ProHoster > Blog > fitantanan-draharaha > Aza manokatra seranana ho an'izao tontolo izao - ho potika ianao (loza)

Aza manokatra seranana ho an'izao tontolo izao - ho potika ianao (loza)

Aza manokatra seranana ho an'izao tontolo izao - ho potika ianao (loza)

Imbetsaka, taorian'ny nanatanterahana ny fanaraha-maso, ho setrin'ny tolo-kevitro hanafenana ireo seranana ao ambadiky ny lisitra fotsy, dia nihaona tamin'ny rindrin'ny tsy fifankahazoana aho. Na ny admin/DevOps tena mahafinaritra aza dia manontany hoe: "Nahoana?!?"

Manoro hevitra ny handinika ny risika amin'ny filaharana midina ny mety hitranga sy ny fahasimbana aho.

  1. Error config
  2. DDoS amin'ny IP
  3. Hery mahery
  4. Ny vulnerability amin'ny serivisy
  5. Kernel stack vulnerability
  6. Nitombo ny fanafihana DDoS

Error config

Ny toe-javatra mahazatra sy mampidi-doza indrindra. Ahoana no mitranga. Mila mitsapa haingana ny petra-kevitra ny mpamorona; Ny tenimiafina, mazava ho azy, dia sarotra, dia mampiasa azy io na aiza na aiza. Izy io dia manokatra ny serivisy ho an'izao tontolo izao - mety ho azy ny mifandray amin'ny PC raha tsy misy ireo VPN anao ireo. Ary kamo loatra ny mitadidy ny syntax iptables dia vonjimaika ihany koa. Roa andro fampandrosoana - dia hita fa tsara, dia afaka mampiseho izany amin'ny mpanjifa. Tian'ny mpanjifa izany, tsy misy fotoana hamerenana azy, atombotsika ao amin'ny PROD!

Ohatra niniana nanitatra mba handehanana amin'ny rake rehetra:

  1. Tsy misy maharitra kokoa noho ny vonjimaika - tsy tiako io fehezan-teny io, fa araka ny fihetseham-po mahatsikaiky, ny 20-40% amin'ireo mpizara vonjimaika toy izany dia mijanona mandritra ny fotoana maharitra.
  2. Ratsy ny tenimiafina universal be pitsiny ampiasaina amin'ny serivisy maro. Satria ny iray amin'ireo serivisy nampiasana ity tenimiafina ity dia mety ho voajirika. Amin'ny fomba iray na amin'ny fomba hafa, ny angon-drakitra momba ny serivisy voajirika dia mitambatra ho iray, izay ampiasaina amin'ny [hery mahery vaika]*.
    Tsara ny manampy fa aorian'ny fametrahana, ny redis, mongodb ary ny elastika dia amin'ny ankapobeny tsy misy fanamarinana, ary matetika no fenoina. fanangonana angon-drakitra misokatra.
  3. Toa tsy hisy hijery ny seranan-tsambonao 3306 ao anatin'ny roa andro. Diso izany! Masscan dia scanner tena tsara ary afaka mijery amin'ny seranana 10M isan-tsegondra. Ary tsy misy afa-tsy 4 lavitrisa IPv4 ao amin'ny Internet. Noho izany, ny seranan-tsambo 3306 rehetra amin'ny Internet dia hita ao anatin'ny 7 minitra. Charles!!! Fito minitra!
    β€œIza no mila an’ity?” - manohitra ianao. Dia gaga aho rehefa mijery ny antontan'isa momba ny fonosana latsaka. Aiza no ahazoanao fanandramana scan 40 arivo avy amin'ny IP tokana 3 arivo isan'andro? Ankehitriny dia mijery ny rehetra, manomboka amin'ny mpijirika an'i Neny ka hatramin'ny governemanta. Tena mora ny manamarina - maka VPS amin'ny $ 3-5 avy amin'ny ** zotram-piaramanidina mora vidy, avelao ny fidirana amin'ireo fonosana latsaka ary jereo ny log ao anatin'ny iray andro.

Fampandehanana logging

Ao amin'ny /etc/iptables/rules.v4 ampio amin'ny farany:
-A INPUT -j LOG --log-prefix "[FW - REHETRA] " --log-level 4

Ary ao amin'ny /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& MijanΓ²na

DDoS amin'ny IP

Raha fantatry ny mpanafika ny IP-nao dia afaka maka an-keriny ny mpizaranao mandritra ny ora na andro maromaro izy. Tsy ny mpamatsy fampiantranoana mora vidy rehetra no manana fiarovana DDoS ary ho tapaka amin'ny tambajotra fotsiny ny mpizara anao. Raha nanafina ny mpizaranao tao ambadiky ny CDN ianao dia aza adino ny manova ny IP, raha tsy izany dia hisy hacker amin'ny google ary DDoS ny mpizara anao handalo ny CDN (fahadisoana malaza be).

Ny vulnerability amin'ny serivisy

Ny hadisoana dia hita amin'ny rindrambaiko malaza rehetra na ho ela na ho haingana, eny fa na dia amin'ireo tena voasedra sy mitsikera indrindra aza. Ao amin'ireo manam-pahaizana manokana momba ny IB dia misy vazivazy - ny fiarovana ny fotodrafitrasa dia azo tombanana tsara amin'ny fotoanan'ny fanavaozana farany. Raha manankarena amin'ny seranan-tsambo mipetaka eran'izao tontolo izao ny fotodrafitrasanao, ary tsy nanavao azy ianao nandritra ny herintaona, dia hilaza aminao ny manam-pahaizana manokana momba ny fiarovana fa tsy mijery fa miporitsaka ianao, ary azo inoana fa efa voajirika.
Tsara ihany koa ny manamarika fa ny vulnerability rehetra fantatra dia tsy fantatra taloha. Alaivo sary an-tsaina ny mpijirika iray nahita vulnerable toy izany ary nijery ny Internet manontolo tao anatin'ny 7 minitra mba hahitana ny fisiany ... Ity misy valan'aretina virus vaovao) Mila manavao isika, saingy mety hanimba ny vokatra izany, hoy ianao. Ary ho marina ianao raha tsy apetraka amin'ny tranokala OS ofisialy ny fonosana. Raha ny traikefa dia zara raha manapaka ny vokatra ny fanavaozana avy amin'ny tahiry ofisialy.

Hery mahery

Araka ny voalaza etsy ambony, misy angon-drakitra misy tenimiafina antsasa-tapitrisa izay mety hitendry amin'ny fitendry. Raha lazaina amin'ny teny hafa, raha tsy namorona tenimiafina ianao, fa nanoratra marika mifanakaiky amin'ny klavier, dia matokia* fa hanakorontana anao izy ireo.

Ny vulnerability amin'ny kernel stack.

Mitranga ihany koa **** fa tsy maninona akory izay serivisy manokatra ny seranana, rehefa marefo ny tambazotra kernel. Izany hoe, ny socket tcp/udp rehetra amin'ny rafitra roa taona dia mora voan'ny vulnerable mankany DDoS.

Nitombo ny fanafihana DDoS

Tsy hiteraka fahasimbana mivantana izany, fa mety hanakatona ny fantsonao, hampitombo ny enta-mavesatra amin'ny rafitra, hiafara amin'ny lisitra mainty ***** ny IP anao, ary hahazo fanararaotana avy amin'ny mpampiantrano ianao.

Tena mila an'ireo risika rehetra ireo ve ianao? Ampio ny tranonao sy ny toeram-piasanao amin'ny lisitra fotsy. Na dia mavitrika aza izany, midira amin'ny alΓ lan'ny tontonana admin hoster, amin'ny alΓ lan'ny console web, ary ampio iray hafa fotsiny.

Efa 15 taona aho no nanangana sy niaro ny fotodrafitrasa IT. Namolavola fitsipika iray izay arosoko mafy amin'ny rehetra aho - tsy misy seranan-tsambo tokony hipetaka amin'izao tontolo izao raha tsy misy lisitra fotsy.

Ohatra, ny mpizara tranonkala azo antoka indrindra*** dia ilay manokatra 80 sy 443 ho an'ny CDN/WAF ihany. Ary ny seranan-tsambo serivisy (ssh, netdata, bacula, phpmyadmin) dia tokony ho ao ambadiky ny lisitra fotsy, ary tsara kokoa ao ambadiky ny VPN. Raha tsy izany dia mety ho voafitaka ianao.

Izay ihany no tiako holazaina. Tazony hikatona ny seranan-tsambonao!

  • (1) UPD1: izany azonao atao ny manamarina ny tenimiafinao universal (aza manao izany raha tsy manolo izany tenimiafina izany amin'ny tenimiafina amin'ny serivisy rehetra), na niseho tao amin'ny angon-drakitra natambatra. Ary eto azonao jerena ny isan'ny tolotra voajirika, ny toerana nampidirana ny mailakao, ary, araka izany, dia fantaro raha voahitsakitsaka ny tenimiafinao manerantany.
  • (2) Ho an'ny crΓ©dit Amazon, LightSail dia manana scan kely. Toa sivanin'izy ireo izany.
  • (3) Ny mpizara tranonkala azo antoka kokoa dia ilay ao ambadiky ny firewall natokana, ny WAF azy manokana, fa miresaka momba ny VPS / Dedicated ho an'ny daholobe isika.
  • (4) Segmentsmak.
  • (5) Firehol.

Ireo mpampiasa voasoratra anarana ihany no afaka mandray anjara amin'ny fanadihadiana. HiditraPlease.

Mipoitra ve ny seranan-tsambonao?

  • foana
  • indraindray
  • na oviana na oviana
  • Tsy haiko ry zalahy

Mpampiasa 54 no nifidy. Mpampiasa 6 no nifady.

Source: www.habr.com