Home
Sto reinstallando il web server per un sito internet.
Ultimamente il server su cui era installato il sito è stato violato (non saprei dirvi come) ed hanno installato uno script che mandava pacchetti verso server esterni.
Sono stato bloccato dal mio hosting e praticamente cacciato ora sto reinstallando il server da un'altra parte, ed ovvaimente voglio aumentare le protezioni.
Ho configurato con regole più strette iptables e installato lo stretto indispensabile ricontrollandolo tutto.
Mi sono fatto pure un giro in tutto lo script php (è un forum in phbb) cercando possibili bachi e non avendoli trovati ho fatto in modo di bloccare quasi tutti gli upload e di monitorare tramite delle regole regxp i dati in ingresso e se considerati malevoli fermarli.
Oltre a questo volevo però, se fosse possibile, installare un antivirus o qualcosa del genere (un antirootkit) che mi faccia la scansione dei file su server ad intervalli regolari alla ricerca di script malevoli (php o shell) caricati o in esecuzione.
Sapete consigliarmi qualcosa? In che direzione posso avviarmi?
Ho dato un occhiata veloce a clamav, ma a parte la scansione manuale non ci ho capito molto... fa quello che ho bisogno? individua shell php o script shell malevoli? Bisogna creare uno script con cron per farlo eseguire a certi periodi?
Indice Del Forum
0
Come Aumentare La Sicurezza Su Un Server Debian
Started by Billy 78, Oct 29 2011 09:57 AM
5 replies to this topic
#2
A Guy
-
- Utenti
-
- 51 Messaggi:
Apprendista
-
Sesso:
Inviato 29 October 2011 - 10:30 AM
Su un server linux l'antivirus non serve.
Il mio conisglio è di usare anche :
Il mio conisglio è di usare anche :
- Samhain: per un'analisi piú dettagliata
- RKHunter: per un controllo antirootkit di base
- Fail2Ban: per il monitoraggio dei log di accesso
#3
Pike
-
- Vice Admin
-
- 7004 Messaggi:
Illuminato
-
Sesso:
Inviato 29 October 2011 - 12:41 PM
Senza dimenticare il fondamentale linux che parla di "non toccare ciò che funziona", ma soprattutto di installare le versioni che correggono i buchi di sicurezza.
Specie per molti applicativi realizzati in PHP, ci sono delle vulnerabilità grosse come crateri...
Specie per molti applicativi realizzati in PHP, ci sono delle vulnerabilità grosse come crateri...
#4
Sistemista Linux
-
- Sistemista
-
- 5 Messaggi:
Iniziato
-
Sesso:
Inviato 29 October 2011 - 23:36 PM
Ciao billy,
quando si è sotto attacco è sempre una gran rottura di scatole e cambiare server il più delle volte non serve a nulla. Certo sapere come sono entrati sarebbe utile per utilizzare una misura di sicurezza mirata ma leggendo il tuo post io ti consiglierei...
1. Phpbb è un prodotto open e se c'è un bug nella struttura o in qualche suo plugin puoi usare quello che vuoi ma ti ribucheranno... L'unica possibilità è tenere phpbb aggiornato.
2. Php va ben configurato... Nel. File php.ini ti consiglio di disabilitare la possibilità di caricare/includere codice php esterno al tuo dominio. C'è un'opzione che ti sconsiglio di attivare che è allow_url_fopen
3. Sempre nei settaggi di php verifica che è abilitato e settaggio di base_dir che ingabbia il runtime di php in una determinata cartella del sistema operativo e evita che possano girare per il sistema.
4. Ci sarebbe anche da verificare quale modulo utilizzi per php come engine.. Se utilizzi fcgi, mkm, e similari, se utilizzi un solo account o per ogni virtualhost utilizzi un account differente.
Una cosa da evitare sempre e prendere il sito php violato e copiarlo altrove... Se Il tuo phpbb è stato violato, fai una nuova installazione e ripassi il vecchio db, così eviti di portarti dietro eventuali falle.
Ti conviene fare un po' di giri su google alla ricerca della security in php, una volta che hai chiuso un po' di possibilità all hacker di fare casini, puoi iniziare a pensare a qualcosa di più complesso.Iptables o altro servono a poco se il tuo apache non è sicuro
Spero di esserti stato di aiuto
Ciao
quando si è sotto attacco è sempre una gran rottura di scatole e cambiare server il più delle volte non serve a nulla. Certo sapere come sono entrati sarebbe utile per utilizzare una misura di sicurezza mirata ma leggendo il tuo post io ti consiglierei...
1. Phpbb è un prodotto open e se c'è un bug nella struttura o in qualche suo plugin puoi usare quello che vuoi ma ti ribucheranno... L'unica possibilità è tenere phpbb aggiornato.
2. Php va ben configurato... Nel. File php.ini ti consiglio di disabilitare la possibilità di caricare/includere codice php esterno al tuo dominio. C'è un'opzione che ti sconsiglio di attivare che è allow_url_fopen
3. Sempre nei settaggi di php verifica che è abilitato e settaggio di base_dir che ingabbia il runtime di php in una determinata cartella del sistema operativo e evita che possano girare per il sistema.
4. Ci sarebbe anche da verificare quale modulo utilizzi per php come engine.. Se utilizzi fcgi, mkm, e similari, se utilizzi un solo account o per ogni virtualhost utilizzi un account differente.
Una cosa da evitare sempre e prendere il sito php violato e copiarlo altrove... Se Il tuo phpbb è stato violato, fai una nuova installazione e ripassi il vecchio db, così eviti di portarti dietro eventuali falle.
Ti conviene fare un po' di giri su google alla ricerca della security in php, una volta che hai chiuso un po' di possibilità all hacker di fare casini, puoi iniziare a pensare a qualcosa di più complesso.Iptables o altro servono a poco se il tuo apache non è sicuro
Spero di esserti stato di aiuto
Ciao
#5
Billy 78
-
- Utenti
-
- 6 Messaggi:
Iniziato
-
Sesso:
Inviato 31 October 2011 - 21:49 PM
Sistemista Linux, su 29 October 2011 - 23:36 PM, ha detto:
Ciao billy,
quando si è sotto attacco è sempre una gran rottura di scatole e cambiare server il più delle volte non serve a nulla.
quando si è sotto attacco è sempre una gran rottura di scatole e cambiare server il più delle volte non serve a nulla.
Concordo ma è stata una mia scelta, il mio hosting non mi ha neanche chiesto spiegazioni e mi ha cacciato via decidendo di non rispondere più alle mie email/ticket
Citazione
1. Phpbb è un prodotto open e se c'è un bug nella struttura o in qualche suo plugin puoi usare quello che vuoi ma ti ribucheranno... L'unica possibilità è tenere phpbb aggiornato.
2. Php va ben configurato... Nel. File php.ini ti consiglio di disabilitare la possibilità di caricare/includere codice php esterno al tuo dominio. C'è un'opzione che ti sconsiglio di attivare che è allow_url_fopen
3. Sempre nei settaggi di php verifica che è abilitato e settaggio di base_dir che ingabbia il runtime di php in una determinata cartella del sistema operativo e evita che possano girare per il sistema.
4. Ci sarebbe anche da verificare quale modulo utilizzi per php come engine.. Se utilizzi fcgi, mkm, e similari, se utilizzi un solo account o per ogni virtualhost utilizzi un account differente.
Una cosa da evitare sempre e prendere il sito php violato e copiarlo altrove... Se Il tuo phpbb è stato violato, fai una nuova installazione e ripassi il vecchio db, così eviti di portarti dietro eventuali falle.
2. Php va ben configurato... Nel. File php.ini ti consiglio di disabilitare la possibilità di caricare/includere codice php esterno al tuo dominio. C'è un'opzione che ti sconsiglio di attivare che è allow_url_fopen
3. Sempre nei settaggi di php verifica che è abilitato e settaggio di base_dir che ingabbia il runtime di php in una determinata cartella del sistema operativo e evita che possano girare per il sistema.
4. Ci sarebbe anche da verificare quale modulo utilizzi per php come engine.. Se utilizzi fcgi, mkm, e similari, se utilizzi un solo account o per ogni virtualhost utilizzi un account differente.
Una cosa da evitare sempre e prendere il sito php violato e copiarlo altrove... Se Il tuo phpbb è stato violato, fai una nuova installazione e ripassi il vecchio db, così eviti di portarti dietro eventuali falle.
In effetti dovrei pensare a passare auna piattaforma più sicura come Xenforo o Invision che usate qui, magari cercando anche un'azienda specializzata nell'hosting di forum.
Citazione
Ti conviene fare un po' di giri su google alla ricerca della security in php, una volta che hai chiuso un po' di possibilità all hacker di fare casini, puoi iniziare a pensare a qualcosa di più complesso.Iptables o altro servono a poco se il tuo apache non è sicuro
Spero di esserti stato di aiuto
Ciao
Spero di esserti stato di aiuto
Ciao
Inizio oggi stesso una ricerca, grazie di nuovo a tutti voi!
.gif)
Bel sito!!!!
#6
A Guy
-
- Utenti
-
- 51 Messaggi:
Apprendista
-
Sesso:
Inviato 01 November 2011 - 21:53 PM
Billy 78, su 31 October 2011 - 21:49 PM, ha detto:
Inizio oggi stesso una ricerca, grazie di nuovo a tutti voi!
0 utente(i) stanno leggendo questa discussione
utenti, ospiti, utenti anonimi
Ti piace il sito che stai visitando? Vuoi dirci grazie per quello che facciamo? Se lo desideri puoi inviarci una piccola donazione per mostrarci il tuo apprezzamento.
Il tuo contributo ci permetterà di sostenere le spese di funzionamento di questo sito per continuare a fornirti aiuti e consigli anche in futuro.
Il tuo contributo ci permetterà di sostenere le spese di funzionamento di questo sito per continuare a fornirti aiuti e consigli anche in futuro.
Community Forum Software by IP.Board 3.3.1
Licenza di: WinInizio
