LINUX.ORG.RU

Проверка уязвимости Сервера

 , ,


1

2

Подскажите как можно проверить сервер на уязвимости, где и что отключить, или обратиться к кому за помощью? OS Ubuntu + NGINX, есть предположение что «хакнули», но не могу по логам найти, каким образом, да и знаний Нет что и где проверять.


Сложный вопрос, пожалуй единственный на который сходу не ответить. Нужно читать логи, знать какие пакеты установлены и как настроены. В общем без прикладной телепатии не обойтись, но на лоре к сожалению таких нет. Могу только посоветовать переустановить ось на сервере и постараться устранить все потенциальные уязвимости.

anonymous
()
Ответ на: комментарий от anonymous

Дополню. Вся защита и система мониторинга строиться при установке сервера, а не тогда, когда уже что-то случилось.

anonymous
()

В первую очередь надо смотреть логи SSH, проверять на наличие сомнительных подключений.

Korchevatel ★★★★★
()
Ответ на: комментарий от anonymous

Установлено из сервисов MYSQL, PHP, fail2ban, больше ничего лишнего, не считая некоторых прогам типа mc, nano, я так понимаю они не могут навредить. Скажите отключение root (удалить пароль ?), создать админа с нелепым именем, смена пароля на MYSQL и создание RSA ключа доступа к админу, с какой долей вероятности помогут? Может имеюстя утилиты, типа антивирусов для Win, сканеры, сниферы?

Команда $lastlog говорит что кроме root никто не логинился (newer logged), значит через SSH root’ом ?

Пароль к БД я так понимаю ломать не приходится, если в скриптах логина укзано подключение к БД,оттуда и вытщили, я понимаю его вообще не спрятать?

Не могу понять как подобрали, я сам себя по ошибке забанил f2b, и поэтому был уверен в защите, полагался на f2b.

Devill
() автор топика
Последнее исправление: Devill (всего исправлений: 3)
Ответ на: комментарий от Devill

В первую очередь, что я обычно делаю при настройке нового сервера: ставлю порт SSH с 22 на кастомный (кулхацкеры раздражают своим присутствием в логе /var/log/auth.log, отключаю доступ по SSH по паролю, только по ключу. У меня все устройства, с которых я подключаюсь к сервакам, снабжены ключами, поэтому подключения по паролю не нужны.

Rinaldus ★★★★★
()
Ответ на: комментарий от Rinaldus

Да спасибо, читал про это все давно - но подзабил, результат :( Всё это проделаю, а Номер порта можно определить извне - Онлайн сканером портов?

Devill
() автор топика

А какие признаки, что хакнули?

goingUp ★★★★★
()
Ответ на: комментарий от Devill

Онлайн сканером портов?

Разумеется да.

Но смена порта спасёт гиганта мысли от назойливых азиатских ботов.

Twissel ★★★★★
()

https://www.open-scap.org/ - делай раз

https://geekflare.com/linux-security-scanner/ - делай два

OpenSCAP дает хороший набор секурити-бейзлайнов (как про то, какие сервисы погасить, что докрутить в конфигах и так далее), по второй ссылке - подборка сканеров уязвимостей. Выбирай тот, который больше нравится.

CaveRat ★★
()
Ответ на: комментарий от Devill

Можно, конечно. Но дело в том, что боты ломятся через типичные дефолтные порты: 22 для SSH, 21 для FTP и т.д. А если ты назначишь любой другой порт для этих сервисов, ты сразу отсечешь автоматических ботов. А если ты отключишь доступ по паролю и оставишь доступ по ключу, то ты отсечешь возможность взломать твой сервер с помощью брутфорса.

Rinaldus ★★★★★
()

через sql-инъекцию можно шелл залить, а далее повысить привелегии… я на взломанных серваках прокси поднимаю часто, посмотри что в процессах висит

tz4678 ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.