v2.5.2
Giriş yap

Sunucu ve Script Güvenliği

themonster
685 defa görüntülendi ve 3 kişi tarafından değerlendirildi

Merhaba son 1 haftadır genel olarak saldırılar alıyorum.
Saldırı kaynakları genel olarak çin,abd,singapur google ve amazon makinalarından geliyor değişken olarak.

Mariadb, nginx ve php-fpm kurulu logları incelediğim de sürekli get istekleri post istekleri mysql,ssh ftp'e sürekli brute attack geliyor.

Sunucu da fail2ban kullanıyorum fakat bu kadar istek yüzüden fail2ban bir süreden sonra kendini kapatıyor ben bu yükten olduğunu düşünüyorum.

Iptables problemli bende özel bir bash script ile etc/host.deny ye all: ip şeklinde eklettiriyorum.

iptables hatası

iptables v1.4.21: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

baya araştırdım fakat çözüm bulamadım bende yukarda bahsettiğim gibi host.deny ip ekletmesi yapıyorum (3,269 ip engellenmiş)

Script güvenliğini baya inceledim fakat yine de şüphelerim var genel olarak post get güvenliğin şu şekilde sağlıyorum ve pdo kullanıyorum.

function mb_trim($string)
{
    $string = preg_replace("/(^\s+)|(\s+$)/us", "", $string);
    return addslashes(htmlspecialchars($string));
}

Gözlerim genel olarak log ekranlarında çünkü önceki saldırıda veritanında şans eseri tabloları yenilerken PLEASE_READ_ME_XMG adında bir tablo gördüğüm gibi makinanın mysql serverini kapatıp şifre değiştirmiştim sonrasında ataklar falan kesilmişti.
Bunu biraz araştırdım kısaca database'i dump edip fidye istiyorlar. Ben 1 saatte bir yedek alıyorum. Verilerin hepsini bunu öğrendiktn sonra şifreli kayıt etmeye başladım.

Bugün tekrardan PLEASE_READ_ME_XMG adında bir database oluşturulmuş diğer tablolar silinmiş bir onion linki yerleştirilmiş. database için can sıkmıyorum fakat bununlada uğraşmak istemiyorum.

Mysql'e uzaktan bağlantım açık çünkü phpMyAdmin kullanmıyorum Mac kullandığım için Sequel Pro kullanıyorum.

Bunun önüne nasıl geçeceğim hakkında hiç bir fikrim yok. /tmp de çıktıları inceledim acunetix(Kısaca sitede açık arayan bir program) ve bunun gibi python b'xxxxxxxx gibi veriler var.

Örnek olarak

fatihozpolat
1278 gün önce

Bende sunucuyu kurduğumda çok fazla brute force denemesi yapıldığını gördüm daha sonra mdisec in birkaç videosunda sunucu güvenliği için vpn kullanmaktan bahsediyordu çok fazla işe yarıyor gerçekten

ucuz bir sunucu alıp içine openvpn kurulumu gerçekleştir,
bağlandıktan sonra
iptables dan mysql i sadece locale ve bu ip ye aç,
yönetim paneli (cwp, vestacp, cpanel vb.), ftp, ssh gibi protokolleri de sadece vpn ip sine aç

bu sayede vpne bağlandığında sen erişebileceksin ve başkası erişmek istediğinde direk ret alacak.
bu sayede iş yükünü fail2ban'a bırakmış olmayacaksın.