ProHoster > Blag > Riarachán > Ná oscail poirt don domhan - beidh tú briste (riosca)

Ná oscail poirt don domhan - beidh tú briste (riosca)

Ná oscail poirt don domhan - beidh tú briste (riosca)

Arís agus arís eile, tar éis iniúchadh a dhéanamh, mar fhreagra ar mo mholtaí chun na poirt a cheilt taobh thiar de liosta bán, tá balla míthuisceana orm. Fiafraíonn riarthóirí/DevOps an-fhionnuar: “Cén fáth?!?”

Tá sé beartaithe agam rioscaí a bhreithniú in ord íslitheach na dóchúlachta go dtarlóidh agus go ndéanfaí damáiste.

  1. Earráid chumraíochta
  2. DDoS thar IP
  3. Fórsa brute
  4. Leochaileachtaí seirbhíse
  5. Leochaileachtaí stack eithne
  6. Ionsaithe DDoS méadaithe

Earráid chumraíochta

An staid is tipiciúla agus contúirteacha. Conas a tharlaíonn sé. Ní mór don fhorbróir an hipitéis a thástáil go tapa; socraíonn sé freastalaí sealadach le mysql/redis/mongodb/elastic. Tá an focal faire, ar ndóigh, casta, úsáideann sé é i ngach áit. Osclaíonn sé an tseirbhís don domhan - tá sé áisiúil dó nascadh óna ríomhaire gan na VPNanna seo agatsa. Agus táim ró-leisciúil cuimhneamh ar chomhréir iptables; tá an freastalaí sealadach ar aon nós. Cúpla lá forbartha níos mó - d'éirigh sé go hiontach, is féidir linn é a thaispeáint don chustaiméir. Is maith leis an gcustaiméir é, níl aon am ann é a athdhéanamh, cuirimid isteach é PROD!

Sampla áibhéil d’aon ghnó chun dul tríd an raca ar fad:

  1. Níl aon rud níos buaine ná sealadach - ní maith liom an frása seo, ach de réir mothúcháin suibiachtúla, fanann 20-40% de na freastalaithe sealadacha sin ar feadh i bhfad.
  2. Is olc an focal faire casta uilíoch a úsáidtear i go leor seirbhísí. Toisc go bhféadfaí ceann de na seirbhísí inar úsáideadh an pasfhocal seo a hackáil. Ar bhealach amháin nó ar bhealach eile, cuireann bunachair shonraí na seirbhísí hacked isteach i gceann amháin, a úsáidtear le haghaidh [fórsa brutach]*.
    Is fiú a chur leis, tar éis a shuiteáil, go bhfuil redis, mongodb agus leaisteacha ar fáil go ginearálta gan fíordheimhniú, agus is minic a athlánaítear iad Bailiúchán de bhunachair shonraí saor in aisce,.
  3. D’fhéadfadh sé a bheith cosúil nach ndéanfaidh aon duine do phort 3306 a scanadh i gceann cúpla lá. Is delusion é! Is scanóir den scoth é Masscan agus is féidir leis scanadh ag 10M poirt in aghaidh an tsoicind. Agus níl ach 4 billiún IPv4 ar an Idirlíon. Dá réir sin, tá gach 3306 calafort ar an Idirlíon lonnaithe i 7 nóiméad. Charles!!! Seacht nóiméad!
    “Cé atá ag teastáil uaidh seo?” - cuireann tú i gcoinne. Mar sin cuireann sé ionadh orm nuair a fhéachaim ar staitisticí na bpacáistí báite. Cad as a dtagann 40 míle scanadh iarrachtaí ó 3 mhíle IP uathúil in aghaidh an lae? Anois tá gach duine ag scanadh, ó hackers mamaí go rialtais. Tá sé an-éasca é a sheiceáil - tóg aon VPS ar $3-5 ó aon aerlíne** ar chostas íseal, cumasaigh logáil na bpacáistí thit agus breathnaigh ar an logáil isteach in aghaidh an lae.

Ag cumasú logáil

In /etc/iptables/rules.v4 cuir leis ag an deireadh:
-A INPUT -j LOG --log- réimír " [FW - GACH] " --log-leibhéal 4

Agus i /etc/rsyslog.d/10-iptables.conf
:msg,tá,"[FW - "/var/log/iptables.log
& stop

DDoS thar IP

Má tá do IP ar eolas ag ionsaitheoir, féadfaidh sé do fhreastalaí a fhuadach ar feadh roinnt uaireanta nó laethanta. Níl cosaint DDoS ag gach soláthraí óstála ar chostas íseal agus ní bheidh ach do fhreastalaí dícheangailte ón líonra. Má chuir tú do fhreastalaí i bhfolach taobh thiar de CDN, ná déan dearmad an IP a athrú, nó déanfaidh hacker é a Google agus DDoS do fhreastalaí ag seachaint an CDN (botún a bhfuil an-tóir air).

Leochaileachtaí seirbhíse

Luath nó mall aimsíonn gach bogearraí móréilimh earráidí, fiú na cinn is tástáil agus is criticiúla. I measc speisialtóirí IB, tá leath-joke - is féidir slándáil an bhonneagair a mheas go sábháilte faoi am an nuashonraithe deiridh. Má tá do bhonneagar saibhir i gcalafoirt ag gobadh amach ar fud an domhain, agus nach bhfuil tú nuashonraithe ar feadh bliana, ansin inseoidh aon speisialtóir slándála duit gan féachaint go bhfuil tú ag sceitheadh, agus is dócha go bhfuil tú hacked cheana féin.
Is fiú a lua freisin go raibh na leochaileachtaí go léir anaithnid tráth. Samhlaigh hacker a fuair a leithéid de leochaileacht agus a scanadh an tIdirlíon ar fad i 7 nóiméad dá láithreacht... Seo eipidéim víreas nua) Ní mór dúinn nuashonrú a dhéanamh, ach is féidir leis seo dochar a dhéanamh don táirge, a deir tú. Agus beidh tú ceart mura bhfuil na pacáistí suiteáilte ó stórtha oifigiúla an OS. Ó thaithí, is annamh a bhriseann nuashonruithe ón stór oifigiúil an táirge.

Fórsa brute

Mar a thuairiscítear thuas, tá bunachar sonraí le leath billiún pasfhocail atá áisiúil a chlóscríobh ón méarchlár. I bhfocail eile, murar ghin tú pasfhocal, ach gur chlóscríobh tú siombailí cóngaracha ar an méarchlár, bí cinnte* go gcuirfidh siad mearbhall ort.

Leochaileachtaí stack eithne.

Tarlaíonn sé freisin **** nach bhfuil sé cuma cé acu seirbhís a osclaíonn an calafort, nuair a bhíonn an chairn líonra eithne féin leochaileach. Is é sin le rá go bhfuil aon soicéad tcp/udp ar chóras dhá bhliain d’aois i mbaol leochaileachta as a dtagann DDoS.

Ionsaithe DDoS méadaithe

Ní dhéanfaidh sé aon damáiste díreach, ach féadann sé do chainéal a dhúnadh, an t-ualach ar an gcóras a mhéadú, beidh do IP ar liosta dubh *****, agus gheobhaidh tú mí-úsáid ón óstach.

An bhfuil na rioscaí seo go léir de dhíth ort i ndáiríre? Cuir do IP baile agus oibre leis an liosta bán. Fiú má tá sé dinimiciúil, logáil isteach trí phainéal riaracháin an óstaigh, tríd an gconsól gréasáin, agus cuir ceann eile leis.

Tá mé ag tógáil agus ag cosaint bonneagar TF le 15 bliana. Tá riail forbartha agam a mholaim go láidir do chách - níor cheart go gcloífeadh aon phort amach ar fud an domhain gan liosta bán.

Mar shampla, is é an freastalaí gréasáin is sláine *** an ceann a osclaíonn 80 agus 443 do CDN/WAF amháin. Agus ba cheart go mbeadh calafoirt seirbhíse (ssh, netdata, bacula, phpmyadmin) ar a laghad taobh thiar den liosta bán, agus níos fearr fós taobh thiar den VPN. Seachas sin, tá an baol ann go gcuirfí isteach ort.

Sin go léir a theastaigh uaim a rá. Coinnigh do phoirt dúnta!

  • (1) UPD1: Anseo is féidir leat do phasfhocal uilíoch fionnuar a sheiceáil (ná déan é seo gan focal faire randamach a chur in ionad an fhocail faire seo i ngach seirbhís), cibé an raibh sé le feiceáil sa bhunachar sonraí cumaiscthe. Agus anseo is féidir leat a fheiceáil cé mhéad seirbhísí a hackadh, áit a raibh do r-phost san áireamh, agus, dá réir sin, a fháil amach an bhfuil do phasfhocal uilíoch fionnuar i gcontúirt.
  • (2) Chun creidiúna Amazon, tá scananna íosta ag LightSail. De réir dealraimh déanann siad é a scagadh ar bhealach éigin.
  • (3) Is freastalaí gréasáin níos sláine fós é an ceann atá taobh thiar de bhalla dóiteáin tiomnaithe, a WAF féin, ach táimid ag caint faoi VPS poiblí / Tiomnaithe.
  • (4) Deighleoga.
  • (5) Firehol.

Ní féidir ach le húsáideoirí cláraithe páirt a ghlacadh sa suirbhé. Sínigh isteach, le do thoil.

An gcloíonn do phoirt amach?

  • I gcónaí

  • Uaireanta

  • Níl a fhios agam, fuck

Vótáil 54 úsáideoir. Staon 6 úsáideoir.

Foinse: will.com

Add a comment