Защита сайта или история одного сервера
Буквально на днях написал хороший друг с просьбой помочь защититься негров-хацкеров, которые сломали сайт и форум. Не долго думая я решил заглянуть что же там у него случилось, и был честно говоря в шоке, взломали абсолютно всё, на форуме был черт знает сколько шелов, на сайте не меньше, атакующий имел так же доступ к админке, в общем всё было в запущенном виде. Однако деваться было некуда, нужно было выручать товарища.
Предистория
Как это часто бывает, администратор сервера использовал достаточно популярную связку StressWeb 8.0+ и IPB 2.3.6 . Сервер был не самый популярный, но с довольно неплохим онлайном под 200+ человек. Как и полагается все пароли были очень сложные, состоящие из 15+ символов, подобрать такой просто не реально, однако это не остановило хацкера. Кроме того все папки с админками были переименованы, казалось бы, что может случиться, но всё таки случилось. Как выяснилось позже атакующий использовал дырку в BB кодах на форуме, залив тем самым липовую страницу регистрации и получив доступ в админцентр, откуда уже залил шелл.
Решение проблемы
Зайдя на форум, я первым делом принялся включать логи апача (которые, к слову, были выключены), что бы узнать как именно произошел взлом, и как были залиты шеллы. Сразу в глаза бросились строчки, где фигурировал пользователь root. "Проследив" за его действиями было выявлено около 5 шеллов, которые сразу же отправились в иной мир. Однако не успев удалить их, как тут же начали появляться новые, тут стало сразу ясно, что нужно что-то более серьёзное, нежели простое удаление. В результате возникла очень простая идея - заблокировать все папки через апач, с помощью файла .htaccess.
Сразу принявшись закидывать в абсолютно каждую папку файл со следующим содержимым:
Order Deny,Allow
Deny from all
Deny from all
Для тех, кто не в курсе это правило блокирует все действия через эксплорер, однако скрипты при этом отлично работают. Но не всё так просто, существуют папки к которым просто необходимо иметь доступ, к примеру папка с шаблонами, поэтому пришлось воспользоваться правилами, идущими в комплекте с движком:
<Files ~ "^.*\.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)">
Order allow,deny
Deny from all
</Files>
Order allow,deny
Deny from all
</Files>
Это позволило заблокировать использование всех скриптов в папках, не затрагивая при этом картинки и прочие необходимые файлы. Разложив их аккуратненько в папки style_images, style_emoticons, style_captcha, style_avatars и другие я принялся опять смотреть логи, что бы узнать что же там делает наш хацкер. А он тем временем копался в нашей админке, видимо пытался ещё что-то намутить. Сразу же возникла идея зайти во вкладку "Прочее" и включить функцию "Защита файлом «.htaccess» АЦ", которая добавляет авторизацию через апач, перед заходом в админку, тем самым предотвращая несанкционированного доступа.
Немного отойдя от темы хотелось бы сказать, что эта функция просто необходима, для защиты админки, да и вообще лучше всего запустить все действия, которые возможны в этой вкладке.
Подождав ещё одну минуту принялся опять смотреть логи, всё чисто, в админке больше никто не лазил, кроме меня. Удалив ещё пару найденных шелов, решил посмотреть что твориться в файле error_log, который отвечает за ошибки скриптов. Сразу заметил что блокируются скрипты, необходимые для работы, помудрил с .htaccess - заработали. И только подумал, что всё сделано, заметил интересного пользователя (ник заинтерисовал), зашел в профиль, и случайно навел на картинку в подписи, сразу же перекинуло на страницу авторизации на другом сайте, но с таким же оформлением, сразу понял что тут что-то не чисто, и быстренько удалил ему подпись, а он в это время писал сообщение, на котором и хотел получить пассы ни в чем не повинных пользователей. Хорошо что вовремя его заметил, не дал возможности сделать плохое дело.
Любопытство взяло своё и я решил погуглить насчет взлома ipb, в результате нашел пару эксплоитов для получения хэша админа, однако для версии 2.3.5. А дальше случайным образом попал на офф. сайт русского сообщества ipb, на котором публиковался файл для исправления дырки в BB кодах, скачал, проверил подпись, теперь уже не кидает на другой сайт, всё нормально.
Разобравшись с форумом нужно было переходить на сайт. Действия для него были аналогичны, действиям на форуме, сразу были заблокированы все папки с помощью .htaccess, а после этого, на основе логов, открывались нужные. Однако хацкер имел доступ в админку, но кнопки, как в ипб, для запароливания админки тут не было. Поэтому пришлось мудрить со скриптами, что бы перенести админцентр в отдельную папку, которая и будит защищена через апач. В результате всех манипуляций сторонние входы в админку прекратились, а к шелом были закрыты пути. Но для полной уверенности было решено добавить при авторизации в ЛК капчу, для защиты от брута, но об этом уже в другой статье.
Подводим итоги:
После всех действий стало ясно, что:
1) Лучше всего держать сайт и сервер на отдельных компьютерах.
2) Доступ к БД сервера разрешить только 2 ip - localhost и ип сайта.
3) Защищать админку сайта с помощью стандартных средств апача (htaccess + htpasswd).
4) Создавать логины и пароль состоящие из не менее 15 символов.
5) Всегда следить за актуальностью скриптов на сайте, если были опубликованы сообщения об уязвимости, следует скачать заплатки в интернете.
6) Регулярно просматривать логи на сайте, для выявления каких-либо подозрительных действий.
7) Блокировать все не нужные папки с помощью .htaccess
В общем то и всё, и знайте, даже в таких проверенных годами движках, как IPB, имеются дырки, с помощью которых вас могут взломать.
Автор статьи я - wonder
>> Ява сервера » F.A.Q., Защита сайта или история одного сервера
Изменяем атаку оружия Сталкивались с ситуацией, когда позарез нужно было изменить атаку какого-нибудь оружия? Перечитали много мануалов, в которых описываются только общие принципы редактирования статов, однако решить |
Изменение статов вещей И так, в этой статье я расскажу вам как правильно изменять статистику, добавлять, убавлять, и так далее! Многие задумывались, а как сделать сильнее армор? Эта статья именно для вас! Здесь все чётко |
Вход в игру без интернета и ява сервера! Не умеете ставить сервер? У вас нет интернета? А хотите поиграть в Lineage 2? Тогда эта статья именно для вас! В ней написанно как зайти в л2 без Java сервера, без интернета, только с клиентом и L2 |
Разместил: mrdaniel
Прочитано: 21779
Информация
Посетители, находящиеся в группе Гость, не могут оставлять комментарии в данной новости.
Посетители, находящиеся в группе Гость, не могут оставлять комментарии в данной новости.
Реклама
Навигация
→ Главная
→ Наши Услуги
→ Рекламодателям
→ Форум
→ Lineage 2
» Клиенты
» Новости
» Мувики
» Файлы
» Статьи/Гайды
» Квесты
» Галерея
→ Java
» Сборки серверов
» Исходники
» Дополнения
» Модели
» Защита
» Web
» Шаблоны
» Программы
» Geodata
» F.A.Q.
» Скидки на покупку
» Биографии
→ Чит Раздел
» Боты
» Баги
» Файлы
» Статьи
» L2 Interlude изменение хроник
» Понятие сборки сервера L2
» Скачать клиент L2 бесплатно
» Суть квестов для Lineage 2
» Создание пиратских серверов L2
» Создаём свой сервер L2
» Скачать сервер L2
→ Наши Услуги
→ Рекламодателям
→ Форум
→ Lineage 2
» Клиенты
» Новости
» Мувики
» Файлы
» Статьи/Гайды
» Квесты
» Галерея
→ Java
» Сборки серверов
» Исходники
» Дополнения
» Модели
» Защита
» Web
» Шаблоны
» Программы
» Geodata
» F.A.Q.
» Скидки на покупку
» Биографии
→ Чит Раздел
» Боты
» Баги
» Файлы
» Статьи
» L2 Interlude изменение хроник
» Понятие сборки сервера L2
» Скачать клиент L2 бесплатно
» Суть квестов для Lineage 2
» Создание пиратских серверов L2
» Создаём свой сервер L2
» Скачать сервер L2
Популярные новости
Опрос
Используете ли вы "Вход через Вконтакте" на нашем сайте? |
Облако тегов
Архив новостей
Реклама