Возможный дубликат:
Мой сервер был взломан в АВАРИИ
В минувшие выходные сайт моей компании был взломан.
Лучше всего они сделали это в пятницу вечером, поэтому мы заметили атаку только в понедельник утром ... Забавно то, что мы недавно перешли с Windows на Linux, потому что она должна была быть более стабильной и безопасной. Иди разбери. И да, мы занесли нас в черный список Firefox и Chrome.
Поскольку я не специалист по Linux, мне нужен совет, как избежать подобных проблем в будущем. Какие шаги вы предпринимаете для защиты своих систем? Кажется, у нас были слабые пароли, но разве Linux не должен блокировать учетную запись после нескольких неудачных попыток входа? Перепробовали более 20 комбинаций ...
В дополнение к этому, я ищу инструмент (или услугу), похожий на pingdom, но применяемый для обеспечения безопасности. Если мой сайт когда-нибудь взломают, сообщите мне. Это что, такое? Монитор взлома? :)
Другое дело, как вы уведомляете своих клиентов о таких проблемах? Вы просто игнорируете и надеетесь, что никто не заметил? Электронное письмо с объяснением того, что произошло?
* публикация как анонимная, чтобы избежать плохого воздействия на мою компанию, что уже плохо ...
Операционная система не является «стабильной и безопасной». Правильно настроенная и хорошо управляемая инфраструктура может быть более безопасной, чем небезопасная, но безопасность не является логическим значением. Вы не можете «купить безопасность» или «установить безопасность», используя определенный продукт / технологию.
Вы не являетесь «экспертом по Linux», поэтому имеет смысл нанять / заключить договор с кем-то, кто может хорошо настроить ваши серверы с точки зрения безопасности. Это не то, что можно сделать и «сделать». Патчи выходят все время на предмет вновь обнаруженных уязвимостей и ошибок. Если у вас нет сотрудника, который должен поддерживать работу, вам действительно нужно подумать о подписке на какой-либо тип «управляемой» службы для обслуживания ваших серверных компьютеров. Это постоянная проблема, и ее необходимо учитывать в бюджете / совокупной стоимости владения системы в целом.
В какой-то степени существуют «мониторы взлома». Эту нишу заполняют системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS) и т. Д. Хотя это гонка вооружений. Вы не можете просто купить готовый продукт IDS / IPS, заплатить кому-нибудь, чтобы тот поставил его, а затем расслабиться и чувствовать себя в безопасности. Так же, как обновление программного обеспечения операционной системы и приложений, инфраструктура «монитора взлома» также должна обновляться.
Вам нужно поговорить с юристом. У вас могут быть клиенты, находящиеся в местах, где вы обязаны сообщать о таких случаях по закону. Даже если это не так, мне кажется неприятным не сообщать вашим клиентам, подвергались ли их данные риску. Сейчас "ваше доброе имя" страдает от раскрытия взлома, но есть множество таких повреждений, если позже выяснится, что вы пытались его скрыть - особенно если вы этим нарушаете закон.
Практический материал:
Ваши взломанные машины - мусор. Их необходимо перезагрузить из заведомо исправной резервной копии или, что еще лучше, перезагрузить из чистых двоичных файлов ОС и заново заполнить данными. Это похоже на «очистку от вредоносных программ», только хуже, потому что ваш противник, скорее всего, мыслящее существо, а не тупая программа (хотя вы могли быть взломаны ботом). Вероятность того, что на ваших серверах есть «черный ход», вполне реальна.
Данные на серверных компьютерах следует считать общедоступными. Даже если не сейчас, может быть.
Все учетные данные других компьютеров, хранящиеся на взломанных компьютерах, являются общедоступными. Начните менять эти пароли на другие компьютеры СЕЙЧАС и убедитесь, что другие компьютеры не повреждены. (Кто-нибудь уже пользуется Tripwire? Было бы неплохо в этом случае ...)
У тебя беспорядок. Обращайтесь с этим хорошо, и вы выйдете лучше. Отнеситесь с этим плохо, и в следующий раз у вас может не быть компании.
В будущем вы должны использовать строгую аутентификацию и зашифрованные протоколы управления (SSH, аутентификация на основе открытого ключа). Я уже предлагал вам нанять «эксперта по Linux», даже если он только по контракту, чтобы вы начали двигаться по правильному пути. Я не могу этого достаточно поощрять. Вы увидите, с этим нарушением, как это "окупилось бы".
Применяются все обычные вещи:
Кажется, у нас были слабые пароли ...
... мы недавно перешли с Windows на Linux, потому что он должен был быть более стабильным и безопасным. Иди разберись.
Слабые пароли не зависят от платформы.
Linux более гибок, чем Windows во многих сценариях, и, таким образом, может быть более безопасным при возникновении таких определенных ситуаций. Переход с Windows на Linux без реальной причины, особенно если вы не знакомы с окружающей средой, - плохой вызов. Если вы запускаете сервер с выходом в Интернет и не понимаете, как работают службы на этом сервере, будь то Windows, Solaris, RHEL или BSD, вы напрашиваетесь на проблемы.
Что касается того, как сообщить вашим клиентам, если какие-либо их данные были раскрыты или даже ПОТЕНЦИАЛЬНО раскрыты, ВООБЩЕ, позвоните им как можно скорее. Ни электронной почты, ни надежды, что он уйдет. Используйте свой телефон, который стоит на вашем столе.
Помимо юридических последствий, вы оказываете им услугу, которую они, несомненно, использовали для оказания услуг другим людям. Вы обязаны сообщать о любой потенциальной утечке данных, чтобы они могли соответствующим образом скорректировать свой рабочий процесс и уведомить всех нижестоящих лиц о том, что это может повлиять.
Linux, как и любая платформа, безопасен только в той степени, в которой люди, управляющие системами. Если у вас был более опыт работы с Windows, то переход на Linux, вероятно, был не лучшей идеей. Вы можете настроить Windows так, чтобы она была такой же безопасной, как и Linux, при условии, что вы предпримете правильные шаги для защиты среды, которая включает брандмауэры между общедоступным Интернетом и вашей внутренней сетью, а также безопасные VPN для подключения из вашего дома к внутренней сети.
В зависимости от уровня нарушения будет определено, что вы скажете своим клиентам. Если данные о клиентах не были взяты, вы можете предоставить своим клиентам лишь базовую информацию о том, что произошло. Однако, если был получен доступ к данным клиентов, у вас теперь есть некоторые законы об уведомлении штата, которые необходимо учитывать в зависимости от штата, в котором находится ваша компания, и штатов, в которых находятся ваши клиенты.
Самое забавное, что недавно мы перешли с Windows на Linux, потому что он должен был быть более стабильным и безопасным. Иди разберись.
Действительно, подумайте. Вы перешли на систему, в которой у вас мало опыта, и вас укусили за задницу. То же самое произойдет, если вы купили мощный спортивный автомобиль после того, как всю жизнь катались на велосипеде - он может быть более мощным, но в чужих руках это также опасно.
Кажется, у нас были слабые пароли, но разве Linux не должен блокировать учетную запись после нескольких неудачных попыток входа? Перепробовали более 20 комбинаций ...
Его можно легко настроить для этого с помощью надстроек, таких как запретить. Знание об установке таких вещей - один из тех моментов, когда полезно быть экспертом в системах, которые вы используете.
В дополнение к этому, я ищу инструмент (или услугу), похожий на pingdom, но применяемый для обеспечения безопасности. Если мой сайт когда-нибудь взломают, сообщите мне. Это что, такое? Монитор взлома? :)
Существуют некоторые приложения для обнаружения вторжений, но постоянно появляются новые методы взлома сервера. Ничто не может быть на 100% надежным в обнаружении успешных вторжений.
Другое дело, как вы уведомляете своих клиентов о таких проблемах? Вы просто игнорируете и надеетесь, что никто не заметил? Электронное письмо с объяснением того, что произошло?
Честность послужит вам лучше в долгосрочной перспективе. Честные, активные и коммуникабельные компании переживают более неприятные штормы, чем компании, которые скрывают вещи от своих клиентов. Отключения можно пережить, но только если люди, которые платят вам, будут чувствовать себя обманутыми.
Взлом вашего сайта, вероятно, имел мало общего с базовой операционной системой и больше имел отношение к коду, запущенному на вашем сайте. Все, что требуется, - это одна SQL-инъекция, и вы - история.
Поскольку вы были внесены в черный список Google, я предполагаю, что кому-то удалось установить вредоносный скрипт на вашем сервере, и в этом случае вы можете попробовать что-то вроде mod_security, это не так просто настроить, но попробовать стоит. Однако крайне важно убедиться, что ваш код не содержит уязвимостей такого типа.
С другой стороны, если это была уязвимость в вашей операционной системе, вы можете попробовать переключить дистрибутивы на что-то, предназначенное для веб-обслуживания, например FreeBSD, CentOS или RHEL, если вы еще не используете один. Вы можете рассмотреть возможность расширения SELinux или добавления какой-либо системы обнаружения / предотвращения вторжений.
Во многих случаях закон требует уведомлять ваших клиентов о нарушениях безопасности, если личная информация была потенциально скомпрометирована, вы можете изучить это.
Некоторые дополнительные подробности будут полезны при ответе на ваш вопрос в большей степени для вашей конкретной ситуации.
Эхтяр.
Другие уже рассмотрели большинство важных моментов. Но если добавить к тому, что они сказали, безопасность настолько сильна, насколько надежно самое слабое звено в цепи. Это почти всегда человеческий фактор.
Если предположить, что это была атака грубой силы ssh, если им потребовалось всего 20 попыток, тогда ваши пароли практически не существовали. Эти атаки почти всегда являются автоматическими, и их довольно легко заблокировать с помощью следующих правил iptable.
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
Эти правила разрешат 3 ssh-соединения с IP-адреса на eth0 за 60 секунд, а затем заблокируют этот IP-адрес на 60 секунд. Обычно этого достаточно, чтобы автоматическая атака перешла на другой хост.
Вам нужно будет убедиться, что эти правила iptable восстанавливаются при перезагрузке. В разных дистрибутивах есть разные способы сделать это, поэтому погуглите или сообщите нам, какой дистрибутив вы используете, и кто-то может предоставить вам эту информацию.
Как администратор Windows, использующий Linux для определенных задач, я просто хотел бы добавить, что вы совершили очень фундаментальную ошибку. Вы переключили ОС из-за репутации Linux как стабильной и надежной системы и ожидали, что она возьмет на себя вашу ответственность. На моей тестовой машине взлом моего текущего пароля Windows занимает почти 12 часов. Я не проверял свой пароль Linux, но он такой же сложный (но не такой). Дело в том, что я не принимаю меньших мер просто потому, что ОС более безопасна. Во всяком случае, я еще осторожнее с Linux так как У меня меньше опыта с этим, и поэтому я с большей вероятностью что-то пропущу.
Что касается службы, похожей на pingdom, но применимой к безопасности, я предлагаю бесплатный монитор целостности сети Sucuri.
Что оно делает? Он отслеживает ваш веб-сайт (и домены) в режиме реального времени и предупреждает вас, если они когда-либо были повреждены, занесены в черный список, взломаны и т. Д. Ссылка: http://sucuri.net
Как следует из названия, он контролирует целостность вашего «интернет-присутствия».
* отказ от ответственности: я разработал это.
Мне всегда нравился совет: закройте все порты, ни в коем случае не пропускайте трафик. Затем, по мере необходимости, постепенно открывайте только нужные порты и ничего более.
Хотя это не обязательно защитит вас, вы познакомитесь с вашей системой и убедитесь, что открыт только самый минимум.
Поскольку вы не указали, какой именно тип «взлома» это был, я думаю, я могу предположить, что вы были скомпрометированы с помощью грубой силы SSH. Вот несколько общих советов:
Я опубликовал несколько комментариев к различным частям конкретных советов, которые были предложены, чтобы попытаться избежать будущих атак. Я оказался в похожей ситуации чуть больше года назад, и, конечно же, анализ атаки для улучшения вашей настройки важен, но, я думаю, прямо сейчас вам следует беспокоиться о серверах, которые у вас работают. Откуда вы знаете, что им можно доверять? Если не получается, то нужно их протереть.