סוגיית שרת שנפרץ
-
@chagold
יש שתי סוגי נוזקות- קובץ PHP שפשוט מחכה לקריאה מבחוץ
- תוכנה נוספת שרצה בנפרד מPHP ועושה ככל העולה על רוחה
לגבי 2 לכאורה אם אתה מעתיק את הכל לשרת חדש אתה מוגן
לגבי 1 אולי יעזור לעדכן את התוספים אבל לא בטוח
כי לכאורה מספק לדחוף קובץ שלא קשור בכלל לוורדפרס
ואם אתה לא שם לב אליו, תעדכן את וורדפרס מאה פעמים, וזה לא יעזור לך.אולי יש איזה אנטי וירוס שסורק את כל הקבצים ומוצא קבצי PHP בעיתיים.
@nigun אמר בסוגיית שרת שנפרץ:
כי לכאורה מספק לדחוף קובץ שלא קשור בכלל לוורדפרס
ואם אתה לא שם לב אליו, תעדכן את וורדפרס מאה פעמים, וזה לא יעזור לך.את אותו הקובץ שהם שתלו בוורדפרס, הם צריכים לגשת אליו. וצריכים לדעת שהוא קיים בשרת שלי. ולכאו' הפריצה היתה אקראית וא"כ אני פחות חושש שיחפשו את זה בשרת החדש. (אבל הכל יכול להיות).
מה שגם אין לי מה לעשות כיון שאין לי עם מה להשוות את הקבצים.
רק שאצטרך לעקוב יותר. ולהריץ גיבוי קבוע לDB.יש לך פתרון יותר טוב?
-
@nigun אמר בסוגיית שרת שנפרץ:
כי לכאורה מספק לדחוף קובץ שלא קשור בכלל לוורדפרס
ואם אתה לא שם לב אליו, תעדכן את וורדפרס מאה פעמים, וזה לא יעזור לך.את אותו הקובץ שהם שתלו בוורדפרס, הם צריכים לגשת אליו. וצריכים לדעת שהוא קיים בשרת שלי. ולכאו' הפריצה היתה אקראית וא"כ אני פחות חושש שיחפשו את זה בשרת החדש. (אבל הכל יכול להיות).
מה שגם אין לי מה לעשות כיון שאין לי עם מה להשוות את הקבצים.
רק שאצטרך לעקוב יותר. ולהריץ גיבוי קבוע לDB.יש לך פתרון יותר טוב?
@chagold אמר בסוגיית שרת שנפרץ:
את אותו הקובץ שהם שתלו בוורדפרס, הם צריכים לגשת אליו. וצריכים לדעת שהוא קיים בשרת שלי. ולכאו' הפריצה היתה אקראית וא"כ אני פחות חושש שיחפשו את זה בשרת החדש. (אבל הכל יכול להיות).
יש קבצים ידועים עם שמות ידועים שהאקרים שותלים בכל שרת שהם הצליחו לחדור אליו, ויש מלא סורקים שסורקים את כל השרתים אם קיים שמות קובץ כאלה
קרה בפועל לאחד מחברי הפורום.
-
@chagold חזקה?
(כלומר, שזה לא מופיע כאן: https://haveibeenpwned.com/Passwords, ועם אורך מכובד)בכל מקרה כדאי לא ליכנס עם סיסמה אף פעם. כלומר להשבית את האפשרות של כניסה עם סיסמה.
וגם להשבית את האפשרות של כניסה כרוט דרך SSH
וגם להגדיר סיסמה חזקה עבור sudo
וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלךיש בוטים שעוברים כל הזמן ברחבי האינטרנט ומנסים סיסמאות על שרתים עם SSH פתוח
@yossiz אמר בסוגיית שרת שנפרץ:
בכל מקרה כדאי לא ליכנס עם סיסמה אף פעם. כלומר להשבית את האפשרות של כניסה עם סיסמה.
וגם להשבית את האפשרות של כניסה כרוט דרך SSHזה דרך אל חזור? אם כן אז צריך ליצור administrator חדש עם אפשרות הרשאות מלאות (שתתן את האפשרות העתידית להחזיר לרוט את גישת הssh)?
@yossiz אמר בסוגיית שרת שנפרץ:
וגם להגדיר סיסמה חזקה עבור sudo
אם בכלל לא הוגדרה סיסמא לרוט ביצירת השרת (חוץ מהמפתח ssh) אז איך מגדירים סיסמא?.
(נ.ב. כשעברתי בקונסול ממשתמש רוט אל משתמש חדש (עם su user), לא היה לי אפשרות לחזור לרוט, כיון שאין לו סיסמא).
