סוגיית שרת שנפרץ
-
אתר וורדפרס של לקוח קיבל הודעת שגיאה שאין חיבור לdb. אתחלתי את השרת ואז האתר עבר לשגיאה 404 של דף שנוצר ע"י מנוע שלא היה מוכר לי (ולא היה מתוך התיקייה של הוורדפרס שאליה האפאצ'י האזין). גם כשכיביתי את האפאצ'י הדף עדיין היה פעיל. אין ngin-x בשרת שם.
רציתי לקחת את המסד נתונים לשרת חדש, אבל אחרי הייצוא והייבוא התברר שהמסד הקיים הוא כמעט ריק (אולי קוראים למה שהיה שם ריק לגמרי, אני פשוט לא יודע איך אמור להיראות מסד מרוקן. אבל בכ"א עיקר נתוני הוורדפרס לא היו שם). מזכיר לי את סגנון הפריצה שהיתה לפני שבועיים לuPress.שאלות:
- איך יתכן שהאתר יעבוד אחרי שהאפאצי מכובה? הוא מנותב לשרת אחר ומשם הוא מציג 404?
- איך אני יודע מה גרם לפריצה? יש לי לוגים אבל לא יודע לזהות מבין הפעולות מה הורס.
תודה
-
-
-
@chagold
לדעתי עזוב כעת את הווב שלא עובד, תתחיל עם הדלתות האחוריות
מה הפלט שלlastb?
אתה יכול גם לנסות לבדוק מה קורה בtail - f /var/log/auth.logלמרות שסביר שאם יש להם גישה לשרת שלך עם SSH אז התוקפים לא מנסים יותר.
אא"כ יש תוקפים נוספים באיזור -
כמו כן תנסה לראות מה קורה כאן
/var/log/apache2/error.log + /var/log/apache2/access.logוגם תנסה לראות במידה ולא רוקנו לך את התיקייה של WWW אם יש שם קבצים שאתה לא מכיר
ועוד משהו שאני בדקתי בעבר במקרה כזה, מה הקבצים החדשים שנוצרו ב48 שעות האחרונות
-
@clickone אמר בסוגיית שרת שנפרץ:
מה הפלט של
lastb?
העליתי מהשבוע האחרון. אם זה לא מספיק (אעלה בעוד קבצים).
lastb1.txtאתה יכול גם לנסות לבדוק מה קורה ב
tail - f /var/log/auth.log==> standard input <==@clickone אמר בסוגיית שרת שנפרץ:
כמו כן תנסה לראות מה קורה כאן
/var/log/apache2/error.log + /var/log/apache2/access.logניסיתי ואני לא מבין.
וגם תנסה לראות במידה ולא רוקנו לך את התיקייה של WWW אם יש שם קבצים שאתה לא מכיר
לא רוקנוועוד משהו שאני בדקתי בעבר במקרה כזה, מה הקבצים החדשים שנוצרו ב48 שעות האחרונות
בכל זה, לא חשוב לי השרת, אני יכול לזרוק אותו (אא"כ יש סיכוי לשחזר את הDB שזה החשוב כאן). השאלה היותר מהותית בשבילי - מאיפה יש להם גישה לSSH והאם זה מסכן את שאר השרתים שלי?
-
@clickone אמר בסוגיית שרת שנפרץ:
@chagold
שים לב בתמונה, שיש לך חיבור SSH פעיל מסין
https://ipinfo.io/218.92.0.249טוב בדקתי כעת בשרת נוסף, ויש לו ג"כ כניסות SSH משרתים בסין וארגנטינה...
כרגע אני מכבה הכל.איך אני מטפל בזה?
-
-
@chagold חזקה?
(כלומר, שזה לא מופיע כאן: https://haveibeenpwned.com/Passwords, ועם אורך מכובד)בכל מקרה כדאי לא ליכנס עם סיסמה אף פעם. כלומר להשבית את האפשרות של כניסה עם סיסמה.
וגם להשבית את האפשרות של כניסה כרוט דרך SSH
וגם להגדיר סיסמה חזקה עבור sudo
וגם אם זה אפשרי לחסום בחומת האש את הכניסה ל-SSH ולהשאיר פתוח רק ל-IP שלךיש בוטים שעוברים כל הזמן ברחבי האינטרנט ומנסים סיסמאות על שרתים עם SSH פתוח
-
-
-
@chagold רק עצה ממני
אל תילחץ. (וגם אל תחשוב על זה בשבת....
- וזה קשה....)
לפעמים הלחץ בעניין הזה מוציא אותך מדעתך, ואז אתה מקבל החלטות שגויות.
אם זה לא הסטרי שהשרתים יהיו באוויר, אז לא נורא שיהיו למטה קצת.
תעביר שרת אחרי שרת. בעדינות ורוגע (וזו הזדמנות גם ליישר קו עם כל מיני עידכונים ודברים שתמיד דחית)אם זה שירותי זמן אמת שחשוב שיהיו באוויר כל הזמן, אז זה קצת יותר בעייה.
וכמובן לא לשכוח! לגבות ושוב לגבות! כל הזמן.(לדעתי אם אתה מתחיל דרך חדשה בשרתים הייתי מציע גם שתעבור לסקלוואי מדיגיטל אושן - אני אישית אוהב אותם יותר)
-
-
-
@nigun אמר בסוגיית שרת שנפרץ:
אם מגדירים כניסה עם מפתח
למה להשבית את הכניסה כרוט + חסימת פורט 22?
והאם יש בעיה אם מגדירים כניסה עם סיסמה
ומגדירים רשימה לבנה בחומת האש?אין בעיה. יש כלל באבטחה שנקרא defense in depth. לפי הכלל הזה מה שלא צריך להיות פתוח שיהיה סגור בברירת מחדל. לפתוח רק לפי הצורך.
-
