3 июля 2010 в 1:41
Прошёл год, и нас ломанули... напомню на всякий правила:
* Делаем бэкапы;
* Переходим на текущую версию ОС;
* Используем блокеры... например, в Fedora 13 делаем просто
yum install denyhosts
service denyhosts start
P.S.: взлом произошёл только после установки WordPress 3.0 (до этого ничего не менялось)...
Комментарии
да, список ломаных IP (отсюда были попытки):
# DenyHosts: Sat Jul 3 01:20:42 2010 | sshd: 60.28.27.14
sshd: 60.28.27.14
# DenyHosts: Sat Jul 3 01:20:42 2010 | sshd: 188.231.188.50
sshd: 188.231.188.50
# DenyHosts: Sat Jul 3 01:20:42 2010 | sshd: 111.177.111.82
sshd: 111.177.111.82
# DenyHosts: Sat Jul 3 01:20:42 2010 | sshd: 195.135.237.74
sshd: 195.135.237.74
# DenyHosts: Sat Jul 3 01:20:42 2010 | sshd: 222.239.78.149
sshd: 222.239.78.149
# DenyHosts: Sat Jul 3 01:35:15 2010 | sshd: 195.210.47.110
sshd: 195.210.47.110
Плохая реклама для хостера, сор в избе пусть остаётся
А хостер тут причём?
VPS на то и приватный сервер, что root у вас, и вы всё администрируете.
а причем тут друпал?
Drupal там тоже есть
Если у вас есть желание, я могу вам ещё список из таких IP поднакидать. У меня в логах за последние пару дней десятка два есть.
А вообще, могу только посочувствовать.
Как правило 95% заломов - это уплывание вашего же пароля через вирус, который вы подцепили на машине с виндой, с которой вы работаете с сервером хостинга.
denyhost ставить ненужно, лучше настроить файрвол, чтобы он разрешат подключаться по ssh и ftp только с конкретных IP. Также неплохо поставить mod_security в апач, если у вас стоит что-то помимо Друпал. И ещё неплохо бы повесить на 404-ю ошибку логгирование с последующей блокировкой. Типа в течение минуты было 3-5 запросов несуществующих URL на сайте - IP адрес в бан через .htaccess или файрвол.
Я недавно тоже подумал что ломанули, не мог войти в админку сайта.
"Нас" - это кого? Весь мастерхост?
Вопрос для всех: как часто вы делаете бэкапы, вручную или автоматически, в онлайне или только в офлайне, делаете ли резервы на локальные носители?
Так взлом произошел через Вордпресс?
Автоматический бэкап лично я делаю раз в сутки. Раз в неделю мастер, а в течение остальных шести дней диффы к нему. Вручную сейчас делаю время от времени перед большими обновлениями... просто на всякий случай.
Если автоматически бэкапить данные на работающем сайте, то может быть потеряна часть этих данных. Например, система сделала бэкап файлов на несколько секунд раньше, чем бэкап базы данных. И если за этот промежуток пользователь сделает загрузку чего-нибудь на сайт, то данные, записанные в базу, не попадут в бэкап файлов. В итоге, если мы будем пользоваться бэкап-версией, то загруженный пользователем файл будет только в базе, но на диске его не будет. А если делать бэкап во время офлайна сайта, то такой проблемы не будет.
А как это делается, если в двух словах?
Бэкап так или иначе делается на тот случай, если у вас вдруг что-нибудь сломается. Если у вас, не дай бог, полетит сервер, произойдёт взлом или что-нибудь ещё произойдёт из разряда чп, вы так или иначе потеряете всё информацию, появившуюся на сайте/в базе после последнего бэкапа. В сравнении с этим некоторые проблемы вроде того, что запись о загруженном файле есть в базе, но его нет на самой машине, не так серьёзны. Если вас это всё же не устраивает, могу порекомендовать вам переводить сайт по крону в оффлайн перед началом бэкапа, а затем выводить из него по окончании бэкапа
У меня через backup-manager.org (сайт у них только сейчас лежит почему-то).