ProHoster > Blog > башкаруу > Дүйнөгө портторду ачпаңыз - сиз бузуласыз (тобокелдиктер)

Дүйнөгө портторду ачпаңыз - сиз бузуласыз (тобокелдиктер)

Дүйнөгө портторду ачпаңыз - сиз бузуласыз (тобокелдиктер)

Убакыттын өтүшү менен аудит жүргүзгөндөн кийин, портторду ак тизменин артына жашыруу боюнча менин сунуштарыма жооп катары, мен түшүнбөстүктүн дубалына туш болом. Атүгүл абдан сонун администраторлор/DevOps: "Эмне үчүн?!?"

Мен тобокелдиктерди пайда болуу жана зыян келтирүү ыктымалдыгы боюнча азаюу тартибинде кароону сунуш кылам.

  1. Конфигурация катасы
  2. IP аркылуу DDoS
  3. Кара күч
  4. Кызматтын кемчиликтери
  5. Ядро стекинин кемчиликтери
  6. DDoS чабуулдары көбөйдү

Конфигурация катасы

Эң типтүү жана коркунучтуу жагдай. Бул кантип болот. Иштеп чыгуучу гипотезаны тез текшериши керек; ал mysql/redis/mongodb/elastic менен убактылуу серверди орнотот. Сырсөз, албетте, татаал, ал бардык жерде колдонот. Бул кызматты дүйнөгө ачат - бул сиздин VPNсиз өз компьютеринен туташуу үчүн ыңгайлуу. Мен iptables синтаксисин эстегенден жалкоомун; баары бир сервер убактылуу. Дагы бир нече күн иштеп чыгуу - бул сонун болду, биз аны кардарга көрсөтө алабыз. Кардарга жагат, аны кайра жасоого убакыт жок, биз аны PRODге чыгарабыз!

Бардык тырмоолорду басып өтүү үчүн атайылап апыртылган бир мисал:

  1. Убактылуудан туруктуу эч нерсе жок - мен бул сөздү жактырбайм, бирок субъективдүү сезимдерге ылайык, мындай убактылуу серверлердин 20-40% узак убакыт бою сакталат.
  2. Көптөгөн кызматтарда колдонулган татаал универсалдуу сырсөз жаман. Анткени бул сырсөз колдонулган кызматтардын бири хакердик чабуулга кабылышы мүмкүн болчу. Кандайдыр бир жол менен бузулган кызматтардын маалымат базалары [кара күч]* үчүн колдонулган бирине агылып кирет.
    Орнотуудан кийин, redis, mongodb жана эластик жалпысынан аутентификациясыз жеткиликтүү жана көп учурда толукталарын кошумчалоо керек. ачык маалымат базаларынын жыйнагы.
  3. Бир нече күндүн ичинде 3306 портуңузду эч ким сканерлебейт окшойт. Бул алдамчылык! Masscan - эң сонун сканер жана секундасына 10M порт менен сканерлей алат. Ал эми интернетте болгону 4 миллиард IPv4 бар. Демек, Интернеттеги бардык 3306 порт 7 мүнөттө жайгашкан. Чарлз!!! Жети мүнөт!
    "Бул кимге керек?" - каршысың. Ошентип, мен түшүп калган пакеттердин статистикасын көргөндө таң калам. Күнүнө 40 миң уникалдуу IPден 3 миң сканерлөө аракети кайдан келет? Азыр апамдын хакерлеринен баштап өкмөттөргө чейин бардыгы сканерлеп жатышат. Текшерүү абдан оңой - каалаган ** арзан авиакомпаниядан 3-5 долларга каалаган VPS алыңыз, түшүрүлгөн пакеттерди каттоону иштетиңиз жана журналды бир күндө караңыз.

Киргизүүнү иштетүү

/etc/iptables/rules.v4 ичинде аягына кошуңуз:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

Жана /etc/rsyslog.d/10-iptables.conf ичинде
:msg,камтыйт,"[FW - " /var/log/iptables.log
& токтотуу

IP аркылуу DDoS

Эгер чабуулчу сиздин IPиңизди билсе, ал сервериңизди бир нече саат же күн бою басып алат. Бардык эле арзан хостинг провайдерлери DDoS коргоосуна ээ эмес жана сервериңиз тармактан жөн эле ажыратылат. Эгер сиз сервериңизди CDNдин артына катып койгон болсоңуз, IPди өзгөртүүнү унутпаңыз, антпесе хакер аны Google'га жөнөтөт жана CDNди айланып өтүп сервериңизди DDoS кылат (өтө популярдуу ката).

Кызматтын кемчиликтери

Бардык популярдуу программалык камсыздоо эртеби-кечпи каталарды, атүгүл эң сыналган жана критикалыкларды табат. IB адистеринин арасында жарым-жартылай тамаша бар - инфраструктуранын коопсуздугун акыркы жаңыртуу учурунда ишенимдүү баалоого болот. Эгерде сиздин инфраструктураңыз дүйнөгө жабышып турган портторго бай болсо жана сиз аны бир жылдан бери жаңырта элек болсоңуз, анда кайсы бир коопсуздук адиси сиздин агып жатканыңызды жана кыязы, буга чейин хакерлик чабуулга кабылганыңызды айтып берет.
Белгилүү болгон бардык алсыздыктар бир кезде белгисиз болгонун да белгилей кетүү керек. Элестетип көргүлөчү, хакер ушундай кемчиликти таап, 7 мүнөттүн ичинде бүт интернетти анын бар-жогун текшерип чыкты... Мына, жаңы вирус эпидемиясы) Биз жаңылашыбыз керек, бирок бул продуктка зыян келтириши мүмкүн, дейсиз. Эгер пакеттер ОСтун расмий репозиторийлеринен орнотулбаса, сиз туура болот. Тажрыйбага таянсак, расмий репозиторийден жаңыртуулар продуктуну сейрек бузат.

Кара күч

Жогоруда айтылгандай, клавиатурадан терүүгө ыңгайлуу болгон жарым миллиард сырсөздөр бар маалымат базасы бар. Башкача айтканда, эгер сиз сырсөздү түзбөсөңүз, бирок клавиатурада чектеш символдорду терген болсоңуз, алар сизди чаташтыраарына шектенбеңиз*.

Ядро стекинин кемчиликтери.

Ошондой эле, ядро ​​тармагынын стекинин өзү аялуу болгондо, портту кайсы кызмат ачары маанилүү эмес. Башкача айтканда, эки жаштагы системадагы ар кандай tcp/udp розеткалары DDoSга алып баруучу алсыздыкка дуушар болот.

DDoS чабуулдары көбөйдү

Бул түздөн-түз зыян келтирбейт, бирок ал сиздин каналыңызды жаап, системанын жүгүн көбөйтүшү мүмкүн, сиздин IP кандайдыр бир кара тизмеге***** түшүп калат жана сиз хосттерден кордук көрөсүз.

Бул тобокелдиктердин бардыгы сизге чындап керекпи? Ак тизмеге үйүңүздүн жана жумушуңуздун IP дарегин кошуңуз. Ал динамикалык болсо да, хосттердин администратор панели, веб консолу аркылуу кирип, башкасын кошуңуз.

Мен 15 жылдан бери IT инфраструктурасын куруп, коргоп келем. Мен баарына катуу сунуш кылган эрежени иштеп чыктым - бир дагы порт ак тизмесиз дүйнөгө жабышып калбашы керек.

Мисалы, эң коопсуз веб-сервер*** бул CDN/WAF үчүн гана 80 жана 443 ачкан сервер. Ал эми тейлөө порттору (ssh, netdata, bacula, phpmyadmin) жок дегенде ак тизменин артында, ал эми VPNдин артында дагы жакшы болушу керек. Болбосо, сиз компромисске туш болосуз.

Меники бүттү. Портторуңуз жабык болсун!

  • (1) UPD1: бул сиз салкын универсалдуу сырсөзүңүздү текшере аласыз (бардык кызматтарда бул сырсөздү кокусунан алмаштырбастан муну кылбаңыз), ал бириктирилген маалымат базасында пайда болдубу. Жана бул жерде канча кызмат бузулганын, сиздин электрондук почтаңыз кайда камтылганын көрө аласыз жана ошого жараша салкын универсалдуу сырсөзүңүз бузулганын биле аласыз.
  • (2) Амазондун кредитине ылайык, LightSail минималдуу сканерлерге ээ. Кыязы, алар кандайдыр бир жол менен чыпкалап жатышат.
  • (3) Андан да коопсуз веб-сервер - бул атайын брандмауэрдин артында турган, өзүнүн WAF, бирок биз коомдук VPS/Dedicated жөнүндө сөз кылып жатабыз.
  • (4) Segmentsmak.
  • (5) Firehol.

Сурамжылоого катталган колдонуучулар гана катыша алышат. Кирүү, өтүнөмүн.

Сиздин портторуңуз чыгып жатабы?

  • дайыма

  • кээде

  • эч качан

  • Билбейм, блять

54 колдонуучу добуш берди. 6 колдонуучу добуш берүүдөн баш тартты.

Source: www.habr.com

Комментарий кошуу