[+] Włamanie na serwer dedykowany

[+] Włamanie na serwer dedykowany - co z tym zrobić?

Ldrozd - 24-03-2010 19:15
Włamano mi się na mój serwer dedykowany, na którym mam Debiana. Nie wiem jak on złamał hasło roota. Wydawać by się mogło, że to jest niemożliwe. A jednak, ktoś wie jak odbić ten serwer dedykowany? Nie wiem co zrobić?

PS. Serwer dedykowany jest dzierżawiony od firmy hostingowej.

sebcioz - 24-03-2010 19:37
Najprawdopodobniej miałeś ustawione za słabe hasło (popularne, proste do złamania)/niezaktualizowany, źle skonfigurowany system. Chyba jedynym dobrym (pewnym) wyjściem jest kontakt z administratorami serwerowni i postawienie wszystkiego od nowa (rozumiem, że jako odpowiedzialny admin robiłeś backupy?) tym razem dbając o bezpieczeństwo.

Ldrozd - 24-03-2010 19:42
Problem w tym, ze haslo bylo trudne, zawieralo litery duze i male oraz liczby.
Mozliwe, ze wgral php shella. Jak sie uchronic i zabezpieczyc swoj serwer?

sebcioz - 24-03-2010 19:49
To już temat na osobny artykuł -> więcej. Ogólnie to staraj się instalować tylko sprawdzone i aktualne oprogramowanie, dbaj o odpowiednie prawa dostępu itp.

Ldrozd - 24-03-2010 21:02
Dziękuję sebcioz za zainteresowanie.
Jeszcze jedno pytanie, czy taki firewall coś może pomóc? W sumie do tego ma służyć, ale czy warto go instalować?

sebcioz - 24-03-2010 22:08

Jeszcze jedno pytanie, czy taki firewall coś może pomóc? W sumie do tego ma służyć, ale czy warto go instalować? Warto, chociażby dla samego fail2bana. Chyba jednak najważniejsze jest zabezpieczenie serwera www - co z tego, że jest firewall/100 literowe hasło jak będzie błąd w skrypcie php i "hacker" będzie mógł wykonywać polecenia z prawami roota?

Edit: Ja specem nie jestem. Może warto się kogoś doświadczonego o szczegóły dopytać?

Ldrozd - 24-03-2010 22:11
No tak, tylko nie zawsze jest się świadomym jakiejś luki. Dzięki.
Można zamykać.

life - 27-03-2010 11:50
Często się zdarza że ludzie instalują Apache PHP MySQL bo to taki standard. Zostawiają standardową instalację i wszystko działa do czasu aż nie znajdzie się ktoś... Podstawa to zawsze jak najmniej usług, używać tylko tego co jest konieczne i nic poza tym.

Apache nie lubię za względów, że jest wielką krową, wolę lighttpd a ostatnimi czasy to rządzi u mnie nginx. Jeśli potrzebujesz PHP to wysoce zalecane używanie Suhosin (http://www.hardened-php.net/suhosin/) dodatkowo w PHP wyłączyć funkcje, których nie będziesz używał (użytkownicy raczej też nie powinni) no chyba, że taka specyfika aplikacji, czyli od razu w php.ini wyłączyć funkcje jak (shell_exec, exec, system, passthru itp.). W zasadzie wszystkie z grupy programów wykonywalnych.

Nadać odpowiednie prawa dostępu, chroot, itp. partycję, na której znajduje się uruchomiona strona montować z parametrami noexec, nodev itp. czyli ograniczać jak tylko się da.

No, ale tak zazwyczaj kończą się przygody administrowania przez niekompetentne osoby. Przeczytanie ,,HOWTO instaling LAMP on Debian'' nie czyni nikogo adminem.

PS. Żeby była jasność, ja nie jestem administratorem tylko amatorem pasjonatem ale to co mam uruchomione u mnie w domu staram się zabezpieczyć na tyle ile potrafię.