ProHoster > Blog > Bestjoer > Iepenje gjin havens foar de wrâld - jo sille brutsen wurde (risiko's)

Iepenje gjin havens foar de wrâld - jo sille brutsen wurde (risiko's)

Iepenje gjin havens foar de wrâld - jo sille brutsen wurde (risiko's)

Kear op kear, nei it útfieren fan in kontrôle, yn reaksje op myn oanbefellings om de havens efter in wite list te ferbergjen, bin ik moete mei in muorre fan misferstân. Sels heul coole admins / DevOps freegje: "Wêrom?!?"

Ik stel foar om risiko's te beskôgjen yn ôfnimmende folchoarder fan kâns op foarkommen en skea.

  1. Konfiguraasje flater
  2. DDoS oer IP
  3. Domme kracht
  4. Service kwetsberens
  5. Kernel stack kwetsberens
  6. Fergrutte DDoS-oanfallen

Konfiguraasje flater

De meast typyske en gefaarlike situaasje. Hoe't it bart. De ûntwikkelder moat de hypoteze fluch testen; hy stelt in tydlike server op mei mysql/redis/mongodb/elastic. It wachtwurd is fansels kompleks, hy brûkt it oeral. It iepenet de tsjinst foar de wrâld - it is handich foar him om te ferbinen fan syn PC sûnder dizze VPN's fan jo. En ik bin te lui om de iptables-syntaksis te ûnthâlden; de tsjinner is yn elts gefal tydlik. Noch in pear dagen fan ûntwikkeling - it waard geweldich, wy kinne it oan 'e klant sjen litte. De klant fynt it leuk, d'r is gjin tiid om it opnij te meitsjen, wy lansearje it yn PROD!

In foarbyld opsetlik oerdreaun om troch alle rake te gean:

  1. D'r is neat permanint as tydlik - ik hâld fan dizze sin net, mar neffens subjektive gefoelens bliuwt 20-40% fan sokke tydlike tsjinners in lange tiid.
  2. In komplekse universele wachtwurd dat wurdt brûkt yn in protte tsjinsten is kwea. Om't ien fan 'e tsjinsten wêr't dit wachtwurd brûkt waard koe hacked wêze. Op ien of oare manier streame de databases fan hackte tsjinsten yn ien, dy't brûkt wurdt foar [brute krêft]*.
    It is de muoite wurdich ta te foegjen dat nei ynstallaasje, redis, mongodb en elastysk binne algemien beskikber sûnder autentikaasje, en wurde faak oanfolle kolleksje fan iepen databases.
  3. It kin lykje dat gjinien jo 3306-poarte yn in pear dagen sil scannen. It is in waan! Masscan is in poerbêste scanner en kin scannen op 10M havens per sekonde. En d'r binne mar 4 miljard IPv4 op it ynternet. Dêrtroch lizze alle 3306-poarten op it ynternet yn 7 minuten. Charles!!! Sân minuten!
    "Wa hat dit nedich?" - do beswier. Dat ik bin ferrast as ik sjoch nei de statistiken fan sakke pakketten. Wêr komme 40 tûzen scanpogingen fan 3 tûzen unike IP's per dei wei? No scant elkenien, fan de hackers fan mem oant oerheden. It is heul maklik om te kontrolearjen - nim elke VPS foar $ 3-5 fan elke ** lege kosten loftfeartmaatskippij, skeakelje logging fan sakke pakketten yn en besjoch it log yn in dei.

Logging ynskeakelje

Yn /etc/iptables/rules.v4 tafoegje oan 'e ein:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-nivo 4

En yn /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& stopje

DDoS oer IP

As in oanfaller jo IP ken, kin hy jo server foar ferskate oeren of dagen kape. Net alle hostingproviders mei lege kosten hawwe DDoS-beskerming en jo server sil gewoan loskeppele wurde fan it netwurk. As jo ​​​​jo tsjinner efter in CDN ferburgen hawwe, ferjit dan net de IP te feroarjen, oars sil in hacker it googleje en DDoS jo tsjinner de CDN omgean (in heul populêre flater).

Service kwetsberens

Alle populêre software fynt ier of letter flaters, sels de meast hifke en krityske. Under IB-spesjalisten is d'r in heale grap - de feiligens fan 'e ynfrastruktuer kin feilich beoardiele wurde troch de tiid fan' e lêste update. As jo ​​ynfrastruktuer ryk is yn havens dy't yn 'e wrâld stekke, en jo hawwe it in jier net bywurke, dan sil elke feiligensspesjalist jo fertelle sûnder te sjen dat jo lek binne en nei alle gedachten al hacked binne.
It is ek it neamen wurdich dat alle bekende kwetsberens eartiids ûnbekend wiene. Stel jo in hacker foar dy't sa'n kwetsberens fûn en it hiele ynternet yn 7 minuten scan foar syn oanwêzigens ... Hjir is in nije firusepidemy) Wy moatte bywurkje, mar dit kin it produkt skealje, sizze jo. En jo sille gelyk hawwe as de pakketten net binne ynstalleare fan 'e offisjele OS-repositories. Ut ûnderfining brekke updates fan it offisjele repository it produkt selden.

Domme kracht

Lykas hjirboppe beskreaun, is d'r in databank mei in heal miljard wachtwurden dy't handich binne om te typen fan it toetseboerd. Mei oare wurden, as jo gjin wachtwurd hawwe generearre, mar neistlizzende symboalen op it toetseboerd typten, kinne jo der wis fan wêze * dat se jo sille betize.

Kernel stack kwetsberens.

It bart ek **** dat it net iens makket hokker tsjinst de poarte iepenet, as de kernelnetwurkstap sels kwetsber is. Dat is, absolút elke tcp / udp-socket op in twa jier âld systeem is gefoelich foar in kwetsberens dy't liedt ta DDoS.

Ferhege DDoS-oanfallen

It sil gjin direkte skea feroarsaakje, mar it kin jo kanaal ferstoppe, de lading op it systeem ferheegje, jo IP sil einigje op guon swarte list*****, en jo sille misbrûk krije fan 'e hoster.

Binne jo al dizze risiko's echt nedich? Foegje jo thús- en wurk-IP ta oan 'e wite list. Sels as it dynamysk is, meld jo dan oan fia it adminpaniel fan 'e hoster, fia de webkonsole, en foegje gewoan in oare ta.

Ik haw 15 jier IT-ynfrastruktuer boud en beskerme. Ik haw in regel ûntwikkele dy't ik elkenien sterk oanbefelje - gjin haven moat de wrâld yn stekke sûnder in wite-list.

Bygelyks, de feilichste webserver*** is dejinge dy't allinich 80 en 443 iepenet foar CDN / WAF. En tsjinsthavens (ssh, netdata, bacula, phpmyadmin) moatte op syn minst efter de wite list wêze, en noch better efter de VPN. Oars, jo risiko wurde kompromittearre.

Dat woe ik net sizze. Hâld jo havens ticht!

  • (1) UPD 1: it is jo kinne jo koele universele wachtwurd kontrolearje (doch dit net sûnder dit wachtwurd te ferfangen troch in willekeurige yn alle tsjinsten), oft it ferskynde yn 'e gearfoege databank. En hjir jo kinne sjen hoefolle tsjinsten binne hacked, wêr't jo e-post is opnommen, en, sadwaande, útfine oft jo koele universele wachtwurd is kompromittearre.
  • (2) Foar it kredyt fan Amazon hat LightSail minimale scans. Blykber filterje se it op ien of oare manier.
  • (3) In noch feiliger webserver is dejinge efter in tawijd firewall, syn eigen WAF, mar wy prate oer iepenbiere VPS / Dedicated.
  • (4) Segmentmak.
  • (5) Fjoer.

Allinnich registrearre brûkers kinne meidwaan oan 'e enkête. Ynlogge, asjebleaft.

Stekke jo havens út?

  • Altyd

  • Soms

  • Nea

  • Ik wit it net, fuck

54 brûkers stimden. 6 brûkers ûntholden har.

Boarne: www.habr.com

Add a comment