סוגיית שרת שנפרץ

clickone

@nigun כי תמיד יישאר השרת הראשון ...
אם יפרצו אליו אז משם יגיעו לשאר (כבר קרה למישהו שאני מכיר והנזק היה המון כסף)
אז לכן אני משתמש עם הסינון כתובות נכנסות של סקלוואי וOVH, ו"הם" כמו השרת הראשון שלי

אבל בהחלט השיטה שלך מעניינת ונוחה

nigun

@clickone
את הגישה מהשרת הראשון לשאר אפשר לעשות עם קוד קל להקלדה.
ואם אני יראה הרבה נסיונות כושלים מהשרת הראשון לשני אני אדע מיד שיש כאן בעיה.

אבל אם יש לך ניהול נוח מהחברה, אז למה לא?

chagold

@clickone אמר בסוגיית שרת שנפרץ:

(לדעתי אם אתה מתחיל דרך חדשה בשרתים הייתי מציע גם שתעבור לסקלוואי מדיגיטל אושן - אני אישית אוהב אותם יותר)

למה?
(ויש להם (בגדול) את כל מה שיש לדגיטל אושן?)

clickone

@chagold יש לי שרתים גם בדיגיטל אושן וגם בסקלוואי
יותר נח הניהול בסקלוואי
ונראה לי גם יוצא יותר זול

לגבי תמונות התקנה צריך לבדוק במה אתה משתמש, יש דברים שיש בדיגיטל ואין בסקלוואי ולהפך

clickone

@chagold אמר בסוגיית שרת שנפרץ:

טוב בדקתי כעת בשרת נוסף, ויש לו ג"כ כניסות SSH משרתים בסין וארגנטינה...

בעצם, יכול להיות שהלחצתי אותך לחינם..
אולי מה שאתה רואה זה בקשה לSSH עם המשתמש ROOT מסין, אבל לא שיש כעת סשן פעיל אלא רק פתוח (לבקשה שאולי נכשלה)
יותר מדוייק שתשתמש עם who או who -a
סליחה

כמובן כל עוד שאתה לא בטוח הכי טוב זה לחשוד, וכמובן לחסום....

nigun

@chagold
אתה יכול לבדוק איזה פורטים בשימוש עם
lsof -i
זה טוב בשביל לראות האם אפאצ'י רץ או משהו אחר
לא בשביל לבדוק האם יש כניסה מסין דרך SSH.

chagold

@clickone אמר בסוגיית שרת שנפרץ:

אולי מה שאתה רואה זה בקשה לSSH עם המשתמש ROOT מסין, אבל לא שיש כעת סשן פעיל אלא רק פתוח (לבקשה שאולי נכשלה)
יותר מדוייק שתשתמש עם who או who -a

אכן בזה לא רואים חיבורים פעילים מסין.

בכל אופן עדיין לא הבנתי איך האתר הציג תוכן למרות שאין לו אפאצ'י. (עכשיו הוא כבר לא מציג את ה404, רק דף של שגיאת ssl.

זה הפלט של ה lsof -i

chagold

@yossiz אמר בסוגיית שרת שנפרץ:

וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלך

ברירת מחדל, יש ענין לחסום תעבורה יוצאת או רק נכנסת?

yossiz

@chagold רק נכנסת.

nigun

@chagold
רואים שם את litespeed על פורט 80/443
יש מצב שאתה התקנת את זה?

chagold

@nigun הדף 404 באמת שלהם. לא התקנתי.

nigun

@chagold
מה קורה אם אתה עוצר את litespeed ומפעיל מחדש את אפאצ'י?
זה אומנם לא משנה כ"כ כי אם נפרץ לך הרשת אתה במילא רוצה להקים חדש
אבל מעניין מה הלך שם?

chagold

@nigun כרגע אני בבדיקת השרת החדש (שהופעל על הגיבוי).
שגם שם היה את litespeed. כביתי אותו והאפאצי מריץ רגיל את האתר.
אני יצטרך להקים שרת חדש נקי.
אבל אני בעד לעשות ניתוח פתלוגי.

nigun

@chagold
ומה עם המסד נתונים?

chagold

@nigun מה הכוונה?

nigun

@chagold
כתבת שנמחק לך מידע
מה קרה עם זה?

chagold

@nigun זה היה אתר חדש שעמד לעלות לאויר. את המסד שנמחק לא יכולתי לשחזר, אבל היה גיבוי מלפני שבוע. ככה שהנזק לא היה בשמים. רק צריך לדאוג ללהבא.

nigun

@chagold
איך אתה יודע שאין לך נוזקות בגיבוי?

chagold

@nigun זה כתבתי לעיל שגם שמה היה litespeed, ואם כן היה כנראה איזו כניסה, ולכן אני צריך לחלץ את המסד מגיבוי + הוורדפרס לשרת נקי חדש.

nigun

@chagold
איך תעשה את זה?
אם אתה מעתיק את הקבצים של וורדפרס
יכול להיות שם איזה קוד זדוני שילווה אותך גם לשרת החדש.