Читай RSS - будь умным! Мы в Twitter! Мы VKontakte! Главная Форум Услуги Рекламодателям Карта сайта Контакты
Авторизация
Вход через
социальные сети
Вход через сайт
Регистрация
Забыли пароль?

l2maxi - всё для lineage 2
l2maxi - всё для lineage 2: ява сервера, дополнения, программы, галерея, улучшения, клиенты, файлы, боты, баги.

  Защита сайта или история одного сервера


Защита сайта или история одного сервера

Буквально на днях написал хороший друг с просьбой помочь защититься негров-хацкеров, которые сломали сайт и форум. Не долго думая я решил заглянуть что же там у него случилось, и был честно говоря в шоке, взломали абсолютно всё, на форуме был черт знает сколько шелов, на сайте не меньше, атакующий имел так же доступ к админке, в общем всё было в запущенном виде. Однако деваться было некуда, нужно было выручать товарища.

Предистория
Как это часто бывает, администратор сервера использовал достаточно популярную связку StressWeb 8.0+ и IPB 2.3.6 . Сервер был не самый популярный, но с довольно неплохим онлайном под 200+ человек. Как и полагается все пароли были очень сложные, состоящие из 15+ символов, подобрать такой просто не реально, однако это не остановило хацкера. Кроме того все папки с админками были переименованы, казалось бы, что может случиться, но всё таки случилось. Как выяснилось позже атакующий использовал дырку в BB кодах на форуме, залив тем самым липовую страницу регистрации и получив доступ в админцентр, откуда уже залил шелл.

Решение проблемы
Зайдя на форум, я первым делом принялся включать логи апача (которые, к слову, были выключены), что бы узнать как именно произошел взлом, и как были залиты шеллы. Сразу в глаза бросились строчки, где фигурировал пользователь root. "Проследив" за его действиями было выявлено около 5 шеллов, которые сразу же отправились в иной мир. Однако не успев удалить их, как тут же начали появляться новые, тут стало сразу ясно, что нужно что-то более серьёзное, нежели простое удаление. В результате возникла очень простая идея - заблокировать все папки через апач, с помощью файла .htaccess.
Сразу принявшись закидывать в абсолютно каждую папку файл со следующим содержимым:
Order Deny,Allow
Deny from all

Для тех, кто не в курсе это правило блокирует все действия через эксплорер, однако скрипты при этом отлично работают. Но не всё так просто, существуют папки к которым просто необходимо иметь доступ, к примеру папка с шаблонами, поэтому пришлось воспользоваться правилами, идущими в комплекте с движком:
<Files ~ "^.*\.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)">
    Order allow,deny
    Deny from all
</Files>

Это позволило заблокировать использование всех скриптов в папках, не затрагивая при этом картинки и прочие необходимые файлы. Разложив их аккуратненько в папки style_images, style_emoticons, style_captcha, style_avatars и другие я принялся опять смотреть логи, что бы узнать что же там делает наш хацкер. А он тем временем копался в нашей админке, видимо пытался ещё что-то намутить. Сразу же возникла идея зайти во вкладку "Прочее" и включить функцию "Защита файлом «.htaccess» АЦ", которая добавляет авторизацию через апач, перед заходом в админку, тем самым предотвращая несанкционированного доступа.
Немного отойдя от темы хотелось бы сказать, что эта функция просто необходима, для защиты админки, да и вообще лучше всего запустить все действия, которые возможны в этой вкладке.
Подождав ещё одну минуту принялся опять смотреть логи, всё чисто, в админке больше никто не лазил, кроме меня. Удалив ещё пару найденных шелов, решил посмотреть что твориться в файле error_log, который отвечает за ошибки скриптов. Сразу заметил что блокируются скрипты, необходимые для работы, помудрил с .htaccess - заработали. И только подумал, что всё сделано, заметил интересного пользователя (ник заинтерисовал), зашел в профиль, и случайно навел на картинку в подписи, сразу же перекинуло на страницу авторизации на другом сайте, но с таким же оформлением, сразу понял что тут что-то не чисто, и быстренько удалил ему подпись, а он в это время писал сообщение, на котором и хотел получить пассы ни в чем не повинных пользователей. Хорошо что вовремя его заметил, не дал возможности сделать плохое дело.
Любопытство взяло своё и я решил погуглить насчет взлома ipb, в результате нашел пару эксплоитов для получения хэша админа, однако для версии 2.3.5. А дальше случайным образом попал на офф. сайт русского сообщества ipb, на котором публиковался файл для исправления дырки в BB кодах, скачал, проверил подпись, теперь уже не кидает на другой сайт, всё нормально.

Разобравшись с форумом нужно было переходить на сайт. Действия для него были аналогичны, действиям на форуме, сразу были заблокированы все папки с помощью .htaccess, а после этого, на основе логов, открывались нужные. Однако хацкер имел доступ в админку, но кнопки, как в ипб, для запароливания админки тут не было. Поэтому пришлось мудрить со скриптами, что бы перенести админцентр в отдельную папку, которая и будит защищена через апач. В результате всех манипуляций сторонние входы в админку прекратились, а к шелом были закрыты пути. Но для полной уверенности было решено добавить при авторизации в ЛК капчу, для защиты от брута, но об этом уже в другой статье.

Подводим итоги:
После всех действий стало ясно, что:
1) Лучше всего держать сайт и сервер на отдельных компьютерах.
2) Доступ к БД сервера разрешить только 2 ip - localhost и ип сайта.
3) Защищать админку сайта с помощью стандартных средств апача (htaccess + htpasswd).
4) Создавать логины и пароль состоящие из не менее 15 символов.
5) Всегда следить за актуальностью скриптов на сайте, если были опубликованы сообщения об уязвимости, следует скачать заплатки в интернете.
6) Регулярно просматривать логи на сайте, для выявления каких-либо подозрительных действий.
7) Блокировать все не нужные папки с помощью .htaccess

В общем то и всё, и знайте, даже в таких проверенных годами движках, как IPB, имеются дырки, с помощью которых вас могут взломать.

Автор статьи я - wonder

Ключевые теги: ipb, stressweb, hack, взлом, защита

>> Ява сервера » F.A.Q., Защита сайта или история одного сервера

Другие новости по теме:
Изменяем атаку оружия Изменяем атаку оружия
Сталкивались с ситуацией, когда позарез нужно было изменить атаку какого-нибудь оружия? Перечитали много мануалов, в которых описываются только общие принципы редактирования статов, однако решить
Изменение статов вещей Изменение статов вещей
И так, в этой статье я расскажу вам как правильно изменять статистику, добавлять, убавлять, и так далее! Многие задумывались, а как сделать сильнее армор? Эта статья именно для вас! Здесь все чётко
Вход в игру без интернета и ява сервера! Вход в игру без интернета и ява сервера!
Не умеете ставить сервер? У вас нет интернета? А хотите поиграть в Lineage 2? Тогда эта статья именно для вас! В ней написанно как зайти в л2 без Java сервера, без интернета, только с клиентом и L2

Разместил: mrdaniel Прочитано: 16369


 
Автор: grand, 14 июня 2010 19:57
Группа: Гость
Комментариев: 0
Публикаций: 0
ICQ: --
Веселая история..




 
Автор: SystemOfADown, 14 июня 2010 20:48
Группа: Гость
Комментариев: 0
Публикаций: 0
ICQ: --
это печально.... friends




 
Автор: elvis2008, 14 июня 2010 21:58
Группа: Гость
Комментариев: 0
Публикаций: 0
ICQ: --
Детектив с элементами боевика... И счастливый конец)

из итогов я могу только выполнить 4 пункт! smile




 
Автор: mrdaniel, 14 июня 2010 22:17
Группа: Администратор
Комментариев: 289
Публикаций: 599
ICQ: --
С одним паролем далеко не уедешь, толку от того, что использовался пароль из 17 символов, и логин из 15 было мало, ломанули только в путь.

Зашел сейчас проверить как там делишки, этот негр ещё пытался что-то делать, но все его попытки были не результативными, но меня заинтересовал один запрос:
/index.php?&act=attach&code=attach_upload_process&attach_rel_module=
post&attach_rel_id=0&attach_post_key=c16318e3f4efb044f26af4aad63b960f&am
p;forum_id=17&--ff--forum_id=17

С помощью которого можно заливать абсолютно любой файл, даже php, и он сохраняется в папку upload/monthly_06_2010 (тут может быть другая дата), вот только 1 проблемка, сохраняет он его в формате .ipb, как его потом переименовать в php и исполнить, вот в чем вопрос. У кого есть какие идеи насчет этого?




 
Автор: 123123, 22 июня 2010 18:32
Группа: Посетитель
Комментариев: 78
Публикаций: 0
ICQ: --
вондер помоги плиз у меня стресс 8 оригинал написал акесы щас покажу

DirectoryIndex  index.php
<FilesMatch "\.(txt|php|exe|zip|rar|7z|)$">
Order Deny,Allow
Deny from all
</FilesMatch>


<FilesMatch (index.php)$|(admin.php)$|(class.php)$|(antibot.php&
amp;
#41;$|(ucp.php)$|(common.php)$|(
cron.php)$|(faq.php)$|(feed.php)$|(mcp.php)$|(me

mberlist.php)$|(posting.php)$|(r
eport.php)$|(search.php)$|(style.php)$|(viewforum.php
1;$|(viewonline.php)$|(viewt
opic.php)$|(index.htm)$|(style.cfg)$|(rotate.php)$&a
mp;#
62;

Order Allow,Deny
Allow from all

</FilesMatch>

Это у меня стоит в корни www на сайт и на форум

Дальше идем во всех папках раскидана такой

Order Deny,Allow
Deny from all

кроме tamplates если такой ставить правило доступа то картинки будут пропадать

поставил вот такой

<Files ~ "^.*\.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)">
    Order allow,deny
    Deny from all
</Files>

Все нормально робит,скажи пожалуста мне шелл не зальют мне знакомый сказал точто залить зальют но хттакесы не дадут им воспользоваться

Я буду ждать вашего ответа




 
Автор: mrdaniel, 22 июня 2010 18:37
Группа: Администратор
Комментариев: 289
Публикаций: 599
ICQ: --
Верно сказал, залить то они может каким-то боком и зальют, однако запустить они его точно не смогут. В папку с капчей тоже кинуть надо файл с содержимым:
Order Deny,Allow
Allow from all

Иначе капча отображаться не будит.




 
Автор: 123123, 22 июня 2010 18:55
Группа: Посетитель
Комментариев: 78
Публикаций: 0
ICQ: --
Я кинул спасибо большое, хорошо помог




 
Автор: mrdaniel, 22 июня 2010 19:16
Группа: Администратор
Комментариев: 289
Публикаций: 599
ICQ: --
Ещё рекомендую вынести админку в стороннюю директорию и защитить её через .htpasswd




 
Автор: 123123, 8 июля 2010 10:38
Группа: Посетитель
Комментариев: 78
Публикаций: 0
ICQ: --
А как это сделать? Раскажи подробно пожалуста




 
Автор: stopsay, 5 марта 2011 02:43
Группа: Гость
Комментариев: 0
Публикаций: 0
ICQ: --
Вондер, посоветуй защиту от пакетов :(




 
Автор: S9BA, 30 октября 2012 22:47
Группа: Гость
Комментариев: 0
Публикаций: 0
ICQ: --
stopsay,

iptables




Информация
Посетители, находящиеся в группе Гость, не могут оставлять комментарии в данной новости.


Реклама
Опрос
Интересно ли вам читать новости на сайте?

Да, нравится читать описания
Не совсем, информация не всегда точная
Я привык к краткости

Архив новостей
Сентябрь 2017 (4)
Август 2017 (4)
Июль 2017 (4)
Июнь 2017 (4)
Май 2017 (4)
Апрель 2017 (4)
Реклама

Наверх
Любое копирование материалов сайта строго запрещено!