Защита сайта или история одного сервера

Буквально на днях написал хороший друг с просьбой помочь защититься негров-хацкеров, которые сломали сайт и форум. Не долго думая я решил заглянуть что же там у него случилось, и был честно говоря в шоке, взломали абсолютно всё, на форуме был черт знает сколько шелов, на сайте не меньше, атакующий имел так же доступ к админке, в общем всё было в запущенном виде. Однако деваться было некуда, нужно было выручать товарища.

Предистория
Как это часто бывает, администратор сервера использовал достаточно популярную связку StressWeb 8.0+ и IPB 2.3.6 . Сервер был не самый популярный, но с довольно неплохим онлайном под 200+ человек. Как и полагается все пароли были очень сложные, состоящие из 15+ символов, подобрать такой просто не реально, однако это не остановило хацкера. Кроме того все папки с админками были переименованы, казалось бы, что может случиться, но всё таки случилось. Как выяснилось позже атакующий использовал дырку в BB кодах на форуме, залив тем самым липовую страницу регистрации и получив доступ в админцентр, откуда уже залил шелл.

Решение проблемы
Зайдя на форум, я первым делом принялся включать логи апача (которые, к слову, были выключены), что бы узнать как именно произошел взлом, и как были залиты шеллы. Сразу в глаза бросились строчки, где фигурировал пользователь root. "Проследив" за его действиями было выявлено около 5 шеллов, которые сразу же отправились в иной мир. Однако не успев удалить их, как тут же начали появляться новые, тут стало сразу ясно, что нужно что-то более серьёзное, нежели простое удаление. В результате возникла очень простая идея - заблокировать все папки через апач, с помощью файла .htaccess.
Сразу принявшись закидывать в абсолютно каждую папку файл со следующим содержимым:

Для тех, кто не в курсе это правило блокирует все действия через эксплорер, однако скрипты при этом отлично работают. Но не всё так просто, существуют папки к которым просто необходимо иметь доступ, к примеру папка с шаблонами, поэтому пришлось воспользоваться правилами, идущими в комплекте с движком:

Это позволило заблокировать использование всех скриптов в папках, не затрагивая при этом картинки и прочие необходимые файлы. Разложив их аккуратненько в папки style_images, style_emoticons, style_captcha, style_avatars и другие я принялся опять смотреть логи, что бы узнать что же там делает наш хацкер. А он тем временем копался в нашей админке, видимо пытался ещё что-то намутить. Сразу же возникла идея зайти во вкладку "Прочее" и включить функцию "Защита файлом «.htaccess» АЦ", которая добавляет авторизацию через апач, перед заходом в админку, тем самым предотвращая несанкционированного доступа.
Немного отойдя от темы хотелось бы сказать, что эта функция просто необходима, для защиты админки, да и вообще лучше всего запустить все действия, которые возможны в этой вкладке.
Подождав ещё одну минуту принялся опять смотреть логи, всё чисто, в админке больше никто не лазил, кроме меня. Удалив ещё пару найденных шелов, решил посмотреть что твориться в файле error_log, который отвечает за ошибки скриптов. Сразу заметил что блокируются скрипты, необходимые для работы, помудрил с .htaccess - заработали. И только подумал, что всё сделано, заметил интересного пользователя (ник заинтерисовал), зашел в профиль, и случайно навел на картинку в подписи, сразу же перекинуло на страницу авторизации на другом сайте, но с таким же оформлением, сразу понял что тут что-то не чисто, и быстренько удалил ему подпись, а он в это время писал сообщение, на котором и хотел получить пассы ни в чем не повинных пользователей. Хорошо что вовремя его заметил, не дал возможности сделать плохое дело.
Любопытство взяло своё и я решил погуглить насчет взлома ipb, в результате нашел пару эксплоитов для получения хэша админа, однако для версии 2.3.5. А дальше случайным образом попал на офф. сайт русского сообщества ipb, на котором публиковался файл для исправления дырки в BB кодах, скачал, проверил подпись, теперь уже не кидает на другой сайт, всё нормально.

Разобравшись с форумом нужно было переходить на сайт. Действия для него были аналогичны, действиям на форуме, сразу были заблокированы все папки с помощью .htaccess, а после этого, на основе логов, открывались нужные. Однако хацкер имел доступ в админку, но кнопки, как в ипб, для запароливания админки тут не было. Поэтому пришлось мудрить со скриптами, что бы перенести админцентр в отдельную папку, которая и будит защищена через апач. В результате всех манипуляций сторонние входы в админку прекратились, а к шелом были закрыты пути. Но для полной уверенности было решено добавить при авторизации в ЛК капчу, для защиты от брута, но об этом уже в другой статье.

Подводим итоги:
После всех действий стало ясно, что:
1) Лучше всего держать сайт и сервер на отдельных компьютерах.
2) Доступ к БД сервера разрешить только 2 ip - localhost и ип сайта.
3) Защищать админку сайта с помощью стандартных средств апача (htaccess + htpasswd).
4) Создавать логины и пароль состоящие из не менее 15 символов.
5) Всегда следить за актуальностью скриптов на сайте, если были опубликованы сообщения об уязвимости, следует скачать заплатки в интернете.
6) Регулярно просматривать логи на сайте, для выявления каких-либо подозрительных действий.
7) Блокировать все не нужные папки с помощью .htaccess

В общем то и всё, и знайте, даже в таких проверенных годами движках, как IPB, имеются дырки, с помощью которых вас могут взломать.

Автор статьи я - wonder