השרת שלי תחת מתקפה

על השרת.
אני רואה את ה- access.log והוא מנסה לגשת לקובץ שקורא לקובץ אחר שניגש למסד הנתונים.
בתצורה השגוייה שלו, לפני התיקון שערכתי, כל מי שנכנס ללא סשן יכל להפעיל קריאה למסד הנתונים, דבר שגרר שגיאות רבות, וגם עשרות חיבורים שתפסו את כל מכסת החיבורים למסד הנתונים.
כעת תיקנתי את הקוד כך שקריאה ללא סשן אינ מפעילה את מסד הנתונים כלל, ועם העומסים השרת אמור להסתדר.
אבל זה מטריד מאוד.

איש נחמד

@ליבל אמר בהשרת שלי תחת מתקפה:

@איש-נחמד מאוכסן בסקלוי? יש שם אפשרות לחסום

קונטבו

nigun

@איש-נחמד
לא הבנתי, הוא נמצא בפנים או בחוץ?

איש נחמד

@nigun אמר בהשרת שלי תחת מתקפה:

@איש-נחמד
לא הבנתי, הוא נמצא בפנים או בחוץ?

הוא שולח שאילתות GET, רק בכמות מטורפת, וליעדים מדוייקים.

nigun

@איש-נחמד
אז איך הוא הגיע לפורט 80 אם אתה לא מאזין לו?

איש נחמד

@nigun אמר בהשרת שלי תחת מתקפה:

@איש-נחמד
אז איך הוא הגיע לפורט 80 אם אתה לא מאזין לו?

http?

nigun

@איש-נחמד אמר בהשרת שלי תחת מתקפה:

@nigun אמר בהשרת שלי תחת מתקפה:

@איש-נחמד
אז איך הוא הגיע לפורט 80 אם אתה לא מאזין לו?

http?

לא משנה, אתה יכול להאזין לhttps גם בפורט 80
תכל'ס מי מאזין שם?

איש נחמד

@nigun אמר בהשרת שלי תחת מתקפה:

@איש-נחמד אמר בהשרת שלי תחת מתקפה:

@nigun אמר בהשרת שלי תחת מתקפה:

@איש-נחמד
אז איך הוא הגיע לפורט 80 אם אתה לא מאזין לו?

http?

לא משנה, אתה יכול להאזין לhttps גם בפורט 80
תכל'ס מי מאזין שם?

> netstat -an | grep :80
tcp6       0      0 :::80                   :::*                    LISTEN     
tcp6       0      0 :::8080                 :::*                    LISTEN     
tcp6       0      0 127.0.0.1:8087          :::*                    LISTEN     
tcp6       0      0 167.86.93.180:80        179.113.12.20:54978     TIME_WAIT  
tcp6       0      0 167.86.93.180:80        179.113.12.20:54973     TIME_WAIT  
tcp6       0      0 167.86.93.180:80        179.113.12.20:54972     TIME_WAIT  
tcp6       0      0 167.86.93.180:80        179.113.12.20:54980     TIME_WAIT  
tcp6       0      0 167.86.93.180:80        179.113.12.20:54979     TIME_WAIT  
tcp6       0      0 167.86.93.180:80        179.113.12.20:54971     TIME_WAIT

nigun

@איש-נחמד
יופי! יש לך שרת אפאצ'י שמאזין בפורט 80, יש בו צורך? אם לא? תגדיר שיפסיק.

איש נחמד

@nigun אמר בהשרת שלי תחת מתקפה:

@איש-נחמד
יופי! יש לך שרת אפאצ'י שמאזין בפורט 80, יש בו צורך? אם לא? תגדיר שיפסיק.

זה מה שיש לי בפורט 443:

tcp6       0      0 :::443                  :::*                    LISTEN

nigun

@איש-נחמד
ומה קורה אם אתה עוצר את אפאצ'י?

איש נחמד

@nigun אמר בהשרת שלי תחת מתקפה:

@איש-נחמד
ומה קורה אם אתה עוצר את אפאצ'י?

יש לי ממשק על דומיין שנמצא על השרת, והוא לא יהיה זמין אם אני יעצור את אפאצ'י.
יש פקודה קצרה שתוכל לגרום לאפאצ'י לעבוד רק מפורט 443?
ככה נראית הטבלה של אפאצ'י:

> netstat -anp | grep apache
tcp6       0      0 :::443                  :::*                    LISTEN      6954/apache2        
tcp6       0      0 :::80                   :::*                    LISTEN      6954/apache2        
tcp6       0      0 167.86.93.180:80        179.113.12.20:55889     ESTABLISHED 17894/apache2       
tcp6       0      0 167.86.93.180:80        179.113.12.20:55888     ESTABLISHED 17895/apache2       
tcp6       0      0 167.86.93.180:80        179.113.12.20:55886     ESTABLISHED 17919/apache2       
tcp6       0      0 167.86.93.180:80        179.113.12.20:55885     ESTABLISHED 17911/apache2       
tcp6       0      0 167.86.93.180:80        179.113.12.20:55887     ESTABLISHED 17907/apache2       
tcp6       0      0 167.86.93.180:80        179.113.12.20:55884     ESTABLISHED 17893/apache2

nigun

@איש-נחמד
אתה יכול להעלות את ההגדרות של אפאצ'י (שים לב שאת לא מעלה משהו רגיש)

clickone

@איש-נחמד
קודם כל איתך בלחץ של המתקפה.
זה לא נעים ונותן תחושה איומה של חוסר אונים, שמישהו מסתובב לך חופשי בתוך "הבית", ואין לך דרך להוציא אותו.
אז, כמו שמתחיל ספר בישול של עדה ידועה: "קודם כל תירגע"..... כי הלחץ לפעמים מונע ממנו לחשוב

במידה ויש לך FreePbx על השרת, התחושה שלי שמי שתחת מתקפה זה דווקא הFreePbx.
כנראה ניצול חולשה ידועה שיש שם.
תסתכל איזה קבצים יש לך ב /var/www - ייתכן שתופתע שנוצרו שם קבצים חדשים.
תבדוק במקביל בCDR שאתה לא רואה שיחות ליעדים לא מוכרים (אפילו שנכשלות - העיקר זה לדעת שזה לא החלק שמותקף)
תסתכל גם בקובץ

/etc/asterisk/extensions_custom.conf

שאין לך שם הפתעות מיוחדות.

לדעתי מי שדווקא אשם לפחות חלקית בהכל זה webmin.

אתה משתמש בכל השאר רק ברשימה לבדנה? או שחורה?
כמו שכתבו כאן, הכי טוב להוריד הכל, ואז להחזיר לאט ולראות איפה אתה נתקל במתקפה
קח בחשבון גם שגם אם הצלחת לחסום IP אחד, מאד מהר תקבל את המתקפה הזו מכתובת אחרת.

איש נחמד

@clickone אמר בהשרת שלי תחת מתקפה:

@איש-נחמד
קודם כל איתך בלחץ של המתקפה.
זה לא נעים ונותן תחושה איומה של חוסר אונים, שמישהו מסתובב לך חופשי בתוך "הבית", ואין לך דרך להוציא אותו.
אז, כמו שמתחיל ספר בישול של עדה ידועה: "קודם כל תירגע"..... כי הלחץ לפעמים מונע ממנו לחשוב

תודה, זה מגיע אחרי ליל נדודים שבמהלכו חילצתי את כל כתובות ה-IP החשודות מהדוחו"ת של היומיים האחרונים והוספתי ל-DENY ב-HTACCESS, ו... נאדה...

במידה ויש לך FreePbx על השרת, התחושה שלי שמי שתחת מתקפה זה דווקא הFreePbx.
כנראה ניצול חולשה ידועה שיש שם.
תסתכל איזה קבצים יש לך ב /var/www - ייתכן שתופתע שנוצרו שם קבצים חדשים.

יש שם כבר כמה ימים תיקיית var חדשה (בנוסף לאורגינלית), ואת כל השאר מעולם לא חקרתי לעומק.

תבדוק במקביל בCDR שאתה לא רואה שיחות ליעדים לא מוכרים (אפילו שנכשלות - העיקר זה לדעת שזה לא החלק שמותקף)

נטפרי לא נותן לי ללמוד איך עושים את זה, כל מה שמצאתי חסום.

תסתכל גם בקובץ
/etc/asterisk/extensions_custom.conf
שאין לך שם הפתעות מיוחדות.

את זה אני אצטרך להעביר למתכנת שבנה את המרכזיה, שהלך לישון לפני כמה חודשים ועכשיו נצטרך להעיר אותו.

לדעתי מי שדווקא אשם לפחות חלקית בהכל זה webmin.

?

אתה משתמש בכל השאר רק ברשימה לבדנה? או שחורה?

אני חייב להשאיר ממשק פתוח ללקוחות מהארץ ומחו"ל, והכל יושב על אותו שרת.

כמו שכתבו כאן, הכי טוב להוריד הכל, ואז להחזיר לאט ולראות איפה אתה נתקל במתקפה
קח בחשבון גם שגם אם הצלחת לחסום IP אחד, מאד מהר תקבל את המתקפה הזו מכתובת אחרת.

תחומים - פורום חרדי מקצועי

השרת שלי תחת מתקפה