваш рекурсивный днс криво настроен, т.е. в мир открыт. Даже инициатива была выловить кривые днс, проверьте себя: http://openresolverproject.org/

 

 

И накой при наличии файрвола в ядре городить костыли в юзерленде в виде tcpwrappers, который с одними сервисами работает, с другими - не работает, с третьими - работает только если собрать с нужным флагом?

 

Это не аргумент, это ваша религия. Я могу точно также спросить, и накой пользоваться файрволом в ядре, который в каждом ядре разный, а где-то вообще нет, если можно для sshd пользоваться tcp wrappers? А для чего-то другого мне и не нужно. 

 

 

Единственный и незаменимый мегоодмин

Да нету админа вообще, никакого. 

 

 

И да, судя по вашему зоопарку - вы таки и понаделали...

 

Ха, зоопарк. Зоопарк - это традиционный подход, который вы проповедуете: админы, пакеты, ручками деплоить на каждой машине из терминала, каждая машина имеет разное предназанчение и т.д. Как только у вас будет много машин - окажется, что нихера такой подход не работает и добавление админов ничего не решит, единственный способ все это держать - только автоматизировать, а админы обычно не в состоянии это делать. Вот и нет админов. И деплоить софт раз в пару дней занимает ну максимум пол часа. 
Link to post
Share on other sites

ttttt, on 03 Июн 2013 - 18:22, said:

Вы не подменяйте понятия, файрвол и ограничение доступа - разные вещи. Мне нужно разграничивать доступ, но мне не нужно это делать файрволом.

Чего-чего? И чо, buffer overflow exploit'ы без файрвола зарежете? :) Ах да, труЪ админы до таких мелочей не опускаются, у них весь софт по дефолту - без уязвимостей, и доступ к серверу только брутом ssh можно получить...

ttttt, on 03 Июн 2013 - 18:22, said:

Мускула вообще нет.

И других серверов БД тоже?

ttttt, on 03 Июн 2013 - 18:22, said:

Мда. Вы вообще понимаете, что такое dns amplification? Такие атаки возможны, только если ваш рекурсивный днс криво настроен, т.е. в мир открыт. Даже инициатива была выловить кривые днс, проверьте себя: http://openresolverproject.org/

Открою огромный секрет: dns amplification подвержен любой днс сервер, открытый в мир. А закрыть сервер в мир прову, у которого свое доменное имя - бред редкостный... А вот ограничить флуд, лимитировав кол-во пакетов в секунду - легко.

ttttt, on 03 Июн 2013 - 18:22, said:

Это не аргумент, это ваша религия. Я могу точно также спросить, и накой пользоваться файрволом в ядре, который в каждом ядре разный, а где-то вообще нет, если можно для sshd пользоваться tcp wrappers? А для чего-то другого мне и не нужно.

А нехрен зоопарк осей разводить, чтобы потом в ядрах путаться. Бздя, по большому счету, юзается только из религиозных соображений. Ибо в стагнации уже хрензнает сколько лет.

И нехрен разводить зоопарк методов ограничения доступа, чтобы никто кроме вас не смог в этих кишках разобраться?

ttttt, on 03 Июн 2013 - 18:22, said:

Да нету админа вообще, никакого.

Чо, и упавший сервер святым духом поднимается, и софт новый по мановению руки накатывается, и апдейты сами по себе ставятся?

ttttt, on 03 Июн 2013 - 18:22, said:

Ха, зоопарк. Зоопарк - это традиционный подход, который вы проповедуете: админы, пакеты, ручками деплоить на каждой машине из терминала, каждая машина имеет разное предназанчение и т.д. Как только у вас будет много машин - окажется, что нихера такой подход не работает и добавление админов ничего не решит, единственный способ все это держать - только автоматизировать, а админы обычно не в состоянии это делать. Вот и нет админов. И деплоить софт раз в пару дней занимает ну максимум пол часа.

Кого-кого деплоить?

Вы что, из сырцов все собираете? Помойка нравится - слаку ставьте, ощутите все прелести. Ну или генту, сравните ее обслуживание с обслуживанием того же дебиана/рхел по затратам времени, прослезитесь.

Кстати, сколько времени при вашем подходе занимает апдейт библиотек на мажорные версии, из-за чего рассыпается половина системы? Или вы секьюрити патчи бэкпортируете, как мэйнтейнеры дебиана/редхэта? Или просто забиваете на апдейты? :) О рассыпании серверов из-за сменившейся структуры конфигов сервиса - помолчу.

Link to post
Share on other sites

 

только автоматизировать, а админы обычно не в состоянии это делать. Вот и нет админов

 

Не тех нанимаете, те что умеют стоять гораздо дороже.

Link to post
Share on other sites

И чо, buffer overflow exploit'ы без файрвола зарежете?

Какой-то детский лепет уже :)

Вот допустим эксплоит в апаче, как вы зарежите его файрволом, например ipfw? Естественно, что апач должен продолжать отвечать на запросы.

И других серверов БД тоже?

Другие бд тоже не смотрям в мир, есть своего рода бд прокси, который раскладывает данные по шардам/серверам. Вот он смотрит в мир, но ему тоже не нужен файрвол для ограничения доступа.

Открою огромный секрет: dns amplification подвержен любой днс сервер, открытый в мир. А закрыть сервер в мир прову, у которого свое доменное имя - бред редкостный... А вот ограничить флуд, лимитировав кол-во пакетов в секунду - легко.

Открою вам еще больший секрет: для доменов нужен авторитативный сервер, а не рекурсивный. Авторитативный может смотреть в мир сколько влезет и в качестве амплификатора использоваться не будет.

Чо, и упавший сервер святым духом поднимается, и софт новый по мановению руки накатывается, и апдейты сами по себе ставятся?

Нет конечно.

Вы что, из сырцов все собираете? Помойка нравится - слаку ставьте, ощутите все прелести. Ну или генту, сравните ее обслуживание с обслуживанием того же дебиана/рхел по затратам времени, прослезитесь.

Кстати, сколько времени при вашем подходе занимает апдейт библиотек на мажорные версии, из-за чего рассыпается половина системы? Или вы секьюрити патчи бэкпортируете, как мэйнтейнеры дебиана/редхэта? Или просто забиваете на апдейты? :) О рассыпании серверов из-за сменившейся структуры конфигов сервиса - помолчу.

Из сырцов почит все, да, кое-что статически кросс-компилится, тогда компилится на той машине, с которой деплоится. Апдейт библиотеки занимает очень мало времени, потому что все библиотеки собираются вместе с каждым сервисом изолированно от остальных. Конфиги генерируются, ничего руками не делается. Уже об этом говорил в прошлой теме.

сравните ее обслуживание с обслуживанием того же дебиана/рхел по затратам времени, прослезитесь

Чего сравнивать, было дело и с дебианом. Сейчас поддержка серверов вообще времени не отнимает, софт деплоится все равно чаще, раз в пару дней может, если в среднем. Edited by ttttt
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...