סוגיית שרת שנפרץ
-
@clickone אמר בסוגיית שרת שנפרץ:
@chagold
שים לב בתמונה, שיש לך חיבור SSH פעיל מסין
https://ipinfo.io/218.92.0.249טוב בדקתי כעת בשרת נוסף, ויש לו ג"כ כניסות SSH משרתים בסין וארגנטינה...
כרגע אני מכבה הכל.איך אני מטפל בזה?
@chagold אמר בסוגיית שרת שנפרץ:
טוב בדקתי כעת בשרת נוסף, ויש לו ג"כ כניסות SSH משרתים בסין וארגנטינה...
בעצם, יכול להיות שהלחצתי אותך לחינם..
אולי מה שאתה רואה זה בקשה לSSH עם המשתמש ROOT מסין, אבל לא שיש כעת סשן פעיל אלא רק פתוח (לבקשה שאולי נכשלה)
יותר מדוייק שתשתמש עםwhoאוwho -a
סליחה
כמובן כל עוד שאתה לא בטוח הכי טוב זה לחשוד, וכמובן לחסום....
-
@clickone אמר בסוגיית שרת שנפרץ:
אולי מה שאתה רואה זה בקשה לSSH עם המשתמש ROOT מסין, אבל לא שיש כעת סשן פעיל אלא רק פתוח (לבקשה שאולי נכשלה)
יותר מדוייק שתשתמש עם who או who -aאכן בזה לא רואים חיבורים פעילים מסין.
בכל אופן עדיין לא הבנתי איך האתר הציג תוכן למרות שאין לו אפאצ'י. (עכשיו הוא כבר לא מציג את ה404, רק דף של שגיאת ssl.
זה הפלט של ה lsof -i
-
@chagold חזקה?
(כלומר, שזה לא מופיע כאן: https://haveibeenpwned.com/Passwords, ועם אורך מכובד)בכל מקרה כדאי לא ליכנס עם סיסמה אף פעם. כלומר להשבית את האפשרות של כניסה עם סיסמה.
וגם להשבית את האפשרות של כניסה כרוט דרך SSH
וגם להגדיר סיסמה חזקה עבור sudo
וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלךיש בוטים שעוברים כל הזמן ברחבי האינטרנט ומנסים סיסמאות על שרתים עם SSH פתוח
-
@yossiz אמר בסוגיית שרת שנפרץ:
וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלך
ברירת מחדל, יש ענין לחסום תעבורה יוצאת או רק נכנסת?
-
@clickone אמר בסוגיית שרת שנפרץ:
אולי מה שאתה רואה זה בקשה לSSH עם המשתמש ROOT מסין, אבל לא שיש כעת סשן פעיל אלא רק פתוח (לבקשה שאולי נכשלה)
יותר מדוייק שתשתמש עם who או who -aאכן בזה לא רואים חיבורים פעילים מסין.
בכל אופן עדיין לא הבנתי איך האתר הציג תוכן למרות שאין לו אפאצ'י. (עכשיו הוא כבר לא מציג את ה404, רק דף של שגיאת ssl.
זה הפלט של ה lsof -i
-
@chagold
מה קורה אם אתה עוצר את litespeed ומפעיל מחדש את אפאצ'י?
זה אומנם לא משנה כ"כ כי אם נפרץ לך הרשת אתה במילא רוצה להקים חדש
אבל מעניין מה הלך שם? -
@nigun כרגע אני בבדיקת השרת החדש (שהופעל על הגיבוי).
שגם שם היה את litespeed. כביתי אותו והאפאצי מריץ רגיל את האתר.
אני יצטרך להקים שרת חדש נקי.
אבל אני בעד לעשות ניתוח פתלוגי. -
@nigun זה היה אתר חדש שעמד לעלות לאויר. את המסד שנמחק לא יכולתי לשחזר, אבל היה גיבוי מלפני שבוע. ככה שהנזק לא היה בשמים. רק צריך לדאוג ללהבא.
-
@nigun זה כתבתי לעיל שגם שמה היה litespeed, ואם כן היה כנראה איזו כניסה, ולכן אני צריך לחלץ את המסד מגיבוי + הוורדפרס לשרת נקי חדש.
-
א. בגדול אתה צודק, אבל אין לי הרבה ברירות.
ב. PHP לא רץ ברקע כל הזמן אלא לפי קריאה, ואני רוצה לנחש שהתקיפה אינה בקובץ PHP (שאינו רץ כל הזמן) אלא בקובץ שיכול לשבת בצד ולהמתין. ולעומת זאת וורדפרס הוא בקבצי PHP אז מקוה שלא יועתק עם זה. (ובפרט אחרי שאין להם גישה כרגע לשרת החדש).
ואם הבעיה היא מהתוספים אז בכל מקרה אין לי ברירות. רק לעדכן. -
א. בגדול אתה צודק, אבל אין לי הרבה ברירות.
ב. PHP לא רץ ברקע כל הזמן אלא לפי קריאה, ואני רוצה לנחש שהתקיפה אינה בקובץ PHP (שאינו רץ כל הזמן) אלא בקובץ שיכול לשבת בצד ולהמתין. ולעומת זאת וורדפרס הוא בקבצי PHP אז מקוה שלא יועתק עם זה. (ובפרט אחרי שאין להם גישה כרגע לשרת החדש).
ואם הבעיה היא מהתוספים אז בכל מקרה אין לי ברירות. רק לעדכן.@chagold
יש שתי סוגי נוזקות- קובץ PHP שפשוט מחכה לקריאה מבחוץ
- תוכנה נוספת שרצה בנפרד מPHP ועושה ככל העולה על רוחה
לגבי 2 לכאורה אם אתה מעתיק את הכל לשרת חדש אתה מוגן
לגבי 1 אולי יעזור לעדכן את התוספים אבל לא בטוח
כי לכאורה מספק לדחוף קובץ שלא קשור בכלל לוורדפרס
ואם אתה לא שם לב אליו, תעדכן את וורדפרס מאה פעמים, וזה לא יעזור לך.אולי יש איזה אנטי וירוס שסורק את כל הקבצים ומוצא קבצי PHP בעיתיים.
מייל: nigun@duck.com
-
@chagold
יש שתי סוגי נוזקות- קובץ PHP שפשוט מחכה לקריאה מבחוץ
- תוכנה נוספת שרצה בנפרד מPHP ועושה ככל העולה על רוחה
לגבי 2 לכאורה אם אתה מעתיק את הכל לשרת חדש אתה מוגן
לגבי 1 אולי יעזור לעדכן את התוספים אבל לא בטוח
כי לכאורה מספק לדחוף קובץ שלא קשור בכלל לוורדפרס
ואם אתה לא שם לב אליו, תעדכן את וורדפרס מאה פעמים, וזה לא יעזור לך.אולי יש איזה אנטי וירוס שסורק את כל הקבצים ומוצא קבצי PHP בעיתיים.
@nigun אמר בסוגיית שרת שנפרץ:
כי לכאורה מספק לדחוף קובץ שלא קשור בכלל לוורדפרס
ואם אתה לא שם לב אליו, תעדכן את וורדפרס מאה פעמים, וזה לא יעזור לך.את אותו הקובץ שהם שתלו בוורדפרס, הם צריכים לגשת אליו. וצריכים לדעת שהוא קיים בשרת שלי. ולכאו' הפריצה היתה אקראית וא"כ אני פחות חושש שיחפשו את זה בשרת החדש. (אבל הכל יכול להיות).
מה שגם אין לי מה לעשות כיון שאין לי עם מה להשוות את הקבצים.
רק שאצטרך לעקוב יותר. ולהריץ גיבוי קבוע לDB.יש לך פתרון יותר טוב?
-
@nigun אמר בסוגיית שרת שנפרץ:
כי לכאורה מספק לדחוף קובץ שלא קשור בכלל לוורדפרס
ואם אתה לא שם לב אליו, תעדכן את וורדפרס מאה פעמים, וזה לא יעזור לך.את אותו הקובץ שהם שתלו בוורדפרס, הם צריכים לגשת אליו. וצריכים לדעת שהוא קיים בשרת שלי. ולכאו' הפריצה היתה אקראית וא"כ אני פחות חושש שיחפשו את זה בשרת החדש. (אבל הכל יכול להיות).
מה שגם אין לי מה לעשות כיון שאין לי עם מה להשוות את הקבצים.
רק שאצטרך לעקוב יותר. ולהריץ גיבוי קבוע לDB.יש לך פתרון יותר טוב?
@chagold אמר בסוגיית שרת שנפרץ:
את אותו הקובץ שהם שתלו בוורדפרס, הם צריכים לגשת אליו. וצריכים לדעת שהוא קיים בשרת שלי. ולכאו' הפריצה היתה אקראית וא"כ אני פחות חושש שיחפשו את זה בשרת החדש. (אבל הכל יכול להיות).
יש קבצים ידועים עם שמות ידועים שהאקרים שותלים בכל שרת שהם הצליחו לחדור אליו, ויש מלא סורקים שסורקים את כל השרתים אם קיים שמות קובץ כאלה
קרה בפועל לאחד מחברי הפורום.
