Сволочи, ломанули

Главные вкладки

Аватар пользователя Akzhan Akzhan 3 июля 2010 в 1:41

Прошёл год, и нас ломанули... напомню на всякий правила:

* Делаем бэкапы;
* Переходим на текущую версию ОС;
* Используем блокеры... например, в Fedora 13 делаем просто

yum install denyhosts
service denyhosts start

P.S.: взлом произошёл только после установки WordPress 3.0 (до этого ничего не менялось)...

Комментарии

Аватар пользователя Akzhan Akzhan 3 июля 2010 в 1:45

да, список ломаных IP (отсюда были попытки):

# DenyHosts: Sat Jul 3 01:20:42 2010 | sshd: 60.28.27.14
sshd: 60.28.27.14
# DenyHosts: Sat Jul 3 01:20:42 2010 | sshd: 188.231.188.50
sshd: 188.231.188.50
# DenyHosts: Sat Jul 3 01:20:42 2010 | sshd: 111.177.111.82
sshd: 111.177.111.82
# DenyHosts: Sat Jul 3 01:20:42 2010 | sshd: 195.135.237.74
sshd: 195.135.237.74
# DenyHosts: Sat Jul 3 01:20:42 2010 | sshd: 222.239.78.149
sshd: 222.239.78.149
# DenyHosts: Sat Jul 3 01:35:15 2010 | sshd: 195.210.47.110
sshd: 195.210.47.110

Аватар пользователя ihappy ihappy 3 июля 2010 в 2:30

"Akzhan" wrote:
P.S.: взлом произошёл только после установки WordPress 3.0 (до этого ничего не менялось)...

а причем тут друпал?

Аватар пользователя ingumsky@drupal.org ingumsky@drupal.org 3 июля 2010 в 3:12

Если у вас есть желание, я могу вам ещё список из таких IP поднакидать. У меня в логах за последние пару дней десятка два есть.

А вообще, могу только посочувствовать.

Аватар пользователя Azerot Azerot 3 июля 2010 в 12:01

Как правило 95% заломов - это уплывание вашего же пароля через вирус, который вы подцепили на машине с виндой, с которой вы работаете с сервером хостинга.

denyhost ставить ненужно, лучше настроить файрвол, чтобы он разрешат подключаться по ssh и ftp только с конкретных IP. Также неплохо поставить mod_security в апач, если у вас стоит что-то помимо Друпал. И ещё неплохо бы повесить на 404-ю ошибку логгирование с последующей блокировкой. Типа в течение минуты было 3-5 запросов несуществующих URL на сайте - IP адрес в бан через .htaccess или файрвол.

Аватар пользователя Sinkora Sinkora 3 июля 2010 в 18:00

"Akzhan" wrote:
Прошёл год, и нас ломанули... напомню на всякий правила

"Нас" - это кого? Весь мастерхост?

"Akzhan" wrote:
* Делаем бэкапы;

Вопрос для всех: как часто вы делаете бэкапы, вручную или автоматически, в онлайне или только в офлайне, делаете ли резервы на локальные носители?

"Akzhan" wrote:
P.S.: взлом произошёл только после установки WordPress 3.0 (до этого ничего не менялось)...

Так взлом произошел через Вордпресс?

Аватар пользователя ingumsky@drupal.org ingumsky@drupal.org 4 июля 2010 в 1:06

"Sinkora" wrote:
Вопрос для всех: как часто вы делаете бэкапы, вручную или автоматически, в онлайне или только в офлайне, делаете ли резервы на локальные носители?

Автоматический бэкап лично я делаю раз в сутки. Раз в неделю мастер, а в течение остальных шести дней диффы к нему. Вручную сейчас делаю время от времени перед большими обновлениями... просто на всякий случай.

Аватар пользователя Sinkora Sinkora 4 июля 2010 в 1:54

"<a href="mailto:ingumsky@drupal.org">ingumsky@drupal.org</a>" wrote:
Автоматический бэкап лично я делаю раз в сутки.

Если автоматически бэкапить данные на работающем сайте, то может быть потеряна часть этих данных. Например, система сделала бэкап файлов на несколько секунд раньше, чем бэкап базы данных. И если за этот промежуток пользователь сделает загрузку чего-нибудь на сайт, то данные, записанные в базу, не попадут в бэкап файлов. В итоге, если мы будем пользоваться бэкап-версией, то загруженный пользователем файл будет только в базе, но на диске его не будет. А если делать бэкап во время офлайна сайта, то такой проблемы не будет.

"<a href="mailto:ingumsky@drupal.org">ingumsky@drupal.org</a>" wrote:
Раз в неделю мастер, а в течение остальных шести дней диффы к нему.

А как это делается, если в двух словах?

Аватар пользователя ingumsky@drupal.org ingumsky@drupal.org 4 июля 2010 в 17:18

"Sinkora" wrote:
Если автоматически бэкапить данные на работающем сайте, то может быть потеряна часть этих данных. Например, система сделала бэкап файлов на несколько секунд раньше, чем бэкап базы данных. И если за этот промежуток пользователь сделает загрузку чего-нибудь на сайт, то данные, записанные в базу, не попадут в бэкап файлов. В итоге, если мы будем пользоваться бэкап-версией, то загруженный пользователем файл будет только в базе, но на диске его не будет. А если делать бэкап во время офлайна сайта, то такой проблемы не будет.

Бэкап так или иначе делается на тот случай, если у вас вдруг что-нибудь сломается. Если у вас, не дай бог, полетит сервер, произойдёт взлом или что-нибудь ещё произойдёт из разряда чп, вы так или иначе потеряете всё информацию, появившуюся на сайте/в базе после последнего бэкапа. В сравнении с этим некоторые проблемы вроде того, что запись о загруженном файле есть в базе, но его нет на самой машине, не так серьёзны. Если вас это всё же не устраивает, могу порекомендовать вам переводить сайт по крону в оффлайн перед началом бэкапа, а затем выводить из него по окончании бэкапа Wink Ну или смотреть в направлении, в котором действуют большие конторы вроде Гуглов и проч. — рейды, разделённое хранение данных и т.д. и т.п. Smile
"Sinkora" wrote:
А как это делается, если в двух словах?

У меня через backup-manager.org (сайт у них только сейчас лежит почему-то).