Пиратство

[Ryo]

Думаю, что взломали твой сайт из за хостинг провайдера или нулленых плагинов или тем.

[Xuc]

хостинг у программиста с нулледа которого знаю лет 8

пара плагинов на WP стояло

не факт что в них ошибки

 

[aplayer]

По поводу взломов. 

Я как-то глянул логи сервера и больше боюсь туда заглядывать. Там боты брутфорсят все подряд с нескольких тысяч адресов. Долбят все пртрты, ssh ftp почту и даже самбу, которую только самоубийцы ставят.

В логах сайта то же самое. 

Если у вас на сервере или сайте есть уязвимость, к ней быстро применят эксплойт. Причём это будут боты в автоматическом режиме. 

 

[Desti]

3 часа назад, aplayer сказал:

Я как-то глянул логи сервера и больше боюсь туда заглядывать.

А я как-то лет 10 назад настроил iptables на доступ только с конкретных IP для сервера, добавил в index.php админки такую конструкцию (подставьте свои IP или сети):

function check_ip()
	{
		$ip = $_SERVER['REMOTE_ADDR'];
		$masks = array("11.22.33.*", "22.33.*.*", "44.55.66.77");  
		foreach ($masks as $mask) {
			$r = '/^'.str_replace(array('.', '*'), array('\.', '[\.\d]+'), $mask).'$/'; 
			if ( preg_match($r, $ip) ) { return 1; }
		}
		return 0;
}

if(check_ip())  {
	define('READ_WRITE_SEPARATION', FALSE);
	define('REPORT_EXCEPTIONS', TRUE);
	require_once '../init.php';
	\IPS\Dispatcher\Admin::i()->run();
}

и сплю более-менее спокойно. 

 

[aplayer]

5 часов назад, Desti сказал:

А я как-то лет 10 назад настроил iptables на доступ только с конкретных IP для сервера

Ну у меня нет постоянного ip. Даже если бы он был, то его легко потерять. Например провайдер в любой момент может провести реструктуризацию комаппании и изменить условия договора и услуг.

С ssh проблема решается входом по ключу без пароля. Удобно и безопасно.

Кстати если ssh с паролем, то за сутки удаленно можно перебирать брутфорсом около 20000 вариантов. Не сомневайтесь, сотни тысяч китайских ботов сейчас занимаются именно этим над вашим сервером.

ФТП - не шифрованный трафик нонче не в моде. Если пароль не перехватывать, то особых дыр не имеет.

Порты самбы наверно сейчас блокируют все хостеры независимо от твоих настроек iptables. И даже по вашей заявке их не откроют.

Ну и вебсервер... Скрестите пальца чтобы разработчики движка, ngix и apache не накосячили. Иначе сотни тысяч китайских ботов завладеют вашими сайтами.

[Desti]

1 час назад, aplayer сказал:

Не сомневайтесь, сотни тысяч китайских ботов сейчас занимаются именно этим над вашим сервером.

Сомневаюсь, т.к. вижу auth.log, там пусто. Или тысячи китайских ботов смогли уговорить ядро не логировать попытки подключения? 

 

[Desti]

Вопрос создания "абсолютной защиты от всего" никогда не стоял, задача повысить стоимость взлома до уровня, когда взлом теряет смысл.

[aplayer]

2 часа назад, Desti сказал:

Сомневаюсь, т.к. вижу auth.log, там пусто.

выше вы говорили, что настроили фаервол. Если китайские боты не проходят iptables, то это не значит, что они этого не делают.

попробуйте в iptables журналирование 22 порта включить

[Desti]

5 часов назад, aplayer сказал:

то за сутки удаленно можно перебирать брутфорсом около 20000 вариантов... ...занимаются именно этим над вашим сервером...

Мы о чем говорим? О переборе? Этого нет и это видно по логам. А что происходит ЗА файрволом, меня мало интересует.

[aplayer]

еще вспомнил.

Лучше всего безопасность обеспечивается доступом через туннели. Тоесть все службы принимают входящие соединения только с локалхоста. Голой попой в сеть будет выставлен только тунель.

В этом случае даже использование самбы будет безопасным, даже если хостер блочит ее порты со своей стороны.