v2.5.2
Giriş yap

Sunucu ve Script Güvenliği

themonster
667 defa görüntülendi ve 3 kişi tarafından değerlendirildi

Merhaba son 1 haftadır genel olarak saldırılar alıyorum.
Saldırı kaynakları genel olarak çin,abd,singapur google ve amazon makinalarından geliyor değişken olarak.

Mariadb, nginx ve php-fpm kurulu logları incelediğim de sürekli get istekleri post istekleri mysql,ssh ftp'e sürekli brute attack geliyor.

Sunucu da fail2ban kullanıyorum fakat bu kadar istek yüzüden fail2ban bir süreden sonra kendini kapatıyor ben bu yükten olduğunu düşünüyorum.

Iptables problemli bende özel bir bash script ile etc/host.deny ye all: ip şeklinde eklettiriyorum.

iptables hatası

iptables v1.4.21: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

baya araştırdım fakat çözüm bulamadım bende yukarda bahsettiğim gibi host.deny ip ekletmesi yapıyorum (3,269 ip engellenmiş)

Script güvenliğini baya inceledim fakat yine de şüphelerim var genel olarak post get güvenliğin şu şekilde sağlıyorum ve pdo kullanıyorum.

function mb_trim($string)
{
    $string = preg_replace("/(^\s+)|(\s+$)/us", "", $string);
    return addslashes(htmlspecialchars($string));
}

Gözlerim genel olarak log ekranlarında çünkü önceki saldırıda veritanında şans eseri tabloları yenilerken PLEASE_READ_ME_XMG adında bir tablo gördüğüm gibi makinanın mysql serverini kapatıp şifre değiştirmiştim sonrasında ataklar falan kesilmişti.
Bunu biraz araştırdım kısaca database'i dump edip fidye istiyorlar. Ben 1 saatte bir yedek alıyorum. Verilerin hepsini bunu öğrendiktn sonra şifreli kayıt etmeye başladım.

Bugün tekrardan PLEASE_READ_ME_XMG adında bir database oluşturulmuş diğer tablolar silinmiş bir onion linki yerleştirilmiş. database için can sıkmıyorum fakat bununlada uğraşmak istemiyorum.

Mysql'e uzaktan bağlantım açık çünkü phpMyAdmin kullanmıyorum Mac kullandığım için Sequel Pro kullanıyorum.

Bunun önüne nasıl geçeceğim hakkında hiç bir fikrim yok. /tmp de çıktıları inceledim acunetix(Kısaca sitede açık arayan bir program) ve bunun gibi python b'xxxxxxxx gibi veriler var.

Örnek olarak

Cevap yaz
Cevaplar (8)
sifremiunuttumyine
1238 gün önce

Yara

Bu otomatik olarak dosyalardaki aciklari, zararli yazilimlari aramaya kullanisli bir zararli yazilim tarayici yazilimdir.

Yara'yi kullanarak sistemdeki dosyalari kolaylikla gozden gecirebilirsin.

Herhangi bir trojan ihtimali varsa Yara'yi veya Antivirus yazilimi ve digerlerinin dedigi gibi VPN kullanabilirsin. (Ornek: Kaleyi icten fethetmek)

hakanarslan
1240 gün önce

@tayfunerbilen Cloudflare Firewall kuralında bilinen botları engellememek için sanırım Known Bots = off olması gerekiyor.

fatihozpolat
1242 gün önce

Bende sunucuyu kurduğumda çok fazla brute force denemesi yapıldığını gördüm daha sonra mdisec in birkaç videosunda sunucu güvenliği için vpn kullanmaktan bahsediyordu çok fazla işe yarıyor gerçekten

ucuz bir sunucu alıp içine openvpn kurulumu gerçekleştir,
bağlandıktan sonra
iptables dan mysql i sadece locale ve bu ip ye aç,
yönetim paneli (cwp, vestacp, cpanel vb.), ftp, ssh gibi protokolleri de sadece vpn ip sine aç

bu sayede vpne bağlandığında sen erişebileceksin ve başkası erişmek istediğinde direk ret alacak.
bu sayede iş yükünü fail2ban'a bırakmış olmayacaksın.

obey00
1242 gün önce

@qplot arkadaşımız başlık içerisine güzel ve detaylı bir şekilde açıklamalar/kodlar ile birlikte güzel bir kaynak oluşturmuş. Çok daha fazlasını oluşturduğunuz sistemi paylaşmanız bir çok kişi için oldukça faydalı bir kaynak olacaktır hocam. Sakıncası yoksa siz de o başlık altında elinizdekileri paylaşabilirseniz seviniriz. @themonster

themonster
1242 gün önce

Cevabınız için teşekkür ederim fakat benim'de buna benzer cok daha fazlasını kontrol ettiğim bir sistem var fakat benim problemim tam olarak bu değil

qplot
1242 gün önce

https://prototurk.com/soru/1529-seo-tavsiye

ben buradaki yöntem ile hepsinden kurtuldum incelemeni tavsiye ederim

themonster
1242 gün önce

Eklemeyi unutmuşum site genel olarak global hocam yüksek trafikler geliyor günlük tekile vurduğumuzda 500k-700k arası değişiyor ülke bazlı değilde asn numarası olark sorguluyorum.

script'te ek olarak loglama yapıyorum onuda satır satır kontrol ettim sql injection olduğunu düşünmüyorum tüm php dosyalarını tek tek inceledim

tayfunerbilen
1242 gün önce

eğer istekler yurtdışından geliyorsa aslında yapabileceğin kolay bir çözüm var.
siteni cloudflare arkasına al, daha sonra cloudflare'da Firewall > Firewall Rules kısmından şöyle bir kural tanımla.

böylece türkiye dışından girenler için bir doğrulama işlemi gelecek, yurt dışından gelen istekleri böyle defedebilirsin. zaten yurtdışından normal birisi giriyorsa o jschallenge'ı geçerek siteyi normal şekilde görmeye devam edebilir. Botlar bunun dışında tutulacağı için seo açısındanda bir problem olmaz.

ama veritabanına erişiyorlarsa o zaman script'te açık vardır diye düşünüyorum, bazen log dosyalarına erişebiliyorlar eğer aynı dizinde loglanıyorsa onları kontrol edebilirsin, ek olarak özellikle veritabanı loglarına bakmak lazım nerede nasıl bir sorgu müdahelesinde bulunuyorlar diye.