השרת שלי תחת מתקפה
-
@clickone אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
קודם כל איתך בלחץ של המתקפה.
זה לא נעים ונותן תחושה איומה של חוסר אונים, שמישהו מסתובב לך חופשי בתוך "הבית", ואין לך דרך להוציא אותו.
אז, כמו שמתחיל ספר בישול של עדה ידועה: "קודם כל תירגע"..... כי הלחץ לפעמים מונע ממנו לחשוב
תודה, זה מגיע אחרי ליל נדודים שבמהלכו חילצתי את כל כתובות ה-IP החשודות מהדוחו"ת של היומיים האחרונים והוספתי ל-DENY ב-HTACCESS, ו... נאדה...
במידה ויש לך FreePbx על השרת, התחושה שלי שמי שתחת מתקפה זה דווקא הFreePbx.
כנראה ניצול חולשה ידועה שיש שם.
תסתכל איזה קבצים יש לך ב /var/www - ייתכן שתופתע שנוצרו שם קבצים חדשים.יש שם כבר כמה ימים תיקיית var חדשה (בנוסף לאורגינלית), ואת כל השאר מעולם לא חקרתי לעומק.
תבדוק במקביל בCDR שאתה לא רואה שיחות ליעדים לא מוכרים (אפילו שנכשלות - העיקר זה לדעת שזה לא החלק שמותקף)
נטפרי לא נותן לי ללמוד איך עושים את זה, כל מה שמצאתי חסום.
תסתכל גם בקובץ
/etc/asterisk/extensions_custom.confשאין לך שם הפתעות מיוחדות.
את זה אני אצטרך להעביר למתכנת שבנה את המרכזיה, שהלך לישון לפני כמה חודשים ועכשיו נצטרך להעיר אותו.
לדעתי מי שדווקא אשם לפחות חלקית בהכל זה webmin.
?
אתה משתמש בכל השאר רק ברשימה לבדנה? או שחורה?
אני חייב להשאיר ממשק פתוח ללקוחות מהארץ ומחו"ל, והכל יושב על אותו שרת.
כמו שכתבו כאן, הכי טוב להוריד הכל, ואז להחזיר לאט ולראות איפה אתה נתקל במתקפה
קח בחשבון גם שגם אם הצלחת לחסום IP אחד, מאד מהר תקבל את המתקפה הזו מכתובת אחרת.@איש-נחמד אישית הייתי מציע לפצל ולהפריד מרכזייה מאתר שצריך להיות פתוח לכל העולם. (גם אני חוטא בזה קצת בשרת ספציפי שלי - וזה סיוט בשבילי לעקוב כל הזמן אחרי המוניטורים וכו')
למה נטפרי לא נותן לך ללמוד את זה? אין לך גישה לדוחות שיחה (CDR)?
גם לגבי הקובץ extensions_custom.conf, תציץ עליו לרגע בסוף, אתה תראה לבד אם זה משהו של פריצה או משהו נורמלי.לוובמין יש פרצות ידועות...
לפחות אותו תשאיר פתוח רק לכתובות ספציפיות - אא"כ זה הממשק ניהול שאתה נותן ללקוחות.המייל שלי urivpn@gmail.com
-
@איש-נחמד אישית הייתי מציע לפצל ולהפריד מרכזייה מאתר שצריך להיות פתוח לכל העולם. (גם אני חוטא בזה קצת בשרת ספציפי שלי - וזה סיוט בשבילי לעקוב כל הזמן אחרי המוניטורים וכו')
למה נטפרי לא נותן לך ללמוד את זה? אין לך גישה לדוחות שיחה (CDR)?
גם לגבי הקובץ extensions_custom.conf, תציץ עליו לרגע בסוף, אתה תראה לבד אם זה משהו של פריצה או משהו נורמלי.לוובמין יש פרצות ידועות...
לפחות אותו תשאיר פתוח רק לכתובות ספציפיות - אא"כ זה הממשק ניהול שאתה נותן ללקוחות.@clickone אמר בהשרת שלי תחת מתקפה:
@איש-נחמד אישית הייתי מציע לפצל ולהפריד מרכזייה מאתר שצריך להיות פתוח לכל העולם. (גם אני חוטא בזה קצת בשרת ספציפי שלי - וזה סיוט בשבילי לעקוב כל הזמן אחרי המוניטורים וכו')
אני בעד, אבל קראו לי רק לבנות את הממשק ולא לחנך את האחראים.
למה נטפרי לא נותן לך ללמוד את זה? אין לך גישה לדוחות שיחה (CDR)?
איזו פקודה אני צריך להריץ?
גם לגבי הקובץ extensions_custom.conf, תציץ עליו לרגע בסוף, אתה תראה לבד אם זה משהו של פריצה או משהו נורמלי.
לוובמין יש פרצות ידועות...
לפחות אותו תשאיר פתוח רק לכתובות ספציפיות - אא"כ זה הממשק ניהול שאתה נותן ללקוחות.בחיים לא
...להיות איש נחמד זה מחייב...
-
@clickone אמר בהשרת שלי תחת מתקפה:
@איש-נחמד אישית הייתי מציע לפצל ולהפריד מרכזייה מאתר שצריך להיות פתוח לכל העולם. (גם אני חוטא בזה קצת בשרת ספציפי שלי - וזה סיוט בשבילי לעקוב כל הזמן אחרי המוניטורים וכו')
אני בעד, אבל קראו לי רק לבנות את הממשק ולא לחנך את האחראים.
למה נטפרי לא נותן לך ללמוד את זה? אין לך גישה לדוחות שיחה (CDR)?
איזו פקודה אני צריך להריץ?
גם לגבי הקובץ extensions_custom.conf, תציץ עליו לרגע בסוף, אתה תראה לבד אם זה משהו של פריצה או משהו נורמלי.
לוובמין יש פרצות ידועות...
לפחות אותו תשאיר פתוח רק לכתובות ספציפיות - אא"כ זה הממשק ניהול שאתה נותן ללקוחות.בחיים לא
... -
@nigun אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
מה יקרה אם הממשק יהיה למטה כמה שעות?בסוף התברר שהמתכנת של האסטריקס כיבה את החומת אש (כמה יש?) לפני כמה ימים ועכשיו הוא מעלה אותה בחזרה, אך מסיבה בלתי ברורה נשארתי בחוץ...
להיות איש נחמד זה מחייב...
-
@nigun אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
מה יקרה אם הממשק יהיה למטה כמה שעות?בסוף התברר שהמתכנת של האסטריקס כיבה את החומת אש (כמה יש?) לפני כמה ימים ועכשיו הוא מעלה אותה בחזרה, אך מסיבה בלתי ברורה נשארתי בחוץ...
-
@nigun אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
מה יקרה אם הממשק יהיה למטה כמה שעות?בסוף התברר שהמתכנת של האסטריקס כיבה את החומת אש (כמה יש?) לפני כמה ימים ועכשיו הוא מעלה אותה בחזרה, אך מסיבה בלתי ברורה נשארתי בחוץ...
-
@איש-נחמד
בכל מקרה אתה צריך לאבטח את השרת
כי מחר ינסו מכתובת אחרת.
למשל לבדוק למה אתה מאזין בכלל לפורט 80? -
@nigun אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
בכל מקרה אתה צריך לאבטח את השרת
כי מחר ינסו מכתובת אחרת.
למשל לבדוק למה אתה מאזין בכלל לפורט 80?כי זה היה ברירת המחדל לפני שהתקנו את ה-SSL.
-
@איש-נחמד
בסדר, תמיד אפשר לשנות
אגב אחד החסרונות של אפאצ'י בעייני, זה שיש שם מידי הרבה שורות שרוב מנהלי האתרים לא יודעים מה הם עושים בכלל....@nigun אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
בסדר, תמיד אפשר לשנות
אגב אחד החסרונות של אפאצ'י בעייני, זה שיש שם מידי הרבה שורות שרוב מנהלי האתרים לא יודעים מה הם עושים בכלל....את ווינדוס אתה מכיר עד לרמה הנמוכה?
להיות איש נחמד זה מחייב...
-
@nigun אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
בסדר, תמיד אפשר לשנות
אגב אחד החסרונות של אפאצ'י בעייני, זה שיש שם מידי הרבה שורות שרוב מנהלי האתרים לא יודעים מה הם עושים בכלל....את ווינדוס אתה מכיר עד לרמה הנמוכה?
@איש-נחמד אמר בהשרת שלי תחת מתקפה:
@nigun אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
בסדר, תמיד אפשר לשנות
אגב אחד החסרונות של אפאצ'י בעייני, זה שיש שם מידי הרבה שורות שרוב מנהלי האתרים לא יודעים מה הם עושים בכלל....את ווינדוס אתה מכיר עד לרמה הנמוכה?
והנה למדתי שיש לי עוד מה ללמוד על פורטים. יש לך מאמר מוצלח בנושא?
-
@nigun אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
בסדר, תמיד אפשר לשנות
אגב אחד החסרונות של אפאצ'י בעייני, זה שיש שם מידי הרבה שורות שרוב מנהלי האתרים לא יודעים מה הם עושים בכלל....את ווינדוס אתה מכיר עד לרמה הנמוכה?
@איש-נחמד אמר בהשרת שלי תחת מתקפה:
@nigun אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
בסדר, תמיד אפשר לשנות
אגב אחד החסרונות של אפאצ'י בעייני, זה שיש שם מידי הרבה שורות שרוב מנהלי האתרים לא יודעים מה הם עושים בכלל....את ווינדוס אתה מכיר עד לרמה הנמוכה?
בווינדוס אני לא נוגע, יש לי לינוקס
בכל אופן לא דומה בכלל, שרת HTTP זה השער בין המחשב שלך לעולם, ורוב הפרצות נעשות דרכו, אז כדאי להכיר את הכמה שורות קריטיות לשער הזה.
ומשום מה בברירת מחדל של אפאצ'י הגדרות נוראיות למשל שאפשר לנווט בכל התיקיות של השרת, ולחפש קבצים מעניינים.
בתחילת דרכי התקנתי למישהו שרת אפאצ'י בלי לדעת מה זה עושה, והוא גם לא ידע
אז הוא בתמימות שמר קבצי טקסט עם מידע רגיש, עם המחשבה שמי ינחש את השם של הקובץ....מייל: nigun@duck.com
-
@איש-נחמד אמר בהשרת שלי תחת מתקפה:
@nigun אמר בהשרת שלי תחת מתקפה:
@איש-נחמד
בסדר, תמיד אפשר לשנות
אגב אחד החסרונות של אפאצ'י בעייני, זה שיש שם מידי הרבה שורות שרוב מנהלי האתרים לא יודעים מה הם עושים בכלל....את ווינדוס אתה מכיר עד לרמה הנמוכה?
בווינדוס אני לא נוגע, יש לי לינוקס
בכל אופן לא דומה בכלל, שרת HTTP זה השער בין המחשב שלך לעולם, ורוב הפרצות נעשות דרכו, אז כדאי להכיר את הכמה שורות קריטיות לשער הזה.
ומשום מה בברירת מחדל של אפאצ'י הגדרות נוראיות למשל שאפשר לנווט בכל התיקיות של השרת, ולחפש קבצים מעניינים.
בתחילת דרכי התקנתי למישהו שרת אפאצ'י בלי לדעת מה זה עושה, והוא גם לא ידע
אז הוא בתמימות שמר קבצי טקסט עם מידע רגיש, עם המחשבה שמי ינחש את השם של הקובץ.... -
@nigun דבר אחד הרווחתי,
שמהיום אני לא יבצע require לקובץ שמתחבר למסד הנתונים, לפני שאני מאמת את זהות המשתמש (ברמה כלשהי). -
אני אהבתי את הגישה של caddy
אין שום הגדרות ברירת מחדל
פשוט מלמדים אותך שלב אחרי שלב מה להגדיר (אצלם לפחות זה לא מסובך כל כך)
https://caddyserver.com/#caddyfile -
@איש-נחמד
קודם כל איתך בלחץ של המתקפה.
זה לא נעים ונותן תחושה איומה של חוסר אונים, שמישהו מסתובב לך חופשי בתוך "הבית", ואין לך דרך להוציא אותו.
אז, כמו שמתחיל ספר בישול של עדה ידועה: "קודם כל תירגע"..... כי הלחץ לפעמים מונע ממנו לחשובבמידה ויש לך FreePbx על השרת, התחושה שלי שמי שתחת מתקפה זה דווקא הFreePbx.
כנראה ניצול חולשה ידועה שיש שם.
תסתכל איזה קבצים יש לך ב /var/www - ייתכן שתופתע שנוצרו שם קבצים חדשים.
תבדוק במקביל בCDR שאתה לא רואה שיחות ליעדים לא מוכרים (אפילו שנכשלות - העיקר זה לדעת שזה לא החלק שמותקף)
תסתכל גם בקובץ/etc/asterisk/extensions_custom.confשאין לך שם הפתעות מיוחדות.
לדעתי מי שדווקא אשם לפחות חלקית בהכל זה webmin.
אתה משתמש בכל השאר רק ברשימה לבדנה? או שחורה?
כמו שכתבו כאן, הכי טוב להוריד הכל, ואז להחזיר לאט ולראות איפה אתה נתקל במתקפה
קח בחשבון גם שגם אם הצלחת לחסום IP אחד, מאד מהר תקבל את המתקפה הזו מכתובת אחרת. -
אני אהבתי את הגישה של caddy
אין שום הגדרות ברירת מחדל
פשוט מלמדים אותך שלב אחרי שלב מה להגדיר (אצלם לפחות זה לא מסובך כל כך)
https://caddyserver.com/#caddyfile@nigun אמר בהשרת שלי תחת מתקפה:
אני אהבתי את הגישה של caddy
אין שום הגדרות ברירת מחדל
פשוט מלמדים אותך שלב אחרי שלב מה להגדיר (אצלם לפחות זה לא מסובך כל כך)
https://caddyserver.com/#caddyfileבדיוק השתמשתי בו לראשונה כשרת reverse proxy עבור frp כדי ליצור תחליף לngrok.
מקווה לכתוב מדריך מתישהו השבוע.. -
@איש-נחמד אישית הייתי מציע לפצל ולהפריד מרכזייה מאתר שצריך להיות פתוח לכל העולם. (גם אני חוטא בזה קצת בשרת ספציפי שלי - וזה סיוט בשבילי לעקוב כל הזמן אחרי המוניטורים וכו')
למה נטפרי לא נותן לך ללמוד את זה? אין לך גישה לדוחות שיחה (CDR)?
גם לגבי הקובץ extensions_custom.conf, תציץ עליו לרגע בסוף, אתה תראה לבד אם זה משהו של פריצה או משהו נורמלי.לוובמין יש פרצות ידועות...
לפחות אותו תשאיר פתוח רק לכתובות ספציפיות - אא"כ זה הממשק ניהול שאתה נותן ללקוחות.📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה
-
@yossiz בכללי.
אם אתה לא על האחרונה, אתה כמעט תמיד בבעיה.
אני זוכר שכשטיפלתי בעבר בשרת שנפרץ (של מישהו) התברר שהוובמין היה חלק מהמקור לבעייה - בעיקר בגלל שאופשרה שם גישת רוט עם סיסמא ולא עם תעודה - והסיסמא לא היתה קשה מדאיהמייל שלי urivpn@gmail.com
-
@yossiz בכללי.
אם אתה לא על האחרונה, אתה כמעט תמיד בבעיה.
אני זוכר שכשטיפלתי בעבר בשרת שנפרץ (של מישהו) התברר שהוובמין היה חלק מהמקור לבעייה - בעיקר בגלל שאופשרה שם גישת רוט עם סיסמא ולא עם תעודה - והסיסמא לא היתה קשה מדאי@clickone אמר בהשרת שלי תחת מתקפה:
והסיסמא לא היתה קשה מדאי
זו לא בעייה של webmin..
לפעמים אני פוגש שרתים ב-contabo, שלא טרחו להגדיר אותם בכלל, והם עדיין עם הסיסמא ש-contabo נתנו, בלי SSH Key, וכניסה ישר ל-root..
אנשים לא יודעים לאבטח שרתים, חושבים שכל עוד הסיסמא היא לא 123456789 השרת מאובטח לחלוטין.
ה' יעזור..
