Что делать с компрометированным сервером?

0

0

Есть сервер на фряхе с 60 сайтами. Перешёл ко мне в наследство от админа-алкаша. Там апач, мускль, пхп 4, exim. Он так и кишит всякими php-шеллами и прочей гадостью.

Недавно начали поступать жалобы, что с него атакуют каких-то людей (атака Remote File Inclusion). Причина — некоторые (я бы сказал, большая часть) сайтов очень корява. И register_globals включён (без него многие сайты не работают).

В моём распоряжении есть ещё один чистый сервер на колокейшне, куда я поставлю генту. Вопрос — что делать? Ясно, что всех надо перевести со старого сервера на новый. Как переводить? В отдельные виртуальные машины (openvz)? Или использовать vhosts (как и на старом, за исключением того, что php будет через suexec)? Или что-то ещё?

PS: Что самое противное, так это то, что денег на PHP-прогера нету. А я PHP пока не владею. После перевода буду поочерёдно для каждого выключать опасные опции php, смотреть, что не работает, и пытаться исправлять.

Ссылка

←	[CS]Сервер

инкрементальные бекапы на S3

→

← 1 2 →

Ответ на: комментарий от Obey-Kun 04.10.09 06:38:07 MSD

Вопрос неакуален.

На сервере будет openvz.

Причины (помимо более низких требований к железу) — удобнее массово управлять, код не настолько крив (патчи к ядру xen'а вдвое больше и вдесятеро кривее, и это если закрыть глаза на то, что xen есть только для 2.6.18), openvz пока что не собирается вымирать (а когда допилят KVM, т.е. года через 2-3, xen медленно но верно подохнет, это ежу понятно, оно вообще после покупки citrix умирает) и больше хостеров, которым можно сплавить клиента.

Obey-Kun ★★★★★
(04.10.09 07:25:48 MSD) автор топика

Ответ на: комментарий от Obey-Kun 04.10.09 07:25:48 MSD

А также там будет Debian Lenny. Как на хосте, так и нас всех виртуалках (ну разве что, может быть, на виртуалке под ejabberd+pyicqd исключение сделаю и поставлю какой-нибудь bleeding-edge).

RHEL (Centos) не годится, т.к. я хочу более свежее ядро (2.6.26 в ленни против 2.6.18 в центосе) и apt (плюс, там в официальные репозитории nginx входит, когда как в рхеле хрен). Весь софт будет из официального репозитория, хотя, если потребуется оптимизация, первым делом обновлю мускль с 5.0 на 5.1. Если (внезапно) и после этого потребуется оптимизация, то обновлю nginx (в ленни нынче 0.6).

Obey-Kun ★★★★★
(04.10.09 09:47:00 MSD) автор топика

Ссылка

Ответ на: комментарий от Obey-Kun 03.10.09 12:53:55 MSD

> Главное, что не фряха, меня от неё воротит уже, с неё же ухожу).

Не придуривайся.

Достался бы сервак CentOS от админа-алкаша, точно так же бы запел.

> А в качестве гостевых тогда будут дебианы.

Угу — дибиланы.

iZEN ★★★★★
(04.10.09 10:25:42 MSD)

Ссылка

> Он так и кишит всякими php-шеллами и прочей гадостью.

Так в чём проблема? Аудитом ПО не можешь заняться?

> В моём распоряжении есть ещё один чистый сервер на колокейшне, куда я поставлю генту.

:))

iZEN ★★★★★
(04.10.09 10:27:29 MSD)

Ответ на: комментарий от iZEN 04.10.09 10:27:29 MSD

В моём распоряжении есть ещё один чистый сервер на колокейшне, куда я поставлю генту.
:))

ну ошибся же, чего лыбишься

Он так и кишит всякими php-шеллами и прочей гадостью.
Так в чём проблема? Аудитом ПО не можешь заняться?

К тому, что есть, доверия нет никакого. Сначала всех перенесу, а потом уж буду подчищать корни сайтов.

Главное, что не фряха, меня от неё воротит уже, с неё же ухожу).
Не придуривайся. Достался бы сервак CentOS от админа-алкаша, точно так же бы запел.

Если когда-нибудь припрёт, то да, заюзаю фряху. Но сейчас смысла нет. Клиентам-то надо будет отдавать образы openvz, jails тут не прокатит. Плюс мне во фряхе несколько вещей очень не нравится (касательно портов, файловой структуры и пр.), так что никакого придуривания.

Obey-Kun ★★★★★
(04.10.09 10:35:33 MSD) автор топика

Ответ на: комментарий от Obey-Kun 04.10.09 10:35:33 MSD

Если что - отдай мне клиентов на хостинг, охота новый сервачок на предмет стойкости потестить

~~Poh~~ ★☆
(04.10.09 21:05:31 MSD)

Ответ на: комментарий от Poh 04.10.09 21:05:31 MSD

Их не я буду сплавливать. И не задарма.

Obey-Kun ★★★★★
(04.10.09 23:09:09 MSD) автор топика

Ссылка

Можно попробовать с простого зайти - поставить CentOS: 1) врубить SELinux в Enforcing, предварительно выставив контексты безопасности на нестандартные пути 2) запретить пользователю apache устанавливать соединения - пущай попытаются скачать что-нибудь.

oxumorron ★
(05.10.09 10:37:46 MSD)

Ответ на: комментарий от oxumorron 05.10.09 10:37:46 MSD

По виртуалкам если распихать, изоляция в любом случае лучше будет. И администрировать проще. Тем более, это опыт важный.

Obey-Kun ★★★★★
(05.10.09 15:19:02 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	[CS]Сервер

Admin

инкрементальные бекапы на S3

→

Похожие темы