v2.5.2
Giriş yap

Sunucu ve Script Güvenliği

themonster
668 defa görüntülendi ve 3 kişi tarafından değerlendirildi

Merhaba son 1 haftadır genel olarak saldırılar alıyorum.
Saldırı kaynakları genel olarak çin,abd,singapur google ve amazon makinalarından geliyor değişken olarak.

Mariadb, nginx ve php-fpm kurulu logları incelediğim de sürekli get istekleri post istekleri mysql,ssh ftp'e sürekli brute attack geliyor.

Sunucu da fail2ban kullanıyorum fakat bu kadar istek yüzüden fail2ban bir süreden sonra kendini kapatıyor ben bu yükten olduğunu düşünüyorum.

Iptables problemli bende özel bir bash script ile etc/host.deny ye all: ip şeklinde eklettiriyorum.

iptables hatası

iptables v1.4.21: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

baya araştırdım fakat çözüm bulamadım bende yukarda bahsettiğim gibi host.deny ip ekletmesi yapıyorum (3,269 ip engellenmiş)

Script güvenliğini baya inceledim fakat yine de şüphelerim var genel olarak post get güvenliğin şu şekilde sağlıyorum ve pdo kullanıyorum.

function mb_trim($string)
{
    $string = preg_replace("/(^\s+)|(\s+$)/us", "", $string);
    return addslashes(htmlspecialchars($string));
}

Gözlerim genel olarak log ekranlarında çünkü önceki saldırıda veritanında şans eseri tabloları yenilerken PLEASE_READ_ME_XMG adında bir tablo gördüğüm gibi makinanın mysql serverini kapatıp şifre değiştirmiştim sonrasında ataklar falan kesilmişti.
Bunu biraz araştırdım kısaca database'i dump edip fidye istiyorlar. Ben 1 saatte bir yedek alıyorum. Verilerin hepsini bunu öğrendiktn sonra şifreli kayıt etmeye başladım.

Bugün tekrardan PLEASE_READ_ME_XMG adında bir database oluşturulmuş diğer tablolar silinmiş bir onion linki yerleştirilmiş. database için can sıkmıyorum fakat bununlada uğraşmak istemiyorum.

Mysql'e uzaktan bağlantım açık çünkü phpMyAdmin kullanmıyorum Mac kullandığım için Sequel Pro kullanıyorum.

Bunun önüne nasıl geçeceğim hakkında hiç bir fikrim yok. /tmp de çıktıları inceledim acunetix(Kısaca sitede açık arayan bir program) ve bunun gibi python b'xxxxxxxx gibi veriler var.

Örnek olarak

tayfunerbilen
1242 gün önce

eğer istekler yurtdışından geliyorsa aslında yapabileceğin kolay bir çözüm var.
siteni cloudflare arkasına al, daha sonra cloudflare'da Firewall > Firewall Rules kısmından şöyle bir kural tanımla.

böylece türkiye dışından girenler için bir doğrulama işlemi gelecek, yurt dışından gelen istekleri böyle defedebilirsin. zaten yurtdışından normal birisi giriyorsa o jschallenge'ı geçerek siteyi normal şekilde görmeye devam edebilir. Botlar bunun dışında tutulacağı için seo açısındanda bir problem olmaz.

ama veritabanına erişiyorlarsa o zaman script'te açık vardır diye düşünüyorum, bazen log dosyalarına erişebiliyorlar eğer aynı dizinde loglanıyorsa onları kontrol edebilirsin, ek olarak özellikle veritabanı loglarına bakmak lazım nerede nasıl bir sorgu müdahelesinde bulunuyorlar diye.