תחומים
    • הרשמה
    • התחברות
    • חיפוש
    • קטגוריות
    • פוסטים אחרונים
    • משתמשים
    • חיפוש
    חוקי הפורום

    סוגיית שרת שנפרץ

    רשתות
    5
    43
    425
    טוען פוסטים נוספים
    • מהישן לחדש
    • מהחדש לישן
    • הכי הרבה הצבעות
    תגובה
    • הגיבו כנושא
    התחברו בכדי לפרסם תגובה
    נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
    • chagold
      chagold נערך לאחרונה על ידי chagold

      אתר וורדפרס של לקוח קיבל הודעת שגיאה שאין חיבור לdb. אתחלתי את השרת ואז האתר עבר לשגיאה 404 של דף שנוצר ע"י מנוע שלא היה מוכר לי (ולא היה מתוך התיקייה של הוורדפרס שאליה האפאצ'י האזין). גם כשכיביתי את האפאצ'י הדף עדיין היה פעיל. אין ngin-x בשרת שם.
      רציתי לקחת את המסד נתונים לשרת חדש, אבל אחרי הייצוא והייבוא התברר שהמסד הקיים הוא כמעט ריק (אולי קוראים למה שהיה שם ריק לגמרי, אני פשוט לא יודע איך אמור להיראות מסד מרוקן. אבל בכ"א עיקר נתוני הוורדפרס לא היו שם). מזכיר לי את סגנון הפריצה שהיתה לפני שבועיים לuPress.

      שאלות:

      1. איך יתכן שהאתר יעבוד אחרי שהאפאצי מכובה? הוא מנותב לשרת אחר ומשם הוא מציג 404?
      2. איך אני יודע מה גרם לפריצה? יש לי לוגים אבל לא יודע לזהות מבין הפעולות מה הורס.
        תודה
      nigun תגובה 1 תגובה אחרונה תגובה ציטוט 0
      • nigun
        nigun @chagold נערך לאחרונה על ידי

        @chagold
        שרת שיתופי או VPS?
        אם זה VPS? תבדוק מה התהליכים שרצים כרגע
        נראה לי שיש פקודה שבודקת איזה פורט תפוס ע"י איזה תוכנה

        מייל: ynigun@pm.me

        chagold תגובה 1 תגובה אחרונה תגובה ציטוט 2
        • chagold
          chagold @nigun נערך לאחרונה על ידי chagold

          @nigun d51b763d-5abf-4cb7-a09d-8745af39e32a-image.png

          clickone 2 תגובות תגובה אחרונה תגובה ציטוט 0
          • clickone
            clickone @chagold נערך לאחרונה על ידי

            @chagold
            שים לב בתמונה, שיש לך חיבור SSH פעיל מסין
            https://ipinfo.io/218.92.0.249

            אין טסט כמו פרודקשן.

            המייל שלי urivpn@gmail.com

            chagold תגובה 1 תגובה אחרונה תגובה ציטוט 5
            • clickone
              clickone @chagold נערך לאחרונה על ידי clickone

              @chagold
              לדעתי עזוב כעת את הווב שלא עובד, תתחיל עם הדלתות האחוריות
              מה הפלט של lastb?
              אתה יכול גם לנסות לבדוק מה קורה ב

              tail - f /var/log/auth.log
              

              למרות שסביר שאם יש להם גישה לשרת שלך עם SSH אז התוקפים לא מנסים יותר.
              אא"כ יש תוקפים נוספים באיזור

              אין טסט כמו פרודקשן.

              המייל שלי urivpn@gmail.com

              chagold תגובה 1 תגובה אחרונה תגובה ציטוט 0
              • clickone
                clickone נערך לאחרונה על ידי clickone

                כמו כן תנסה לראות מה קורה כאן

                /var/log/apache2/error.log
                +
                /var/log/apache2/access.log
                

                וגם תנסה לראות במידה ולא רוקנו לך את התיקייה של WWW אם יש שם קבצים שאתה לא מכיר

                ועוד משהו שאני בדקתי בעבר במקרה כזה, מה הקבצים החדשים שנוצרו ב48 שעות האחרונות

                אין טסט כמו פרודקשן.

                המייל שלי urivpn@gmail.com

                תגובה 1 תגובה אחרונה תגובה ציטוט 1
                • chagold
                  chagold @clickone נערך לאחרונה על ידי

                  @clickone אמר בסוגיית שרת שנפרץ:

                  מה הפלט של lastb?
                  העליתי מהשבוע האחרון. אם זה לא מספיק (אעלה בעוד קבצים).
                  lastb1.txt

                  lastb2.txt

                  אתה יכול גם לנסות לבדוק מה קורה ב

                  tail - f /var/log/auth.log
                  
                  ==> standard input <==
                  

                  @clickone אמר בסוגיית שרת שנפרץ:

                  כמו כן תנסה לראות מה קורה כאן

                  /var/log/apache2/error.log
                  +
                  /var/log/apache2/access.log
                  

                  ניסיתי ואני לא מבין.

                  וגם תנסה לראות במידה ולא רוקנו לך את התיקייה של WWW אם יש שם קבצים שאתה לא מכיר
                  לא רוקנו

                  ועוד משהו שאני בדקתי בעבר במקרה כזה, מה הקבצים החדשים שנוצרו ב48 שעות האחרונות

                  בכל זה, לא חשוב לי השרת, אני יכול לזרוק אותו (אא"כ יש סיכוי לשחזר את הDB שזה החשוב כאן). השאלה היותר מהותית בשבילי - מאיפה יש להם גישה לSSH והאם זה מסכן את שאר השרתים שלי?

                  תגובה 1 תגובה אחרונה תגובה ציטוט 0
                  • chagold
                    chagold @clickone נערך לאחרונה על ידי chagold

                    @clickone אמר בסוגיית שרת שנפרץ:

                    @chagold
                    שים לב בתמונה, שיש לך חיבור SSH פעיל מסין
                    https://ipinfo.io/218.92.0.249

                    טוב בדקתי כעת בשרת נוסף, ויש לו ג"כ כניסות SSH משרתים בסין וארגנטינה...
                    כרגע אני מכבה הכל.

                    איך אני מטפל בזה?

                    yossiz clickone 2 תגובות תגובה אחרונה תגובה ציטוט 0
                    • yossiz
                      yossiz @chagold נערך לאחרונה על ידי

                      @chagold האם אתה נכנס ל-SSH על ידי סיסמה או מפתח ציבורי/פרטי?

                      📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                      chagold תגובה 1 תגובה אחרונה תגובה ציטוט 2
                      • chagold
                        chagold @yossiz נערך לאחרונה על ידי

                        @yossiz סיסמא

                        yossiz תגובה 1 תגובה אחרונה תגובה ציטוט 0
                        • yossiz
                          yossiz @chagold נערך לאחרונה על ידי

                          @chagold חזקה?
                          (כלומר, שזה לא מופיע כאן: https://haveibeenpwned.com/Passwords, ועם אורך מכובד)

                          בכל מקרה כדאי לא ליכנס עם סיסמה אף פעם. כלומר להשבית את האפשרות של כניסה עם סיסמה.
                          וגם להשבית את האפשרות של כניסה כרוט דרך SSH
                          וגם להגדיר סיסמה חזקה עבור sudo
                          וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלך

                          יש בוטים שעוברים כל הזמן ברחבי האינטרנט ומנסים סיסמאות על שרתים עם SSH פתוח

                          📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                          chagold nigun 4 תגובות תגובה אחרונה תגובה ציטוט 4
                          • chagold
                            chagold @yossiz נערך לאחרונה על ידי

                            @yossiz תודה. אטפל אי"ה מיד אחרי שבת.
                            מעבר לזה איך אני אמור לסרוק את השרתים לדעת שאין לי קודים זדוניים?
                            (זה יכול להיות שחודשים לא שמתי לב).
                            כדאי להחליף את כל השרתים?

                            yossiz תגובה 1 תגובה אחרונה תגובה ציטוט 0
                            • yossiz
                              yossiz @chagold נערך לאחרונה על ידי

                              @chagold אמר בסוגיית שרת שנפרץ:

                              כדאי להחליף את כל השרתים?

                              אם זה לא יקר מדי (מבחינת טירחה) בשבילך זה הכי מומלץ

                              📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                              תגובה 1 תגובה אחרונה תגובה ציטוט 3
                              • nigun
                                nigun @yossiz נערך לאחרונה על ידי

                                @yossiz
                                אם מגדירים כניסה עם מפתח
                                למה להשבית את הכניסה כרוט + חסימת פורט 22?
                                והאם יש בעיה אם מגדירים כניסה עם סיסמה
                                ומגדירים רשימה לבנה בחומת האש?

                                מייל: ynigun@pm.me

                                clickone yossiz 2 תגובות תגובה אחרונה תגובה ציטוט 0
                                • clickone
                                  clickone נערך לאחרונה על ידי

                                  @chagold רק עצה ממני
                                  אל תילחץ. (וגם אל תחשוב על זה בשבת.... 😮 - וזה קשה....)
                                  לפעמים הלחץ בעניין הזה מוציא אותך מדעתך, ואז אתה מקבל החלטות שגויות.
                                  אם זה לא הסטרי שהשרתים יהיו באוויר, אז לא נורא שיהיו למטה קצת.
                                  תעביר שרת אחרי שרת. בעדינות ורוגע (וזו הזדמנות גם ליישר קו עם כל מיני עידכונים ודברים שתמיד דחית)

                                  אם זה שירותי זמן אמת שחשוב שיהיו באוויר כל הזמן, אז זה קצת יותר בעייה.
                                  וכמובן לא לשכוח! לגבות ושוב לגבות! כל הזמן.

                                  (לדעתי אם אתה מתחיל דרך חדשה בשרתים הייתי מציע גם שתעבור לסקלוואי מדיגיטל אושן - אני אישית אוהב אותם יותר)

                                  אין טסט כמו פרודקשן.

                                  המייל שלי urivpn@gmail.com

                                  chagold תגובה 1 תגובה אחרונה תגובה ציטוט 4
                                  • clickone
                                    clickone @nigun נערך לאחרונה על ידי

                                    @nigun
                                    אין בעייה לכאורה ב2 הדברים שהזכרת.
                                    אבל אל תשכח שכל המתקפות האלו גם מכבידים על השרת.
                                    את פורט 22 אני אישית מסנן בפיירוול של סקלווי וOVH עוד לפני השרת (בעיקר בגלל הפחד שהIP שלי ישתנה)

                                    אין טסט כמו פרודקשן.

                                    המייל שלי urivpn@gmail.com

                                    nigun תגובה 1 תגובה אחרונה תגובה ציטוט 1
                                    • nigun
                                      nigun @clickone נערך לאחרונה על ידי

                                      @clickone אמר בסוגיית שרת שנפרץ:

                                      (בעיקר בגלל הפחד שהIP שלי ישתנה)

                                      למה אתה לא משתמש בשיטה שלי?

                                      מייל: ynigun@pm.me

                                      clickone תגובה 1 תגובה אחרונה תגובה ציטוט 0
                                      • yossiz
                                        yossiz @nigun נערך לאחרונה על ידי

                                        @nigun אמר בסוגיית שרת שנפרץ:

                                        אם מגדירים כניסה עם מפתח
                                        למה להשבית את הכניסה כרוט + חסימת פורט 22?
                                        והאם יש בעיה אם מגדירים כניסה עם סיסמה
                                        ומגדירים רשימה לבנה בחומת האש?

                                        אין בעיה. יש כלל באבטחה שנקרא defense in depth. לפי הכלל הזה מה שלא צריך להיות פתוח שיהיה סגור בברירת מחדל. לפתוח רק לפי הצורך.

                                        📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                                        תגובה 1 תגובה אחרונה תגובה ציטוט 4
                                        • clickone
                                          clickone @nigun נערך לאחרונה על ידי clickone

                                          @nigun כי תמיד יישאר השרת הראשון ...
                                          אם יפרצו אליו אז משם יגיעו לשאר (כבר קרה למישהו שאני מכיר והנזק היה המון כסף)
                                          אז לכן אני משתמש עם הסינון כתובות נכנסות של סקלוואי וOVH, ו"הם" כמו השרת הראשון שלי

                                          אבל בהחלט השיטה שלך מעניינת ונוחה

                                          אין טסט כמו פרודקשן.

                                          המייל שלי urivpn@gmail.com

                                          nigun תגובה 1 תגובה אחרונה תגובה ציטוט 0
                                          • nigun
                                            nigun @clickone נערך לאחרונה על ידי nigun

                                            @clickone
                                            את הגישה מהשרת הראשון לשאר אפשר לעשות עם קוד קל להקלדה.
                                            ואם אני יראה הרבה נסיונות כושלים מהשרת הראשון לשני אני אדע מיד שיש כאן בעיה.

                                            אבל אם יש לך ניהול נוח מהחברה, אז למה לא?

                                            מייל: ynigun@pm.me

                                            תגובה 1 תגובה אחרונה תגובה ציטוט 0
                                            • chagold
                                              chagold @clickone נערך לאחרונה על ידי

                                              @clickone אמר בסוגיית שרת שנפרץ:

                                              (לדעתי אם אתה מתחיל דרך חדשה בשרתים הייתי מציע גם שתעבור לסקלוואי מדיגיטל אושן - אני אישית אוהב אותם יותר)

                                              למה?
                                              (ויש להם (בגדול) את כל מה שיש לדגיטל אושן?)

                                              clickone תגובה 1 תגובה אחרונה תגובה ציטוט 0
                                              • clickone
                                                clickone @chagold נערך לאחרונה על ידי

                                                @chagold יש לי שרתים גם בדיגיטל אושן וגם בסקלוואי
                                                יותר נח הניהול בסקלוואי
                                                ונראה לי גם יוצא יותר זול

                                                לגבי תמונות התקנה צריך לבדוק במה אתה משתמש, יש דברים שיש בדיגיטל ואין בסקלוואי ולהפך

                                                אין טסט כמו פרודקשן.

                                                המייל שלי urivpn@gmail.com

                                                תגובה 1 תגובה אחרונה תגובה ציטוט 1
                                                • clickone
                                                  clickone @chagold נערך לאחרונה על ידי clickone

                                                  @chagold אמר בסוגיית שרת שנפרץ:

                                                  טוב בדקתי כעת בשרת נוסף, ויש לו ג"כ כניסות SSH משרתים בסין וארגנטינה...

                                                  בעצם, יכול להיות שהלחצתי אותך לחינם..
                                                  אולי מה שאתה רואה זה בקשה לSSH עם המשתמש ROOT מסין, אבל לא שיש כעת סשן פעיל אלא רק פתוח (לבקשה שאולי נכשלה)
                                                  יותר מדוייק שתשתמש עם who או who -a
                                                  סליחה 😞

                                                  כמובן כל עוד שאתה לא בטוח הכי טוב זה לחשוד, וכמובן לחסום....

                                                  אין טסט כמו פרודקשן.

                                                  המייל שלי urivpn@gmail.com

                                                  תגובה 1 תגובה אחרונה תגובה ציטוט 4
                                                  • nigun
                                                    nigun נערך לאחרונה על ידי

                                                    @chagold
                                                    אתה יכול לבדוק איזה פורטים בשימוש עם
                                                    lsof -i
                                                    זה טוב בשביל לראות האם אפאצ'י רץ או משהו אחר
                                                    לא בשביל לבדוק האם יש כניסה מסין דרך SSH.

                                                    מייל: ynigun@pm.me

                                                    תגובה 1 תגובה אחרונה תגובה ציטוט 2
                                                    • chagold
                                                      chagold נערך לאחרונה על ידי

                                                      @clickone אמר בסוגיית שרת שנפרץ:

                                                      אולי מה שאתה רואה זה בקשה לSSH עם המשתמש ROOT מסין, אבל לא שיש כעת סשן פעיל אלא רק פתוח (לבקשה שאולי נכשלה)
                                                      יותר מדוייק שתשתמש עם who או who -a

                                                      אכן בזה לא רואים חיבורים פעילים מסין.

                                                      בכל אופן עדיין לא הבנתי איך האתר הציג תוכן למרות שאין לו אפאצ'י. (עכשיו הוא כבר לא מציג את ה404, רק דף של שגיאת ssl.

                                                      זה הפלט של ה lsof -i
                                                      26b48e6d-51d3-4bd5-a70d-e3f3e7df7827-image.png

                                                      nigun תגובה 1 תגובה אחרונה תגובה ציטוט 0
                                                      • chagold
                                                        chagold @yossiz נערך לאחרונה על ידי chagold

                                                        @yossiz אמר בסוגיית שרת שנפרץ:

                                                        וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלך

                                                        ברירת מחדל, יש ענין לחסום תעבורה יוצאת או רק נכנסת?

                                                        yossiz תגובה 1 תגובה אחרונה תגובה ציטוט 0
                                                        • yossiz
                                                          yossiz @chagold נערך לאחרונה על ידי

                                                          @chagold רק נכנסת.

                                                          📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                                                          תגובה 1 תגובה אחרונה תגובה ציטוט 2
                                                          • nigun
                                                            nigun @chagold נערך לאחרונה על ידי

                                                            @chagold
                                                            רואים שם את litespeed על פורט 80/443
                                                            יש מצב שאתה התקנת את זה?

                                                            מייל: ynigun@pm.me

                                                            chagold תגובה 1 תגובה אחרונה תגובה ציטוט 1
                                                            • chagold
                                                              chagold @nigun נערך לאחרונה על ידי

                                                              @nigun הדף 404 באמת שלהם. לא התקנתי.
                                                              404.JPG

                                                              nigun תגובה 1 תגובה אחרונה תגובה ציטוט 0
                                                              • nigun
                                                                nigun @chagold נערך לאחרונה על ידי

                                                                @chagold
                                                                מה קורה אם אתה עוצר את litespeed ומפעיל מחדש את אפאצ'י?
                                                                זה אומנם לא משנה כ"כ כי אם נפרץ לך הרשת אתה במילא רוצה להקים חדש
                                                                אבל מעניין מה הלך שם?

                                                                מייל: ynigun@pm.me

                                                                chagold תגובה 1 תגובה אחרונה תגובה ציטוט 1
                                                                • 1
                                                                • 2
                                                                • 1 / 2
                                                                • פוסט ראשון
                                                                  פוסט אחרון
                                                                בא תתחבר לדף היומי!