v2.5.2
Giriş yap

Sunucu ve Script Güvenliği

themonster
678 defa görüntülendi ve 3 kişi tarafından değerlendirildi

Merhaba son 1 haftadır genel olarak saldırılar alıyorum.
Saldırı kaynakları genel olarak çin,abd,singapur google ve amazon makinalarından geliyor değişken olarak.

Mariadb, nginx ve php-fpm kurulu logları incelediğim de sürekli get istekleri post istekleri mysql,ssh ftp'e sürekli brute attack geliyor.

Sunucu da fail2ban kullanıyorum fakat bu kadar istek yüzüden fail2ban bir süreden sonra kendini kapatıyor ben bu yükten olduğunu düşünüyorum.

Iptables problemli bende özel bir bash script ile etc/host.deny ye all: ip şeklinde eklettiriyorum.

iptables hatası

iptables v1.4.21: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

baya araştırdım fakat çözüm bulamadım bende yukarda bahsettiğim gibi host.deny ip ekletmesi yapıyorum (3,269 ip engellenmiş)

Script güvenliğini baya inceledim fakat yine de şüphelerim var genel olarak post get güvenliğin şu şekilde sağlıyorum ve pdo kullanıyorum.

function mb_trim($string)
{
    $string = preg_replace("/(^\s+)|(\s+$)/us", "", $string);
    return addslashes(htmlspecialchars($string));
}

Gözlerim genel olarak log ekranlarında çünkü önceki saldırıda veritanında şans eseri tabloları yenilerken PLEASE_READ_ME_XMG adında bir tablo gördüğüm gibi makinanın mysql serverini kapatıp şifre değiştirmiştim sonrasında ataklar falan kesilmişti.
Bunu biraz araştırdım kısaca database'i dump edip fidye istiyorlar. Ben 1 saatte bir yedek alıyorum. Verilerin hepsini bunu öğrendiktn sonra şifreli kayıt etmeye başladım.

Bugün tekrardan PLEASE_READ_ME_XMG adında bir database oluşturulmuş diğer tablolar silinmiş bir onion linki yerleştirilmiş. database için can sıkmıyorum fakat bununlada uğraşmak istemiyorum.

Mysql'e uzaktan bağlantım açık çünkü phpMyAdmin kullanmıyorum Mac kullandığım için Sequel Pro kullanıyorum.

Bunun önüne nasıl geçeceğim hakkında hiç bir fikrim yok. /tmp de çıktıları inceledim acunetix(Kısaca sitede açık arayan bir program) ve bunun gibi python b'xxxxxxxx gibi veriler var.

Örnek olarak

themonster
1262 gün önce

Eklemeyi unutmuşum site genel olarak global hocam yüksek trafikler geliyor günlük tekile vurduğumuzda 500k-700k arası değişiyor ülke bazlı değilde asn numarası olark sorguluyorum.

script'te ek olarak loglama yapıyorum onuda satır satır kontrol ettim sql injection olduğunu düşünmüyorum tüm php dosyalarını tek tek inceledim