Pull to refresh

Comments 43

А почему для просмотра логов vi, а не less?
Чтобы сразу удалить за собой следы.
UFO just landed and posted this here

Интересно, как долго у меня будет открываться вечером apache.log размеров в пару гигабайт на один виртуалхост?.. и через сколько я в соседней консоли этот vim прибью.


Пополнил свою коллекцию вредных советов.
Интересно, с сервисом у компании так же, как с этим постом?

Интересно, зачем держать лог в пару гигабайт, когда давно придумали logrotate? Попробуйте, говорят, помогает
UFO just landed and posted this here
Всё равно гигабайтные логи это не дело.
Всегда можно например писать не общий лог домена, а каждому location сделать свой файл.
UFO just landed and posted this here

Хорошо, у меня на каждом сервере шаредхостинга — несколько сот клиентов, у каждого от одного до десятка сайтов на жумлах, битриксах и прочих вордпрессах. на некоторые сайты госорганизаций, учебных заведений и просто достаточно большие порталы собирается под гигабайт логов в сутки.


Как вы себе представляете работу инженера поддержки, которому приходит тикет на "у меня тут вот на сайте что-то не работает", и как Вы себе представляете моё предложение клиентам разбить логи на location, например, в плеске, cpanel или даже просто, средствами обычного вордпресса? и работу саппорта в таком режиме "найти бог знает что в бог знает каком логе для воот этого домена"

Подозреваете, что Linux-сервер взломан?

wipe, re-image.


Нет никаких других вариантов. Злоумышленник уже мог пропатчить ядро и спрятать зловредные процессы. При чем, мог это сделать даже и без перезагрузки, если ksplice включен.

И неплохо бы еще биос проверить :)

Таки да, я хотел написать, но решил не усложнять :-)

ksplice облегчает дело, но он не обязателен. Если у злоумышленника есть возможность загружать свои модули в ядро — всё, тушите свет. Если есть доступ к /dev/mem, /dev/kmem — тоже тушите свет.
Сегодня вроде как начались.
Ну тогда нормальный пост, как школьникам с хоумпэйджами на vps защититься от других школьников
И какой цели это волшебство послужит, особенно в свете того, что уже установлен fail2ban, и тупые боты не мешают. А не тупых и не ботов смена порта не запутает ни сколько…
Смена порта помогает от засорения логов записями о блокировке тупых ботов. Чистые логи читать приятнее.
UFO just landed and posted this here
Сегодня бот- а завтра? А если вирус на компьютере ни в чём ни повинного пользователя? А 1000 пользователей за натом?
В общем не панацея, так с водой и ребёнка выплеснуть можно.
UFO just landed and posted this here
Я лично пока баню только ssh.

Тогда нормально. Я уж думал, вообще все пакеты от них дропаете.
Вроде такой солидный человек, в костюме, что то там про безопасность пишет/переводит и такой совет… да я покурить не успею пока сканер найдёт нестандартный ssh порт. как правильно ниже говорят — fail2ban, ключи и/или сложные пароли — вот отличный вариант, а не порт менять.
UFO just landed and posted this here
И это правильно, курить вредно
UFO just landed and posted this here
UFO just landed and posted this here
Как показал мой личный опыт, смена порта sshd на нестандартный на порядки уменьшило в логах auth.log кол-во записей. Это помогает отсеивать не целенаправленные атаки.
Теперь ясно что ни за что не стоит брать вдс в этой компании.
Почему? Цены у них нормальные, но вот защита от ддос атак — мало верю.
Нормальный мануал для начинающих, поможет в свое время

Добавлю советов и я:


  • сменить порт ssh. Как ни возмущались бы выше, но большая часть взломов — это автоматические сканеры уязвимостей. другой порт -> меньше попыток взлома -> меньше шанс словить свежий эксплойт.
  • отключить аутентификацию по паролю и использовать только аутентификацию по ключам. Хранить приватный ключ в зашифрованном виде. Это сделает бессмысленным брутфорс и кражу приватных ключей с машины администратора.
  • (для параноиков) добавить в sshd двухфакторную аутентификацию по TOTP
  • (для рисковых параноиков) настроить на сервере файрволл, чтобы он разрешал подключения по SSH только с ваших IP адресов.
Вопрос по проверке cron'а, что делать, если злоумышленник менял не пользовательскую конфигурацию, а системную? А если и пользовательскую, но создал еще одного root'а? А если изменил login shell для любого системного пользователя (плюс добавил пароль, разумеется), добавил его в sudoers и таким образом имеет backdoor с root'ом? Также, он мог банально повесить SUID-бит на /bin/bash, либо положить wrapper для оболочки с этим битом, чтобы иметь root'а при логине под любым пользователем.

Собственно, исходя из этого на мой взгляд нужно как минимум:
  • Ежедневно проверять список файлов с SUID-битом (интересно, но во FreeBSD есть periodic-задание для этого)
  • Проверять не crontab -l, а /var/spool/cron, /etc/crontab и /etc/cron.*
  • Регулярно проверять изменения в /etc/passwd, возможно даже настроить мониторинг на изменение этого файла (по дефолту в zabbix'е есть даже триггер на это)
  • Проверять /etc/sudoers
  • Диски, на которые происходит заливка файлов с внешнего мира, монтировать с флагами nosuid и noexec
Нужно исходить из того, что если злоумышленник получил рута хоть на 5 секунд — вы больше не контролируете систему. Потому что уже руткит уже загружен прямо в ядро и вы никогда даже не узнаете о его существовании.
stat() будет показывать правильные права для нужных файлов, никаких лишних записей в /etc/passwd вы не увидите, в /proc/ тоже не будет видно лишних процессов и т.д. И при этом машина будет вовсю DDOSить кого-нибудь и рассылать спам в промежутках между атаками.

Разве что физически снимете винчестер, подключите его к другой системе и очень детально проанализируете данные (не файлы!) на нём. Тогда да, вы сможете понять что машина была заражена.
А это мы ещё не затрагивали UEFI. Вирус в биосе — это больше не фантастика.
Это само собой разумеющееся, я всего-навсего немного развил мысли автора, не сильно углубляясь. Понятное дело, что при должном уровне паранойи необходимо заново поднимать сервер в такой ситуации.
Еще рекомендую делать «rpm -V» — сверяет контрольные суммы файлов на диске с эталонными. Можно смотреть какие конфиги или бинарники изменлись.
UFO just landed and posted this here
Мне мое знание помогало пару раз найти атаки. А Вам ваше знание помогло?
UFO just landed and posted this here
я тоже не понял вас. предлагаю закончить диспут
Only those users with full accounts are able to leave comments. Log in, please.