Читай RSS - будь умным! Мы в Twitter! Мы VKontakte! Главная Форум Услуги Рекламодателям Карта сайта Контакты
Авторизация
Вход через
социальные сети
Вход через сайт
Регистрация
Забыли пароль?

l2maxi - всё для lineage 2
l2maxi - всё для lineage 2: ява сервера, дополнения, программы, галерея, улучшения, клиенты, файлы, боты, баги.

  Защита сайта или история одного сервера


Защита сайта или история одного сервера

Буквально на днях написал хороший друг с просьбой помочь защититься негров-хацкеров, которые сломали сайт и форум. Не долго думая я решил заглянуть что же там у него случилось, и был честно говоря в шоке, взломали абсолютно всё, на форуме был черт знает сколько шелов, на сайте не меньше, атакующий имел так же доступ к админке, в общем всё было в запущенном виде. Однако деваться было некуда, нужно было выручать товарища.

Предистория
Как это часто бывает, администратор сервера использовал достаточно популярную связку StressWeb 8.0+ и IPB 2.3.6 . Сервер был не самый популярный, но с довольно неплохим онлайном под 200+ человек. Как и полагается все пароли были очень сложные, состоящие из 15+ символов, подобрать такой просто не реально, однако это не остановило хацкера. Кроме того все папки с админками были переименованы, казалось бы, что может случиться, но всё таки случилось. Как выяснилось позже атакующий использовал дырку в BB кодах на форуме, залив тем самым липовую страницу регистрации и получив доступ в админцентр, откуда уже залил шелл.

Решение проблемы
Зайдя на форум, я первым делом принялся включать логи апача (которые, к слову, были выключены), что бы узнать как именно произошел взлом, и как были залиты шеллы. Сразу в глаза бросились строчки, где фигурировал пользователь root. "Проследив" за его действиями было выявлено около 5 шеллов, которые сразу же отправились в иной мир. Однако не успев удалить их, как тут же начали появляться новые, тут стало сразу ясно, что нужно что-то более серьёзное, нежели простое удаление. В результате возникла очень простая идея - заблокировать все папки через апач, с помощью файла .htaccess.
Сразу принявшись закидывать в абсолютно каждую папку файл со следующим содержимым:
Order Deny,Allow
Deny from all

Для тех, кто не в курсе это правило блокирует все действия через эксплорер, однако скрипты при этом отлично работают. Но не всё так просто, существуют папки к которым просто необходимо иметь доступ, к примеру папка с шаблонами, поэтому пришлось воспользоваться правилами, идущими в комплекте с движком:
<Files ~ "^.*\.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)">
    Order allow,deny
    Deny from all
</Files>

Это позволило заблокировать использование всех скриптов в папках, не затрагивая при этом картинки и прочие необходимые файлы. Разложив их аккуратненько в папки style_images, style_emoticons, style_captcha, style_avatars и другие я принялся опять смотреть логи, что бы узнать что же там делает наш хацкер. А он тем временем копался в нашей админке, видимо пытался ещё что-то намутить. Сразу же возникла идея зайти во вкладку "Прочее" и включить функцию "Защита файлом «.htaccess» АЦ", которая добавляет авторизацию через апач, перед заходом в админку, тем самым предотвращая несанкционированного доступа.
Немного отойдя от темы хотелось бы сказать, что эта функция просто необходима, для защиты админки, да и вообще лучше всего запустить все действия, которые возможны в этой вкладке.
Подождав ещё одну минуту принялся опять смотреть логи, всё чисто, в админке больше никто не лазил, кроме меня. Удалив ещё пару найденных шелов, решил посмотреть что твориться в файле error_log, который отвечает за ошибки скриптов. Сразу заметил что блокируются скрипты, необходимые для работы, помудрил с .htaccess - заработали. И только подумал, что всё сделано, заметил интересного пользователя (ник заинтерисовал), зашел в профиль, и случайно навел на картинку в подписи, сразу же перекинуло на страницу авторизации на другом сайте, но с таким же оформлением, сразу понял что тут что-то не чисто, и быстренько удалил ему подпись, а он в это время писал сообщение, на котором и хотел получить пассы ни в чем не повинных пользователей. Хорошо что вовремя его заметил, не дал возможности сделать плохое дело.
Любопытство взяло своё и я решил погуглить насчет взлома ipb, в результате нашел пару эксплоитов для получения хэша админа, однако для версии 2.3.5. А дальше случайным образом попал на офф. сайт русского сообщества ipb, на котором публиковался файл для исправления дырки в BB кодах, скачал, проверил подпись, теперь уже не кидает на другой сайт, всё нормально.

Разобравшись с форумом нужно было переходить на сайт. Действия для него были аналогичны, действиям на форуме, сразу были заблокированы все папки с помощью .htaccess, а после этого, на основе логов, открывались нужные. Однако хацкер имел доступ в админку, но кнопки, как в ипб, для запароливания админки тут не было. Поэтому пришлось мудрить со скриптами, что бы перенести админцентр в отдельную папку, которая и будит защищена через апач. В результате всех манипуляций сторонние входы в админку прекратились, а к шелом были закрыты пути. Но для полной уверенности было решено добавить при авторизации в ЛК капчу, для защиты от брута, но об этом уже в другой статье.

Подводим итоги:
После всех действий стало ясно, что:
1) Лучше всего держать сайт и сервер на отдельных компьютерах.
2) Доступ к БД сервера разрешить только 2 ip - localhost и ип сайта.
3) Защищать админку сайта с помощью стандартных средств апача (htaccess + htpasswd).
4) Создавать логины и пароль состоящие из не менее 15 символов.
5) Всегда следить за актуальностью скриптов на сайте, если были опубликованы сообщения об уязвимости, следует скачать заплатки в интернете.
6) Регулярно просматривать логи на сайте, для выявления каких-либо подозрительных действий.
7) Блокировать все не нужные папки с помощью .htaccess

В общем то и всё, и знайте, даже в таких проверенных годами движках, как IPB, имеются дырки, с помощью которых вас могут взломать.

Автор статьи я - wonder

Ключевые теги: ipb, stressweb, hack, взлом, защита

>> Ява сервера » F.A.Q., Защита сайта или история одного сервера

Другие новости по теме:
Изменяем атаку оружия Изменяем атаку оружия
Сталкивались с ситуацией, когда позарез нужно было изменить атаку какого-нибудь оружия? Перечитали много мануалов, в которых описываются только общие принципы редактирования статов, однако решить
Изменение статов вещей Изменение статов вещей
И так, в этой статье я расскажу вам как правильно изменять статистику, добавлять, убавлять, и так далее! Многие задумывались, а как сделать сильнее армор? Эта статья именно для вас! Здесь все чётко
Вход в игру без интернета и ява сервера! Вход в игру без интернета и ява сервера!
Не умеете ставить сервер? У вас нет интернета? А хотите поиграть в Lineage 2? Тогда эта статья именно для вас! В ней написанно как зайти в л2 без Java сервера, без интернета, только с клиентом и L2

Разместил: mrdaniel Прочитано: 16989


 
Автор: grand, 14 июня 2010 19:57
Группа: Гость
Комментариев: 0
Публикаций: 0
ICQ: --
Веселая история..




 
Автор: SystemOfADown, 14 июня 2010 20:48
Группа: Гость
Комментариев: 0
Публикаций: 0
ICQ: --
это печально.... friends




 
Автор: elvis2008, 14 июня 2010 21:58
Группа: Гость
Комментариев: 0
Публикаций: 0
ICQ: --
Детектив с элементами боевика... И счастливый конец)

из итогов я могу только выполнить 4 пункт! smile




 
Автор: mrdaniel, 14 июня 2010 22:17
Группа: Администратор
Комментариев: 289
Публикаций: 604
ICQ: --
С одним паролем далеко не уедешь, толку от того, что использовался пароль из 17 символов, и логин из 15 было мало, ломанули только в путь.

Зашел сейчас проверить как там делишки, этот негр ещё пытался что-то делать, но все его попытки были не результативными, но меня заинтересовал один запрос:
/index.php?&act=attach&code=attach_upload_process&attach_rel_module=
post&attach_rel_id=0&attach_post_key=c16318e3f4efb044f26af4aad63b960f&am
p;forum_id=17&--ff--forum_id=17

С помощью которого можно заливать абсолютно любой файл, даже php, и он сохраняется в папку upload/monthly_06_2010 (тут может быть другая дата), вот только 1 проблемка, сохраняет он его в формате .ipb, как его потом переименовать в php и исполнить, вот в чем вопрос. У кого есть какие идеи насчет этого?




 
Автор: 123123, 22 июня 2010 18:32
Группа: Посетитель
Комментариев: 78
Публикаций: 0
ICQ: --
вондер помоги плиз у меня стресс 8 оригинал написал акесы щас покажу

DirectoryIndex  index.php
<FilesMatch "\.(txt|php|exe|zip|rar|7z|)$">
Order Deny,Allow
Deny from all
</FilesMatch>


<FilesMatch (index.php)$|(admin.php)$|(class.php)$|(antibot.php&
amp;
#41;$|(ucp.php)$|(common.php)$|(
cron.php)$|(faq.php)$|(feed.php)$|(mcp.php)$|(me

mberlist.php)$|(posting.php)$|(r
eport.php)$|(search.php)$|(style.php)$|(viewforum.php
1;$|(viewonline.php)$|(viewt
opic.php)$|(index.htm)$|(style.cfg)$|(rotate.php)$&a
mp;#
62;

Order Allow,Deny
Allow from all

</FilesMatch>

Это у меня стоит в корни www на сайт и на форум

Дальше идем во всех папках раскидана такой

Order Deny,Allow
Deny from all

кроме tamplates если такой ставить правило доступа то картинки будут пропадать

поставил вот такой

<Files ~ "^.*\.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)">
    Order allow,deny
    Deny from all
</Files>

Все нормально робит,скажи пожалуста мне шелл не зальют мне знакомый сказал точто залить зальют но хттакесы не дадут им воспользоваться

Я буду ждать вашего ответа




 
Автор: mrdaniel, 22 июня 2010 18:37
Группа: Администратор
Комментариев: 289
Публикаций: 604
ICQ: --
Верно сказал, залить то они может каким-то боком и зальют, однако запустить они его точно не смогут. В папку с капчей тоже кинуть надо файл с содержимым:
Order Deny,Allow
Allow from all

Иначе капча отображаться не будит.




 
Автор: 123123, 22 июня 2010 18:55
Группа: Посетитель
Комментариев: 78
Публикаций: 0
ICQ: --
Я кинул спасибо большое, хорошо помог




 
Автор: mrdaniel, 22 июня 2010 19:16
Группа: Администратор
Комментариев: 289
Публикаций: 604
ICQ: --
Ещё рекомендую вынести админку в стороннюю директорию и защитить её через .htpasswd




 
Автор: 123123, 8 июля 2010 10:38
Группа: Посетитель
Комментариев: 78
Публикаций: 0
ICQ: --
А как это сделать? Раскажи подробно пожалуста




 
Автор: stopsay, 5 марта 2011 02:43
Группа: Гость
Комментариев: 0
Публикаций: 0
ICQ: --
Вондер, посоветуй защиту от пакетов :(




 
Автор: S9BA, 30 октября 2012 22:47
Группа: Гость
Комментариев: 0
Публикаций: 0
ICQ: --
stopsay,

iptables




Информация
Посетители, находящиеся в группе Гость, не могут оставлять комментарии в данной новости.


Реклама
Популярные новости
Опрос
Пользуетесь ли вы соц. сетью "Вконтакте"?

Конечно, постоянно там зависаю!
Иногда захожу пообщаться
Не переношу соц. сети

Архив новостей
Ноябрь 2017 (1)
Октябрь 2017 (4)
Сентябрь 2017 (4)
Август 2017 (4)
Июль 2017 (4)
Июнь 2017 (4)
Реклама

Наверх
Любое копирование материалов сайта строго запрещено!