סוגיית שרת שנפרץ
-
@chagold חזקה?
(כלומר, שזה לא מופיע כאן: https://haveibeenpwned.com/Passwords, ועם אורך מכובד)בכל מקרה כדאי לא ליכנס עם סיסמה אף פעם. כלומר להשבית את האפשרות של כניסה עם סיסמה.
וגם להשבית את האפשרות של כניסה כרוט דרך SSH
וגם להגדיר סיסמה חזקה עבור sudo
וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלךיש בוטים שעוברים כל הזמן ברחבי האינטרנט ומנסים סיסמאות על שרתים עם SSH פתוח
📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה
-
@chagold חזקה?
(כלומר, שזה לא מופיע כאן: https://haveibeenpwned.com/Passwords, ועם אורך מכובד)בכל מקרה כדאי לא ליכנס עם סיסמה אף פעם. כלומר להשבית את האפשרות של כניסה עם סיסמה.
וגם להשבית את האפשרות של כניסה כרוט דרך SSH
וגם להגדיר סיסמה חזקה עבור sudo
וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלךיש בוטים שעוברים כל הזמן ברחבי האינטרנט ומנסים סיסמאות על שרתים עם SSH פתוח
-
@yossiz תודה. אטפל אי"ה מיד אחרי שבת.
מעבר לזה איך אני אמור לסרוק את השרתים לדעת שאין לי קודים זדוניים?
(זה יכול להיות שחודשים לא שמתי לב).
כדאי להחליף את כל השרתים? -
@chagold חזקה?
(כלומר, שזה לא מופיע כאן: https://haveibeenpwned.com/Passwords, ועם אורך מכובד)בכל מקרה כדאי לא ליכנס עם סיסמה אף פעם. כלומר להשבית את האפשרות של כניסה עם סיסמה.
וגם להשבית את האפשרות של כניסה כרוט דרך SSH
וגם להגדיר סיסמה חזקה עבור sudo
וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלךיש בוטים שעוברים כל הזמן ברחבי האינטרנט ומנסים סיסמאות על שרתים עם SSH פתוח
@yossiz
אם מגדירים כניסה עם מפתח
למה להשבית את הכניסה כרוט + חסימת פורט 22?
והאם יש בעיה אם מגדירים כניסה עם סיסמה
ומגדירים רשימה לבנה בחומת האש?מייל: nigun@duck.com
-
@chagold רק עצה ממני
אל תילחץ. (וגם אל תחשוב על זה בשבת....
- וזה קשה....)
לפעמים הלחץ בעניין הזה מוציא אותך מדעתך, ואז אתה מקבל החלטות שגויות.
אם זה לא הסטרי שהשרתים יהיו באוויר, אז לא נורא שיהיו למטה קצת.
תעביר שרת אחרי שרת. בעדינות ורוגע (וזו הזדמנות גם ליישר קו עם כל מיני עידכונים ודברים שתמיד דחית)אם זה שירותי זמן אמת שחשוב שיהיו באוויר כל הזמן, אז זה קצת יותר בעייה.
וכמובן לא לשכוח! לגבות ושוב לגבות! כל הזמן.(לדעתי אם אתה מתחיל דרך חדשה בשרתים הייתי מציע גם שתעבור לסקלוואי מדיגיטל אושן - אני אישית אוהב אותם יותר)
המייל שלי urivpn@gmail.com
-
@yossiz
אם מגדירים כניסה עם מפתח
למה להשבית את הכניסה כרוט + חסימת פורט 22?
והאם יש בעיה אם מגדירים כניסה עם סיסמה
ומגדירים רשימה לבנה בחומת האש?@nigun
אין בעייה לכאורה ב2 הדברים שהזכרת.
אבל אל תשכח שכל המתקפות האלו גם מכבידים על השרת.
את פורט 22 אני אישית מסנן בפיירוול של סקלווי וOVH עוד לפני השרת (בעיקר בגלל הפחד שהIP שלי ישתנה)המייל שלי urivpn@gmail.com
-
@nigun
אין בעייה לכאורה ב2 הדברים שהזכרת.
אבל אל תשכח שכל המתקפות האלו גם מכבידים על השרת.
את פורט 22 אני אישית מסנן בפיירוול של סקלווי וOVH עוד לפני השרת (בעיקר בגלל הפחד שהIP שלי ישתנה)מייל: nigun@duck.com
-
@yossiz
אם מגדירים כניסה עם מפתח
למה להשבית את הכניסה כרוט + חסימת פורט 22?
והאם יש בעיה אם מגדירים כניסה עם סיסמה
ומגדירים רשימה לבנה בחומת האש?@nigun אמר בסוגיית שרת שנפרץ:
אם מגדירים כניסה עם מפתח
למה להשבית את הכניסה כרוט + חסימת פורט 22?
והאם יש בעיה אם מגדירים כניסה עם סיסמה
ומגדירים רשימה לבנה בחומת האש?אין בעיה. יש כלל באבטחה שנקרא defense in depth. לפי הכלל הזה מה שלא צריך להיות פתוח שיהיה סגור בברירת מחדל. לפתוח רק לפי הצורך.
-
@nigun כי תמיד יישאר השרת הראשון ...
אם יפרצו אליו אז משם יגיעו לשאר (כבר קרה למישהו שאני מכיר והנזק היה המון כסף)
אז לכן אני משתמש עם הסינון כתובות נכנסות של סקלוואי וOVH, ו"הם" כמו השרת הראשון שליאבל בהחלט השיטה שלך מעניינת ונוחה
המייל שלי urivpn@gmail.com
-
@nigun כי תמיד יישאר השרת הראשון ...
אם יפרצו אליו אז משם יגיעו לשאר (כבר קרה למישהו שאני מכיר והנזק היה המון כסף)
אז לכן אני משתמש עם הסינון כתובות נכנסות של סקלוואי וOVH, ו"הם" כמו השרת הראשון שליאבל בהחלט השיטה שלך מעניינת ונוחה
-
@chagold רק עצה ממני
אל תילחץ. (וגם אל תחשוב על זה בשבת.... - וזה קשה....)
לפעמים הלחץ בעניין הזה מוציא אותך מדעתך, ואז אתה מקבל החלטות שגויות.
אם זה לא הסטרי שהשרתים יהיו באוויר, אז לא נורא שיהיו למטה קצת.
תעביר שרת אחרי שרת. בעדינות ורוגע (וזו הזדמנות גם ליישר קו עם כל מיני עידכונים ודברים שתמיד דחית)אם זה שירותי זמן אמת שחשוב שיהיו באוויר כל הזמן, אז זה קצת יותר בעייה.
וכמובן לא לשכוח! לגבות ושוב לגבות! כל הזמן.(לדעתי אם אתה מתחיל דרך חדשה בשרתים הייתי מציע גם שתעבור לסקלוואי מדיגיטל אושן - אני אישית אוהב אותם יותר)
-
@clickone אמר בסוגיית שרת שנפרץ:
(לדעתי אם אתה מתחיל דרך חדשה בשרתים הייתי מציע גם שתעבור לסקלוואי מדיגיטל אושן - אני אישית אוהב אותם יותר)
למה?
(ויש להם (בגדול) את כל מה שיש לדגיטל אושן?) -
@clickone אמר בסוגיית שרת שנפרץ:
@chagold
שים לב בתמונה, שיש לך חיבור SSH פעיל מסין
https://ipinfo.io/218.92.0.249טוב בדקתי כעת בשרת נוסף, ויש לו ג"כ כניסות SSH משרתים בסין וארגנטינה...
כרגע אני מכבה הכל.איך אני מטפל בזה?
@chagold אמר בסוגיית שרת שנפרץ:
טוב בדקתי כעת בשרת נוסף, ויש לו ג"כ כניסות SSH משרתים בסין וארגנטינה...
בעצם, יכול להיות שהלחצתי אותך לחינם..
אולי מה שאתה רואה זה בקשה לSSH עם המשתמש ROOT מסין, אבל לא שיש כעת סשן פעיל אלא רק פתוח (לבקשה שאולי נכשלה)
יותר מדוייק שתשתמש עםwhoאוwho -a
סליחה
כמובן כל עוד שאתה לא בטוח הכי טוב זה לחשוד, וכמובן לחסום....
-
@clickone אמר בסוגיית שרת שנפרץ:
אולי מה שאתה רואה זה בקשה לSSH עם המשתמש ROOT מסין, אבל לא שיש כעת סשן פעיל אלא רק פתוח (לבקשה שאולי נכשלה)
יותר מדוייק שתשתמש עם who או who -aאכן בזה לא רואים חיבורים פעילים מסין.
בכל אופן עדיין לא הבנתי איך האתר הציג תוכן למרות שאין לו אפאצ'י. (עכשיו הוא כבר לא מציג את ה404, רק דף של שגיאת ssl.
זה הפלט של ה lsof -i
-
@chagold חזקה?
(כלומר, שזה לא מופיע כאן: https://haveibeenpwned.com/Passwords, ועם אורך מכובד)בכל מקרה כדאי לא ליכנס עם סיסמה אף פעם. כלומר להשבית את האפשרות של כניסה עם סיסמה.
וגם להשבית את האפשרות של כניסה כרוט דרך SSH
וגם להגדיר סיסמה חזקה עבור sudo
וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלךיש בוטים שעוברים כל הזמן ברחבי האינטרנט ומנסים סיסמאות על שרתים עם SSH פתוח
-
@yossiz אמר בסוגיית שרת שנפרץ:
וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלך
ברירת מחדל, יש ענין לחסום תעבורה יוצאת או רק נכנסת?
-
@clickone אמר בסוגיית שרת שנפרץ:
אולי מה שאתה רואה זה בקשה לSSH עם המשתמש ROOT מסין, אבל לא שיש כעת סשן פעיל אלא רק פתוח (לבקשה שאולי נכשלה)
יותר מדוייק שתשתמש עם who או who -aאכן בזה לא רואים חיבורים פעילים מסין.
בכל אופן עדיין לא הבנתי איך האתר הציג תוכן למרות שאין לו אפאצ'י. (עכשיו הוא כבר לא מציג את ה404, רק דף של שגיאת ssl.
זה הפלט של ה lsof -i
