Меню
Что нового?

Неплохой хостинг на SSD - 20GB, 1Tb - всего за $5 - рабочий сервер через 55сек.

scorpion-ds

scorpion-ds

Новичок
Пару месяцев назад, для тестирования проектов создали сервер на DO, в тот же день к нему стали перебирать пароль, я поставил более сложный пароль и забил.

Сегодня обнаружилось, что сервер был взломан, все удалено и оставлено сообщение:
http: // pastie.org/private/mrlpffnlto7u3gyu0bw1dw

Greetings,
Your server has been hacked and your files have been deleted.
Before they were deleted, we backed them up to a server we control.
You must send a total of 2 BTC to the address: 14vYsuLnnZRTar8jazbK5eSFnB1FkWMUo1
Failure to do so will result in your files being deleted after 5 days.
We will also leak files on torrent networks (we will grep for e-mails etc) and search through src-code.
You can e-mail [email protected] for support. We will not give any files before a payment has been made.
After you have made the payment, you can e-mail [email protected] and we will give you back your files in a .tar.gz format.
Do not write a message to us if you are going to request file names, size or picture.
This can all aid with recovery and we will not provide this!
Нажмите для раскрытия...
Ничего мы платить конечно не будем, но все же неприятно и новый настраивать придется.
 
scorpion-ds

scorpion-ds

Новичок
Redjik написал(а):
Доступ по ключам? не - не слышал
Нажмите для раскрытия...
Я в общем-то и не спрашивал, что же делать, просто поделился, какие могут быть проблемы.

Я защитой сервера заниматься не хочу, делал на нем только то, что нужно было для моей работы.
 
scorpion-ds

scorpion-ds

Новичок
Absinthe написал(а):
Для таких, как ты, есть shared hosting.
Нажмите для раскрытия...
Думаю там затруднительно развернуть проект под Symfony, а также различные утилиты нужные для проекта ...

Absinthe написал(а):
VPS подразумевает полное администрирование, в том числе и безопасность.
Нажмите для раскрытия...
Ну так кто спорит, это же очевидно. Мне за это не хочется отвечать, да и время на это не выделяют.
 

MiksIr

miksir@home:~$
Первое, что делаю - выношу ssh на другой порт ;) Пароль все-равно не подберут, тем более ключ и rootlogin off, а логи засрут ;)
 

MiksIr

miksir@home:~$
scorpion-ds написал(а):
Мне за это не хочется отвечать, да и время на это не выделяют.
Нажмите для раскрытия...
Стоять на красный ожидая зеленого - на это, хоть, время выделяют? Или тоже не?
Провести минимальные действия по защите сервера - так же естественно, как пользоваться презервативом в процессе трахания всего населения земного шара подряд.
 
Absinthe

Absinthe

жожо
scorpion-ds написал(а):
Думаю там затруднительно развернуть проект под Symfony
Нажмите для раскрытия...
Почему? Не должно быть проблем для обычного сайта и набора кронджобов.

scorpion-ds написал(а):
Мне за это не хочется отвечать, да и время на это не выделяют.
Нажмите для раскрытия...
Так и скажи своему руководителю.
Это лучше, чем сказать, что сделаешь, но не сделать (что у тебя с VPS и произошло).
 
Redjik

Redjik

Джедай-мастер
ssh ключ прописать - минутное дело, отключить логин по паролю - еще минута
это сделать быстрее, чем нагуглить как пароль поменять не?
 
scorpion-ds

scorpion-ds

Новичок
Учту и наверно сделаю, пока админа удаленного не найдем ...

Вообще пароль был таким: hDqu%cGGD{

Я не представлю как его можно было подобрать ...
 
fixxxer

fixxxer

К.О.
Партнер клуба
Откуда уверенность в том, что его подобрали, а не, скажем, эксплуатировали уязвимость в серверном ПО?
 
scorpion-ds

scorpion-ds

Новичок
fixxxer написал(а):
Откуда уверенность в том, что его подобрали, а не, скажем, эксплуатировали уязвимость в серверном ПО?
Нажмите для раскрытия...
Только догадки, так как с самого его создания шел перебор паролей. Я сделал снимок на всякий случай и удалил его, не проводил там ни каких расследований, обнаружили только, что там все удалено, как будто только созданный.

Absinthe написал(а):
Почему? Не должно быть проблем для обычного сайта и набора кронджобов.
Нажмите для раскрытия...
Нам нужен был REDIS, MongoDB, unoconv+OpenOffice такого на обычном хостинге не поставить.
 
fixxxer

fixxxer

К.О.
Партнер клуба
scorpion-ds написал(а):
так как с самого его создания шел перебор паролей
Нажмите для раскрытия...
Это практически на любом сервере с ssh наружу по стандартному порту такое в логах увидишь, все диапазоны IP крупных хостеров постоянно сканируют.
Я обычно исключительно по этой причине перевешиваю на другой порт, никакой особой безопасности это не дает, просто задолбали в логи срать.
 

AnrDaemon

Продвинутый новичок
Код: 
# Generated by iptables-save v1.4.21 on Sat Jun 25 20:10:54 2016
*filter
:INPUT DROP [18459:1265336]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [306540:89477954]
:NOWAY - [0:0]
:SSH_CHECK - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m multiport --dports 9,22,23,25,110,465,993,995 -m conntrack --ctstate NEW -j SSH_CHECK
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -m conntrack --ctstate NEW -j ACCEPT
-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --mask 255.255.255.255 --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --rcheck --seconds XX --hitcount YY --name SSH --mask 255.255.255.255 --rsource -j NOWAY
COMMIT
# Completed on Sat Jun 25 20:10:54 2016
/var/tmp/sshd_config
Код: 
…
PermitRootLogin without-password
MaxAuthTries 1
Подбирайте пароль, УДАЧИ…
 
grigori

grigori

( ͡° ͜ʖ ͡°)
Команда форума
@AnrDaemon, интересный принцип,
не согласен с "INPUT -p icmp -j ACCEPT" и "NOWAY -j REJECT --reject-with icmp-port-unreachable" - дырки для флуда

а можешь объяснить для ленивых вроде меня что такое -m recent? если это последние запросы - то как чистится список? не много ли таблица забаненых IP откушивает памяти и проца на нагрузках? народ как-то жалуется на прожорливость iptables - @admin, *****-шники
не проще ли сделать ip whitelist и vpn?

вообще, хорошо бы статейку по iptables для стандартных LNPM сделать для новичков
 

AnrDaemon

Продвинутый новичок
Флуд должен резаться на маршрутизаторе.

Это xt_recent. Размер таблицы ограничен, старые пакеты вытесняются новыми.
От дебилов и профессионалов не спасёт, но настырных новичков обескураживает и они перестают долбиться.
Наверное, стоит поменять правила местами, кстати…
Чтобы больше в таблицу влезало.

IP whitelist сделать можно БЫЛО БЫ, ЕСЛИ БЫ у меня этот whitelist был.
Нет, ТЕОРЕТИЧЕСКИ, я могу завести всё через домашнюю машину с двумя белыми IP, но если она вырубится (редко, но бывает), то что дальше? Покупать отдельный контейнер специально для заведения коннектов через него? Ну, можно, конечно… Идея богатая, сама по себе. Будет нужда - буду думать.
 
scorpion-ds

scorpion-ds

Новичок
Вообще, есть смысл отключать логин root-а? Я рубанул его на всякий случай, но мне жалуются, что неудобно теперь работать с сервером.
 
fixxxer

fixxxer

К.О.
Партнер клуба
Это кто это жалуется и что это за такие "работы" которые "неудобно"?
 
scorpion-ds

scorpion-ds

Новичок
Установка ПО я так понимаю (redis, unoconv+OpenOffice), дал пароль root можно теперь через su войти под ним, вроде так легче, впрочем мне кажется это тоже самое что и sudo использовать ...
 
Войдите или зарегистрируйтесь для ответа.
Сверху