Сървър Секюрити Хелп

HaRRo · 9 Април 2011

Може ли да ми кажете какви security програми/модули да ползвам за server Linux/Centos.

Едни мангали ме нацелили тука, и постоянно ми инжектират php файлове, кредит кард спам за някаква бразилска банка (даже се свърaли с хоста от банката за fraud, но после им обесних по телефона, това не е проблема). Аз ги трия, ип бан, редирект, след 2-3 дена пак се появяват

Само на тия 777 папки, немога да ги сваля повече понеже сайта се скапва(lizense, images, cache)

За секюрити ползвам това което идва с Linux и kloxo, също и APF Firewall, BFD (Brute Force Detection), CHKROOTKIT, RKHunter, suhosin, и някви други .. Но вчера спрях apf и bfd, понеже много проблеми ми правят, и никва файда не съм видял. Днес инсталирах ModSecurity, уж май пазело от injections.

е това ползват клошарите - http://biofruta.com.br/opa.php

та ако някой има савети някакви

пс.май за пръв път питам за нещо тука, не ги разбирам много тия неща

katsarov · 9 Април 2011

От: Сървър Секюрити Хелп

Ако има и някакви алтернативи под XP , ще помогнете много и на мен

Едит : линка който си дал , аваста го намира за вирус ...

against · 9 Април 2011

От: Сървър Секюрити Хелп

Пъхат ти файлове в 777 папките ли? Ако е това най-вероятно има бъгня в сайта и на ниво Linux трудно ще го оправиш.
Трябва да се види откъде точно влазят и да се запуши.

Ако им имаш IP-тата, виж access log-овете какви заявки са пускали, ако има нещо да мяза на SQL injection или нещо друго съмнително...

HaRRo · 9 Април 2011

Има форм за коментари за регистрирани юзърс, май оттам може само. Скрипта е custom.
В access логовете неможах да видя нещо.
И на мен ми мирише на SQL injection, но може да е и друго. Чух че с Prepared Statements, addslashes() или mysql_real_escape_string(), напълно изчезвал проблема, но не ги знам точно каде и как се ползват. :Д

dragozh · 10 Април 2011

От: Сървър Секюрити Хелп

Можеш и с .htaccess да забраниш да се изпълняват php или perl файлове за съответните директории.

docenta · 10 Април 2011

От: Сървър Секюрити Хелп

Имаш нещо пробито щом качват PHP шелове. Apache mod_security с последните правила ще спре доста от атаките. Ако не ползваш PHP функциите show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen
и т.н. може да ги спреш в php.ini:

disable_functions = show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen

HaRRo · 10 Април 2011

Re: От: Сървър Секюрити Хелп

docenta каза:
Имаш нещо пробито щом качват PHP шелове. Apache mod_security с последните правила ще спре доста от атаките. Ако не ползваш PHP функциите show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen
и т.н. може да ги спреш в php.ini:

disable_functions = show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen

Спрях ги сега, без последния allow_url_fopen. Мod_security вчера си го сложих, винаги съм си мислел че го имам :Д. Днеска няма attack, ще видим тиа 2-3 дни - седмица, след тиа промени дано да няма.
Иначе в същия сървър имам и WP сайтове, тях неможе ги закачат, само тоя къстом скрипт.

Можеш и с .htaccess да забраниш да се изпълняват php или perl файлове за съответните директории.

Може ли примерен код? php само в cache папката се изпълнява, и някакво кеширане на скрипта е, мога и без него, сървъра си има xcache, mod deflate...

дал съм ви репички на всичките, благодаря

dragozh · 10 Април 2011

От: Re: От: Сървър Секюрити Хелп

HaRRo каза:
Спрях ги сега, без последния allow_url_fopen. Мod_security вчера си го сложих, винаги съм си мислел че го имам :Д. Днеска няма attack, ще видим тиа 2-3 дни - седмица, след тиа промени дано да няма.
Иначе в същия сървър имам и WP сайтове, тях неможе ги закачат, само тоя къстом скрипт.

Може и от WP да е онзи ден излезе версия 3.1.1 и пишат, че са запушили няколко дупки, ако не си обновил направи го

Може ли примерен код? php само в cache папката се изпълнява, и някакво кеширане на скрипта е, мога и без него, сървъра си има xcache, mod deflate...

дал съм ви репички на всичките, благодаря

В .htaccess на съответната директория слагаш тези редове /важи и за всички поддиректории/ :

Код:

RemoveHandler .php
RemoveType .php
php_flag engine off

dragozh · 10 Април 2011

От: Сървър Секюрити Хелп

Погледни и това може да ти бъде полезно :

http://howtoforge.net/amon.so-highjacking-system-calls-for-hardening-php-debian-lenny-and-squeeze

gshopov · 10 Април 2011

От: Сървър Секюрити Хелп

на първо време делвай всичко и го качи от чисто копие от твоята машина
след това правиш каквото са ти казали колегите

HaRRo · 10 Април 2011

Направих ги тия неща, без amon.so(само за debian бил май),
също добавих mod_evasive,и това- http://www.fail2ban.org
в httpd.conf - AddType application/x-httpd-php смених го на друго име,
и в php.ini - safe_mode = On, expose_php = Off и някои други настройки
С wp сайтовете нямам проблеми, нещо скрипта не е направен както трябва, свързах се с автора да измисли нещо за тия 777 папки

благодаря отново

coolice · 10 Април 2011

може да потърсиш разширени правила за мод секюритито ако случаино пусне пак този къстъм скрипт макат че си мисля че е достатъчно

при комилация на пхп.то да добавиш http://www.hardened-php.net/suhosin/ понякога прави проблеми с някои скриптове (с урдпрес си е ок) и виж как е с къстъм скрипта

един не много про съвет но работещ добре ако имаш piwik на някои сайт на сървара към него има плугин които прави бърз чек на php секюритито

Based on PhpSecInfo from the PHP Security Consortium, this plugin provides security information about your PHP environment and offers suggestions for improvement. It is a tool in a multilayered security approach. It does not replace secure development practices nor audit the code/application.

чеква за неща като
Session
save_path
use_trans_sid
Core
group_id
allow_url_fopen
allow_url_include
register_globals
open_basedir
expose_php
file_uploads
user_id
upload_tmp_dir
display_errors
magic_quotes_gpc
Suhosin
Suhosin extension
Suhosin patch
Curl
file_support
CGI
force_redirect

HaRRo · 11 Април 2011

suhosin имам и си бачка
това PhpSecInfo е добро наистина, намери 1 warning - allow_url_include is enabled, И няколо notice - memory_limit, post_max_size, upload_... set to a very high value, понеже е dedi- сървър с 8gb и не се скрънзя, сложил съм им големи номерца, оправих всичките сега

alex.atanasov · 11 Април 2011

От: Сървър Секюрити Хелп

Можеш да разучиш и сложиш "maldet" - полезен е доста

coolice · 11 Април 2011

HaRRo каза:
suhosin имам и си бачка
това PhpSecInfo е добро наистина, намери 1 warning - allow_url_include is enabled, И няколо notice - memory_limit, post_max_size, upload_... set to a very high value, понеже е dedi- сървър с 8gb и не се скрънзя, сложил съм им големи номерца, оправих всичките сега

те тези препоръчителни на ограничения на рама са направо смешни каквито ги дава сигурно са същите и за сървъври с 512 рам

така че мисля че е нп

то и аз се хванах да поразчоъркам и ъпгреидна то затова беше замалко на ерор 500 форума

стискам палци всичко да е било достатъчно

Сървър Секюрити Хелп

HaRRo

Active Member

katsarov

New Member

against

Well-Known Member

HaRRo

Active Member

dragozh

Active Member

docenta

New Member

HaRRo

Active Member

dragozh

Active Member

dragozh

Active Member

gshopov

Well-Known Member

HaRRo

Active Member

coolice

Owner

HaRRo

Active Member

alex.atanasov

Active Member

coolice

Owner