nlothik (nlothik) wrote,
nlothik
nlothik

Как пролезали ко мне в серверы

Когда у тебя на серверах под 300 с гаком доменов, то, что к кому-то рано или поздно пролезут, практически неизбежно.

В сайты на моих серверах пролезали примерно семь раз.

Во ВСЕХ случаях, за исключением двух (о которых ниже) пролезали через дырявые сторонние PHP скрипты. Это WordPress, PHPBB, FormMail и прочие.

В одном случае дырявый PHP скрипт был производства внутреннего, а написал его один из придурков-программистов. Суть дырки была в том, что часть GET запроса -- интерпретировалась в SQL код. Товарищ крякер (товарищ был из Бразилии, кстати) не будь дурак, сделал запрос SELECT password FROM users; (а придурок-программист пароли, конечно, не хешировал) и получил контроль над админкой, которую программист-придурок написал. Речь не о том, что все программисты -- придурки. Но придурков, ненаученных думать о безопасности, среди них -- вагон и тележка. Вот ведь лень одолела человека -- не мог сделать паролю банальный MD5, и сличать хеши, а не пароли.

В другой раз влезли через вусмерть дырявый древний фтп сервер на сервере, работающем под RedHat 6.2 (это не я музей ограбил -- это мне такой сервер достался). Обновить это дело было невозможно, поэтому я заявил, что я за поломку сервера не отвечаю. С него сняли всё серьёзное, оставили пару статических сайтов, и сервер тихо проработал, пока его не взломали крякеры. Взломали -- и фиг с ним, сайты перетащили на другой сервер, а его отправили на свалку.

Что они с этим делали? В шести случаях -- заливали свои скрипты, чтобы рассылать спам. В седьмом случае залили перловый скрипт, который явно кого-то DOS'ил. Узнал я об этом, когда заметил, что сервер медленно работает. Глянув в top -- офонарел, ибо *.pl отнимало более 50% процессора. Жаль, не сохранил я этот скриптец -- интересный он был.

Как я уже писал, не считай себя неуловимым Джо из-за того, что ты якобы никому не нужен. Увы, нужен. В мире дохрена козлов, рассылающих спам. И им нужен твой процессор. И твои реальные 100 мегабит.

Как всё это предотвратить? Предотвратить это при таком количестве доменов очень сложно -- за всеми банально не уследишь. Можно, конечно, запретить к чорту php и прочий скриптинг, но народ не поймёт -- и будет, в принципе, прав. Аудит кода тоже не сделаешь -- объёмы не те, да и не моя это работа -- программистский код проверять.

Можно сделать, правда, одну интересную штуку. Есть специальный софт, который может сканировать сервер на предмет дырок. Называется этот софт Nessus. В нём есть база данных о софте, который обычно стоит на серверах, и как их сканировать на предмет дырок. База данных, конечно, постоянно обновляется.

Таким образом можно худо-бедно, но сделать сайтам твоего сервера аудит на безопасность. Самая большая проблема -- это поддерживание списка сайтов, так как они постоянно добавляются. Но это уже задача на написание банального шелл или перл скрипта, а хотя бы одним из этих инструментов приличный сисадмин обязан владеть в совершенстве.
Tags: сисадминское
Subscribe

  • Советский Толкиен

    Советская адаптация “Властелина Колец”. Какая жуткая ЖЕСТЬ, прости Дионис. https://www.youtube.com/watch?v=vquKyNdgH3s…

  • Котобус IRL

    Не то фотошоп, не то кто-то панораму кота делал Как большому поклоннику Тоторо, мне дико смешно Mirrored from Лабораторный Журнал №6…

  • Новосйойрск

    И почему Москва находится где-то на Урале??? Mirrored from Лабораторный Журнал №6 rss2lj

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 2 comments