Перейти до

Хелп! Ломанули сервер!

wifi_master

Автор: wifi_master,
в Софт

 Share Подписчики 1

Рекомендованные сообщения

  • Відповіді 72
  • Створено
  • Остання відповідь

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Кеша

и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

KaYot

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.

UStas_rinet

Вообще по феншую делать так: - меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас - делаете персона

Posted Images

UStas_rinet

UStas_rinet 43

Опубліковано:
Опубліковано:

Вообще по феншую делать так:
- меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас

- делаете персональные ключи для аутентификации и на сервак ходите только по ключам ( ключи персональные, ими не делится )

- в ssh отключаете аутентификацию по паролю

- Через find найдите все файлы созданные/измененные за месяц, если это просто роутер то там будет только всякие логи, пиды ну и новые "друзья" их просто удалите. 

- Проверьте /etc/passwd на предмет новых юзеров с невменяемыми названиями. Проследите чтоб у изначально системных логинов не было изменено шелла (обычно у них стоит какой то /sbin/nologin из под которого нельзя удаленно  попасть на сервак). 

- Проверьте файл /etc/sudoers если используете sudo

- Обновите ПО

 

Закрывать ссш наружу не всегда вариант, казявка может быть и в вашей сети, или вобще вашим занкомым имеющим пароль на сервак и решив его поюзать в своих интересах.

Ссылка на сообщение
Поделиться на других сайтах
madf

madf 279

Опубліковано:
Опубліковано: (відредаговано)

Вообще по феншую делать так:

- меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас

- делаете персональные ключи для аутентификации и на сервак ходите только по ключам ( ключи персональные, ими не делится )

- в ssh отключаете аутентификацию по паролю

 

...

 

Закрывать ссш наружу не всегда вариант, казявка может быть и в вашей сети, или вобще вашим занкомым имеющим пароль на сервак и решив его поюзать в своих интересах.

Еще навесить denyhosts или аналог. Отлично защищает от подбора паролей.

ОС надо переустанавливать, конечно. Система уже скомпроментирована, доверия ей никакого. После получения рутового доступа гадость может сидеть где угодно, вплоть до того что система на самом деле сейчас может работать в виртуалке.

Відредаговано madf
Ссылка на сообщение
Поделиться на других сайтах
ttttt

ttttt 195

Опубліковано:
Опубліковано:

 

Закрывать ссш наружу не всегда вариант, казявка может быть и в вашей сети, или вобще вашим занкомым имеющим пароль на сервак и решив его поюзать в своих интересах.

Ну так и сам админ может бэкдоры на клиентские машинки ставить и до одного места тогда все остальное. 

Ссылка на сообщение
Поделиться на других сайтах
ttttt

ttttt 195

Опубліковано:
Опубліковано:

Лучше начните с основ - белых списков, tcp wrappers в sshd ведь на всех системах включен по дефолту. Открываете /etc/hosts.allow и пишите туда только свои айпишники, например:

sshd : 1.1.1.1 1.1.1.2 : allow
sshd : 2.2.2. : allow
sshd : ALL : deny 
Ссылка на сообщение
Поделиться на других сайтах
NiTr0

NiTr0 583

Опубліковано:
Опубліковано:

После получения рутового доступа гадость может сидеть где угодно, вплоть до того что система на самом деле сейчас может работать в виртуалке.

Строго говоря - гадость может сидеть уже даже в биосе ;) Прецеденты "бирусов" уже есть.
Ссылка на сообщение
Поделиться на других сайтах
ttttt

ttttt 195

Опубліковано:
Опубліковано:

Эта "штука" работает для sshd на всех системах по дефолту, ее специально включать не надо, ее можно только специально отключить.

Ссылка на сообщение
Поделиться на других сайтах
KaYot

KaYot 3 605

Опубліковано:
Опубліковано:

 

Лучше начните с основ - белых списков, tcp wrappers в sshd ведь на всех системах включен по дефолту. Открываете /etc/hosts.allow и пишите туда только свои айпишники, например:

sshd : 1.1.1.1 1.1.1.2 : allow
sshd : 2.2.2. : allow
sshd : ALL : deny 

Нехорошо так делать, правилами хорошего тона говорится что все блокировки должны быть в фаерволе. Зачем выдумывать сущности?

Ссылка на сообщение
Поделиться на других сайтах
ttttt

ttttt 195

Опубліковано:
Опубліковано: (відредаговано)

Кайот, что-то у вас много правил каких-то непонятных. Нехорошо следовать каким-то правилам непонятно кем и зачем придуманным, хорошо - думать своей головой.

Відредаговано ttttt
Ссылка на сообщение
Поделиться на других сайтах
KaYot

KaYot 3 605

Опубліковано:
Опубліковано:

Кайот, что-то у вас много правил каких-то непонятных. Нехорошо следовать каким-то правилам непонятно кем и зачем придуманным, хорошо - думать своей головой.

Вот моя голова как раз эти правила и подсказывает. Иначе следующий админ проклянет вас, пока поймет с какого лешего ssh не конектится с нужных адресов.

Ссылка на сообщение
Поделиться на других сайтах
ttttt

ttttt 195

Опубліковано:
Опубліковано:

Ну если у вас один дистр какой-то на всех машинах, то еще терпимо ограничивать что-то файрволом. А когда это и линуксы и фря и где-то есть файрвол, а где-то нет и файрволы, как вы понимаете, разные, то какое вообще ограничение файрволом? Это будет ужас для админа. 

Ссылка на сообщение
Поделиться на других сайтах
NiTr0

NiTr0 583

Опубліковано:
Опубліковано: (відредаговано)

Ну если у вас один дистр какой-то на всех машинах, то еще терпимо ограничивать что-то файрволом. А когда это и линуксы и фря и где-то есть файрвол, а где-то нет и файрволы, как вы понимаете, разные, то какое вообще ограничение файрволом? Это будет ужас для админа.

Машины без файрвола вообще? Оригинально-с...

И да, админа, разводящего зоопарк разных дистров и тем более разных осей без крайней на то нужды (а ее собссно и нет в большинстве случаев - бздя по большей части ставится исходя из привычки, а не реальной необходимости в каком-либо специфичном функционале) и так ждет ужас. Вернее, его преемника, который будет весь этот зоопарк причесывать и риводить к единообразному виду.

Відредаговано NiTr0
Ссылка на сообщение
Поделиться на других сайтах
ttttt

ttttt 195

Опубліковано:
Опубліковано:

 

Машины без файрвола вообще? Оригинально-с...

Ну расскажите мне, зачем файрвол на машинах. Это админская чушь "по феншую" уже поднадоела, почему нельзя головой подумать? Вот если нет реальной надобности держать файрвол, зачем держать файрвол?

 

 

И да, админа, разводящего зоопарк разных дистров

Админов, вообще-то, никто спрашивать не будет по архитектуре, а то они понаделают.. 

Да и нет у меня админов, они давно заменены скриптами.

Ссылка на сообщение
Поделиться на других сайтах
ttttt

ttttt 195

Опубліковано:
Опубліковано:

 

а http://www.fail2ban.org/ кто-то юзал?

Вот скажите, зачем оно вам? Оно нужно только хостингам с sshd открытым на весь мир, потому что они не могут использовать белые списки или отключить пароли. 

Ссылка на сообщение
Поделиться на других сайтах
revomix

revomix 28

Опубліковано:
Опубліковано:

а http://www.fail2ban.org/ кто-то юзал?...  вопрос так..ради интереса -)

я использую, ставил для asteriska в день по 3-4 ip ловлю,  ssh - раньше каждый день очень большой подбор был, поменял порт и ни кого + fail2ban(так сказать двойная защита на ссш)

Ссылка на сообщение
Поделиться на других сайтах
NiTr0

NiTr0 583

Опубліковано:
Опубліковано:

 

 

Машины без файрвола вообще? Оригинально-с...

Ну расскажите мне, зачем файрвол на машинах. Это админская чушь "по феншую" уже поднадоела, почему нельзя головой подумать? Вот если нет реальной надобности держать файрвол, зачем держать файрвол?

 

 

Например, где конкретно нет надобности разграничить доступ к сервисам на "доверенные"/"локалка"/"мир"? Вы мускул открытым портом в мир высовываете? На PPTP (юзаемый, к прмеру, для доступа извне в сеть) не ставите лимит на коннекты дабы не зафлудили его? На DNS не режете rate запросов, давая тем самым пищу ддосу через dns amplification?

И накой при наличии файрвола в ядре городить костыли в юзерленде в виде tcpwrappers, который с одними сервисами работает, с другими - не работает, с третьими - работает только если собрать с нужным флагом? Что вами руководит - тяга к зоопаркам, как и в случае дистров?

Админов, вообще-то, никто спрашивать не будет по архитектуре, а то они понаделают.. 

Да и нет у меня админов, они давно заменены скриптами.

Единственный и незаменимый мегоодмин, привязанный 24 часа в сутки 7 дней в неделю к местонахождению сети (ибо если крякнется что-то - никто, кроме него, не осилит сеть поднять)?

И да, судя по вашему зоопарку - вы таки и понаделали...

Ссылка на сообщение
Поделиться на других сайтах
ttttt

ttttt 195

Опубліковано:
Опубліковано:

 

Например, где конкретно нет надобности разграничить доступ к сервисам на "доверенные"/"локалка"/"мир"?

Вы не подменяйте понятия, файрвол и ограничение доступа - разные вещи. Мне нужно разграничивать доступ, но мне не нужно это делать файрволом.

 

 

Вы мускул открытым портом в мир высовываете?

Мускула вообще нет.

 

 

На DNS не режете rate запросов, давая тем самым пищу ддосу через dns amplification?

Мда. Вы вообще понимаете, что такое dns amplification? Такие атаки возможны, только если ваш рекурсивный днс криво настроен, т.е. в мир открыт. Даже инициатива была выловить кривые днс, проверьте себя: http://openresolverproject.org/

 

 

И накой при наличии файрвола в ядре городить костыли в юзерленде в виде tcpwrappers, который с одними сервисами работает, с другими - не работает, с третьими - работает только если собрать с нужным флагом?

 

Это не аргумент, это ваша религия. Я могу точно также спросить, и накой пользоваться файрволом в ядре, который в каждом ядре разный, а где-то вообще нет, если можно для sshd пользоваться tcp wrappers? А для чего-то другого мне и не нужно. 

 

 

Единственный и незаменимый мегоодмин

Да нету админа вообще, никакого. 

 

 

И да, судя по вашему зоопарку - вы таки и понаделали...

 

Ха, зоопарк. Зоопарк - это традиционный подход, который вы проповедуете: админы, пакеты, ручками деплоить на каждой машине из терминала, каждая машина имеет разное предназанчение и т.д. Как только у вас будет много машин - окажется, что нихера такой подход не работает и добавление админов ничего не решит, единственный способ все это держать - только автоматизировать, а админы обычно не в состоянии это делать. Вот и нет админов. И деплоить софт раз в пару дней занимает ну максимум пол часа. 
Ссылка на сообщение
Поделиться на других сайтах
NiTr0

NiTr0 583

Опубліковано:
Опубліковано:

ttttt, on 03 Июн 2013 - 18:22, said:

Вы не подменяйте понятия, файрвол и ограничение доступа - разные вещи. Мне нужно разграничивать доступ, но мне не нужно это делать файрволом.

Чего-чего? И чо, buffer overflow exploit'ы без файрвола зарежете? :) Ах да, труЪ админы до таких мелочей не опускаются, у них весь софт по дефолту - без уязвимостей, и доступ к серверу только брутом ssh можно получить...

ttttt, on 03 Июн 2013 - 18:22, said:

Мускула вообще нет.

И других серверов БД тоже?

ttttt, on 03 Июн 2013 - 18:22, said:

Мда. Вы вообще понимаете, что такое dns amplification? Такие атаки возможны, только если ваш рекурсивный днс криво настроен, т.е. в мир открыт. Даже инициатива была выловить кривые днс, проверьте себя: http://openresolverproject.org/

Открою огромный секрет: dns amplification подвержен любой днс сервер, открытый в мир. А закрыть сервер в мир прову, у которого свое доменное имя - бред редкостный... А вот ограничить флуд, лимитировав кол-во пакетов в секунду - легко.

ttttt, on 03 Июн 2013 - 18:22, said:

Это не аргумент, это ваша религия. Я могу точно также спросить, и накой пользоваться файрволом в ядре, который в каждом ядре разный, а где-то вообще нет, если можно для sshd пользоваться tcp wrappers? А для чего-то другого мне и не нужно.

А нехрен зоопарк осей разводить, чтобы потом в ядрах путаться. Бздя, по большому счету, юзается только из религиозных соображений. Ибо в стагнации уже хрензнает сколько лет.

И нехрен разводить зоопарк методов ограничения доступа, чтобы никто кроме вас не смог в этих кишках разобраться?

ttttt, on 03 Июн 2013 - 18:22, said:

Да нету админа вообще, никакого.

Чо, и упавший сервер святым духом поднимается, и софт новый по мановению руки накатывается, и апдейты сами по себе ставятся?

ttttt, on 03 Июн 2013 - 18:22, said:

Ха, зоопарк. Зоопарк - это традиционный подход, который вы проповедуете: админы, пакеты, ручками деплоить на каждой машине из терминала, каждая машина имеет разное предназанчение и т.д. Как только у вас будет много машин - окажется, что нихера такой подход не работает и добавление админов ничего не решит, единственный способ все это держать - только автоматизировать, а админы обычно не в состоянии это делать. Вот и нет админов. И деплоить софт раз в пару дней занимает ну максимум пол часа.

Кого-кого деплоить?

Вы что, из сырцов все собираете? Помойка нравится - слаку ставьте, ощутите все прелести. Ну или генту, сравните ее обслуживание с обслуживанием того же дебиана/рхел по затратам времени, прослезитесь.

Кстати, сколько времени при вашем подходе занимает апдейт библиотек на мажорные версии, из-за чего рассыпается половина системы? Или вы секьюрити патчи бэкпортируете, как мэйнтейнеры дебиана/редхэта? Или просто забиваете на апдейты? :) О рассыпании серверов из-за сменившейся структуры конфигов сервиса - помолчу.

Ссылка на сообщение
Поделиться на других сайтах
Melanxolik

Melanxolik 63

Опубліковано:
Опубліковано:

 

только автоматизировать, а админы обычно не в состоянии это делать. Вот и нет админов

 

Не тех нанимаете, те что умеют стоять гораздо дороже.

Ссылка на сообщение
Поделиться на других сайтах
ttttt

ttttt 195

Опубліковано:
Опубліковано: (відредаговано)

И чо, buffer overflow exploit'ы без файрвола зарежете?

Какой-то детский лепет уже :)

Вот допустим эксплоит в апаче, как вы зарежите его файрволом, например ipfw? Естественно, что апач должен продолжать отвечать на запросы.

И других серверов БД тоже?

Другие бд тоже не смотрям в мир, есть своего рода бд прокси, который раскладывает данные по шардам/серверам. Вот он смотрит в мир, но ему тоже не нужен файрвол для ограничения доступа.

Открою огромный секрет: dns amplification подвержен любой днс сервер, открытый в мир. А закрыть сервер в мир прову, у которого свое доменное имя - бред редкостный... А вот ограничить флуд, лимитировав кол-во пакетов в секунду - легко.

Открою вам еще больший секрет: для доменов нужен авторитативный сервер, а не рекурсивный. Авторитативный может смотреть в мир сколько влезет и в качестве амплификатора использоваться не будет.

Чо, и упавший сервер святым духом поднимается, и софт новый по мановению руки накатывается, и апдейты сами по себе ставятся?

Нет конечно.

Вы что, из сырцов все собираете? Помойка нравится - слаку ставьте, ощутите все прелести. Ну или генту, сравните ее обслуживание с обслуживанием того же дебиана/рхел по затратам времени, прослезитесь.

Кстати, сколько времени при вашем подходе занимает апдейт библиотек на мажорные версии, из-за чего рассыпается половина системы? Или вы секьюрити патчи бэкпортируете, как мэйнтейнеры дебиана/редхэта? Или просто забиваете на апдейты? :) О рассыпании серверов из-за сменившейся структуры конфигов сервиса - помолчу.

Из сырцов почит все, да, кое-что статически кросс-компилится, тогда компилится на той машине, с которой деплоится. Апдейт библиотеки занимает очень мало времени, потому что все библиотеки собираются вместе с каждым сервисом изолированно от остальных. Конфиги генерируются, ничего руками не делается. Уже об этом говорил в прошлой теме.

сравните ее обслуживание с обслуживанием того же дебиана/рхел по затратам времени, прослезитесь

Чего сравнивать, было дело и с дебианом. Сейчас поддержка серверов вообще времени не отнимает, софт деплоится все равно чаще, раз в пару дней может, если в среднем. Відредаговано ttttt
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 1
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...