Zabezpečení web serveru

Pleca

Re:Zabezpečení web serveru
« Odpověď #15 kdy: 29. 06. 2014, 20:02:55 »
Tohle info ktere dava Apache:
Citace
Forbidden

You don't have permission to access / on this server.

Apache/2.2.27 (Amazon) Server at ...

schovas kdyz do /etc/apache2/apache2.conf pridas:
ServerSignature Off
ServerTokens Prod

pak restartuj Apache


Pleca

Re:Zabezpečení web serveru
« Odpověď #16 kdy: 29. 06. 2014, 20:06:54 »
Sorry chyba :) spravne ma byt pridat:
ServerSignature Off
ServerTokens ProductOnly

42

  • **
  • 63
  • 42
    • Zobrazit profil
    • 42
Re:Zabezpečení web serveru
« Odpověď #17 kdy: 29. 06. 2014, 20:42:47 »
Z citace logu vidím běhěm 1 vteřiny několik záznamů, které mají 712 bajtů. Jen z toho co vidím je to za týden nějakých 410 MB.
Jenže ty útoky neprobíhají takhle neustále. Jednou za čas to nějaký bot zkusí a za chvíli přestane.

Poddymenzovaný ten server bude, pokud se takové věci řešit nebudou
Tak proč se ptáš, když všechno víš nejlíp? :)

Protože díky blokování roboti poznají, že jsou zabanovaný a mnohdy už dál požadavky neposílají.
A jindy je zas pošlou z jiné IP. To sis pomohl :)

Pokud na server nasadim fail2ban či podobný nástroj a vytvořim pravidlo, bude každá další IP taktéž zablokována. Mě to stojí 5 minut času, nic víc.
Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.
42

Jenda

Re:Zabezpečení web serveru
« Odpověď #18 kdy: 29. 06. 2014, 21:11:55 »
Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.






Protože jsem ti právě zablokoval přístup na server.

Re:Zabezpečení web serveru
« Odpověď #19 kdy: 29. 06. 2014, 21:20:37 »
Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.
Ale vzdyt jsem je uvedl - prijde ti utok z IP 173.194.116.151, zablokujes ji, prijde z 173.194.116.143, zablokujes ji, prijde z 173.194.116.159, zablokujes ji... Firewallova pravidla narustaji, odezva serveru se zhorsuje. Kolik tam tech pravidel budes drzet? Tisic? Sto tisic? Jak dlouho?

Chces se branit proti pomyslnemu* DoSu , ktery by teoreticky mohl ohrozovat server po dobu, kdy probiha, opatrenim, ktere muze zpusobit DoS i potom, co utok odezni - konkretne na tak dlouhou dobu, na jak dlouho tam nechas ta pravidla hnit.

Navic v dobe, kdy za jednou IP muzou byt stovky ruznych pocitacu, timhle s velkou pravdepodobnosti odstrihnes legitimni uzivatele.

Cili secteno podtrzeno, fail2ban bude v tomhle konkretnim pripade dobre reseni jenom pokud nezacne fungovat - cili vubec nejlepsi opatreni by to bylo, pokud by se vubec nenasadilo ;)

Fail2ban neni nikdy dobry davat na sluzby, ktere maji byt verejne dostupne. Je to relativne dobry nastroj na ochranu specialnich zakouti, na ktera nemaji nepovolani co lozit :)


* pomyslnemu proto, ze tohle se proste bezne nedeje krome extra exponovanych serveru


Re:Zabezpečení web serveru
« Odpověď #20 kdy: 29. 06. 2014, 22:14:23 »
Já se přikláním k ostatním, neřešit nesmysly. Pár řádků v logu nemůže žádný normální server příliš přibrzdit (nezapisuje se to najednou, ale po blokách). Pokud je výkon problém, tak se logování obvykle vypne nebo silně omezí. Na internetu si neustále nějaký robot něco zkouší a to všechny možné nesmysly (nemá vůbec smysl řešit jednotlivosti, objeví se jiné a jiné).
„Řemeslo se naučí každý. Umění nikdo.“
„Jednoduchost je nejvyšší úroveň sofistikovanosti.“
- Leonardo Da Vinci

Re:Zabezpečení web serveru
« Odpověď #21 kdy: 29. 06. 2014, 23:02:25 »
Co přesně byste na tom chtěl "ošetřovat"?

Třeba:
Vy jste původní tazatel?

Já si dovedu představit milion věcí, co na tom ošetřovat, a bude to mít milion různých řešení. A taky si dovedu představit, že si prostě jen nějaký script kiddie hraje, což je jeho problém, serveru to nijak nevadí - a tedy není potřeba to řešit nijak.

Ale jak je to doopravdy, to nám může prozradit jen původní tazatel. Nemá smysl, aby si teď každý začal vymýšlet, že se mu tím ošoupávají elektrony v procesoru.

Pokud na server nasadim fail2ban či podobný nástroj a vytvořim pravidlo, bude každá další IP taktéž zablokována. Mě to stojí 5 minut času, nic víc.
Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.
Když na tom serveru úplně vypnete webový server, budou zablokovány všechny IP adresy, dokonce i ty, které se k útoku teprve chystají. A nepotřebujete k tomu ani 5 minut, stačí 5 sekund i s přihlášením.
Základní fakta jsou, že si nejprve musíte uvědomit, co se děje, následně to, jaký to způsobuje problém, a na závěr, jak ten problém řešit. Váš postup, kdy nejprve navrhnete "řešení", které daný problém pravděpodobně vůbec neřeší, zato vytváří několik nových problémů, není zrovna efektivní.

Re:Zabezpečení web serveru
« Odpověď #22 kdy: 01. 07. 2014, 19:08:44 »
Pokud se nejedná o DOS útok, což tohle asi neni ten případ, tak bych to řešil snížením úrovně logování serveru. Kromě ladění stránek moc nevidim důvod proč by administrátora zajímalo že někdo zadal neexistující stránku - s tím se musí počítat. A pokud se jedná o nějakého robota, jako že ano, tak to bude chíli zkoušet a "půjde o dům dál". S tim se nedá moc dělat.

Re:Zabezpečení web serveru
« Odpověď #23 kdy: 03. 07. 2014, 19:47:16 »
Pro zajímavost dávám výpis z jednoho logu patřícímu virtualhostu který má úplně prázdný adresář a používám ho jako výchozí pro domény které nechci aby zobrazili nějaký obsah na 80tce, ale zároveň maji dns záznam do mé sítě. Ta čubka robot se specializuje na hledání phpmyadmina. ... zkusí, nepochodí, jde o dům dál.
Kód: [Vybrat]
vychozi-error_log   [----]  0 L:[  1+ 0   1/ 32] *(0   /3256b) 0091 0x05B
[Mon Jun 30 19:31:23 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/phpTest
[Mon Jun 30 19:31:23 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/phpMyAdmin
[Mon Jun 30 19:31:24 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/pma
[Mon Jun 30 19:31:24 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/myadmin
[Tue Jul 01 09:11:20 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/phpTest
[Tue Jul 01 09:11:21 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/phpMyAdmin
[Tue Jul 01 09:11:22 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/pma
[Tue Jul 01 09:11:23 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/myadmin
[Wed Jul 02 10:15:37 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/phpTest
[Wed Jul 02 10:15:37 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/phpMyAdmin
[Wed Jul 02 10:15:38 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/pma
[Wed Jul 02 10:15:39 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/myadmin
[Wed Jul 02 23:48:20 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/phpTest
[Wed Jul 02 23:48:20 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/phpMyAdmin
[Wed Jul 02 23:48:21 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/pma
[Wed Jul 02 23:48:21 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/myadmin
[Thu Jul 03 06:45:13 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/phpTest
[Thu Jul 03 06:45:14 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/phpMyAdmin
[Thu Jul 03 06:45:15 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/pma
[Thu Jul 03 06:45:15 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/myadmin
[Thu Jul 03 18:31:12 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/phpTest
[Thu Jul 03 18:31:12 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/phpMyAdmin
[Thu Jul 03 18:31:13 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/pma
[Thu Jul 03 18:31:14 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/myadmin

Re:Zabezpečení web serveru
« Odpověď #24 kdy: 03. 07. 2014, 20:39:38 »
Pro zajímavost dávám výpis z jednoho logu
No, tady je dobre videt, ze je to zatez nula, kterou nema smysl resit.