Проверка уязвимости Сервера

1

2

Подскажите как можно проверить сервер на уязвимости, где и что отключить, или обратиться к кому за помощью? OS Ubuntu + NGINX, есть предположение что «хакнули», но не могу по логам найти, каким образом, да и знаний Нет что и где проверять.

Ссылка

←	В обновлении GRUB2 выявлена проблема, приводящая к невозможности загрузки

Пара вопросов про LUKS FDE

→

Сложный вопрос, пожалуй единственный на который сходу не ответить. Нужно читать логи, знать какие пакеты установлены и как настроены. В общем без прикладной телепатии не обойтись, но на лоре к сожалению таких нет. Могу только посоветовать переустановить ось на сервере и постараться устранить все потенциальные уязвимости.

anonymous
(01.08.20 00:55:36 MSK)

Ответ на: комментарий от anonymous 01.08.20 00:55:36 MSK

Дополню. Вся защита и система мониторинга строиться при установке сервера, а не тогда, когда уже что-то случилось.

anonymous
(01.08.20 01:04:59 MSK)

В первую очередь надо смотреть логи SSH, проверять на наличие сомнительных подключений.

~~Korchevatel~~ ★★★★★
(01.08.20 01:12:48 MSK)

Ссылка

Ответ на: комментарий от anonymous 01.08.20 01:04:59 MSK

Установлено из сервисов MYSQL, PHP, fail2ban, больше ничего лишнего, не считая некоторых прогам типа mc, nano, я так понимаю они не могут навредить. Скажите отключение root (удалить пароль ?), создать админа с нелепым именем, смена пароля на MYSQL и создание RSA ключа доступа к админу, с какой долей вероятности помогут? Может имеюстя утилиты, типа антивирусов для Win, сканеры, сниферы?

Команда $lastlog говорит что кроме root никто не логинился (newer logged), значит через SSH root’ом ?

Пароль к БД я так понимаю ломать не приходится, если в скриптах логина укзано подключение к БД,оттуда и вытщили, я понимаю его вообще не спрятать?

Не могу понять как подобрали, я сам себя по ошибке забанил f2b, и поэтому был уверен в защите, полагался на f2b.

Devill
(01.08.20 01:17:45 MSK) автор топика
Последнее исправление: Devill 01.08.20 01:26:24 MSK (всего исправлений: 3)

Ответ на: комментарий от Devill 01.08.20 01:17:45 MSK

В первую очередь, что я обычно делаю при настройке нового сервера: ставлю порт SSH с 22 на кастомный (кулхацкеры раздражают своим присутствием в логе /var/log/auth.log, отключаю доступ по SSH по паролю, только по ключу. У меня все устройства, с которых я подключаюсь к сервакам, снабжены ключами, поэтому подключения по паролю не нужны.

Rinaldus ★★★★★
(01.08.20 01:36:09 MSK)

Ответ на: комментарий от Rinaldus 01.08.20 01:36:09 MSK

Да спасибо, читал про это все давно - но подзабил, результат :( Всё это проделаю, а Номер порта можно определить извне - Онлайн сканером портов?

Devill
(01.08.20 01:44:09 MSK) автор топика

А какие признаки, что хакнули?

goingUp ★★★★★
(01.08.20 01:58:04 MSK)

Ссылка

Ответ на: комментарий от Devill 01.08.20 01:44:09 MSK

Онлайн сканером портов?

Разумеется да.

Но смена порта спасёт гиганта мысли от назойливых азиатских ботов.

~~Twissel~~ ★★★★★
(01.08.20 08:14:06 MSK)

Ссылка

https://www.open-scap.org/ - делай раз

https://geekflare.com/linux-security-scanner/ - делай два

OpenSCAP дает хороший набор секурити-бейзлайнов (как про то, какие сервисы погасить, что докрутить в конфигах и так далее), по второй ссылке - подборка сканеров уязвимостей. Выбирай тот, который больше нравится.

~~CaveRat~~ ★★
(01.08.20 08:28:23 MSK)

Ссылка

Ответ на: комментарий от Devill 01.08.20 01:44:09 MSK

Можно, конечно. Но дело в том, что боты ломятся через типичные дефолтные порты: 22 для SSH, 21 для FTP и т.д. А если ты назначишь любой другой порт для этих сервисов, ты сразу отсечешь автоматических ботов. А если ты отключишь доступ по паролю и оставишь доступ по ключу, то ты отсечешь возможность взломать твой сервер с помощью брутфорса.

Rinaldus ★★★★★
(01.08.20 15:18:20 MSK)