بار بار، هڪ آڊٽ ڪرڻ کان پوء، منهنجي سفارشن جي جواب ۾ بندرگاهن کي سفيد لسٽ جي پويان لڪائڻ لاء، مون کي غلط فهمي جي ڀت سان ملي آهي. ايستائين جو تمام ٿڌو منتظمين / DevOps پڇن ٿا: "ڇو؟!؟"
مان تجويز ڪريان ٿو خطرن تي غور ڪرڻ جي نزديڪ ترتيب جي امڪاني ۽ نقصان جي.
- ٺاھ جوڙ جي غلطي
- IP تي DDoS
- وحشي قوت
- خدمت جي ڪمزورين
- ڪنيل اسٽيڪ جي ڪمزورين
- DDoS حملن کي وڌايو
ٺاھ جوڙ جي غلطي
سڀ کان وڌيڪ عام ۽ خطرناڪ صورتحال. اهو ڪيئن ٿئي ٿو. ڊولپر کي ضرورت آهي تڪڙي مفروضي کي جانچڻ؛ هو هڪ عارضي سرور قائم ڪري ٿو mysql/redis/mongodb/elastic سان. پاسورڊ، يقينا، پيچيده آهي، هو ان کي هر جڳهه استعمال ڪري ٿو. اهو دنيا لاءِ خدمت کولي ٿو - اهو هن لاءِ آسان آهي ته هو پنهنجي پي سي کان ڳنڍڻ کان سواءِ توهان جي انهن وي پي اين جي. ۽ مان iptables نحو کي ياد ڪرڻ ۾ تمام سست آهيان؛ سرور بهرحال عارضي آهي. ترقي جا ٻه وڌيڪ ڏينهن - اهو وڏو ٿيو، اسان ان کي ڪسٽمر کي ڏيکاري سگهون ٿا. گراهڪ ان کي پسند ڪري ٿو، ان کي ٻيهر ڪرڻ جو ڪو وقت ناهي، اسان ان کي شروع ڪيو PROD ۾!
ھڪڙو مثال عمدي طور تي مبالغو ڪيو ويو آھي سڀني ريڪ ذريعي وڃڻ لاء:
- عارضي کان وڌيڪ مستقل ڪا به شيءِ نه آهي - مون کي اهو جملو پسند ناهي، پر جذباتي احساسن جي مطابق، 20-40٪ اهڙي عارضي سرورز ڊگهي وقت تائين رهي ٿو.
- ھڪڙو پيچيده عالمگير پاسورڊ جيڪو ڪيترن ئي خدمتن ۾ استعمال ڪيو ويندو آھي برائي آھي. ڇاڪاڻ ته انهن خدمتن مان هڪ جتي هي پاسورڊ استعمال ڪيو ويو هو هيڪ ٿي سگهي ٿو. هڪ طريقو يا ٻيو، هيڪ ڪيل خدمتن جا ڊيٽابيس هڪ ۾ گڏ ٿين ٿا، جيڪو [بروٽ فورس]* لاءِ استعمال ٿئي ٿو.
اهو شامل ڪرڻ جي قابل آهي ته انسٽاليشن کان پوء، redis، mongodb ۽ لچڪدار عام طور تي بغير تصديق جي دستياب آهن، ۽ اڪثر ڪري ڀريل هوندا آهن. . - اهو لڳي سگھي ٿو ته ڪو به توهان جي 3306 بندرگاهن کي ڪجهه ڏينهن ۾ اسڪين نه ڪندو. اهو هڪ فريب آهي! Masscan هڪ بهترين اسڪينر آهي ۽ 10M بندرگاهن في سيڪنڊ تي اسڪين ڪري سگهي ٿو. ۽ انٽرنيٽ تي صرف 4 بلين IPv4 آهن. ان مطابق، انٽرنيٽ تي سڀ 3306 بندرگاهن 7 منٽن ۾ واقع آهن. چارلس!!! ست منٽ!
"ڪنهن کي هن جي ضرورت آهي؟" - توهان اعتراض ڪيو. تنهن ڪري آئون حيران ٿي ويس جڏهن آئون گراهڪ پيڪيجز جا انگ اکر ڏسان ٿو. روزاني 40 هزار منفرد IPs مان 3 هزار اسڪين ڪوششون ڪٿان اچن ٿيون؟ هاڻي هرڪو اسڪين ڪري رهيو آهي، ماء جي هيڪرز کان حڪومتن تائين. اهو چيڪ ڪرڻ تمام آسان آهي - ڪنهن به ** گھٽ قيمت واري ايئر لائن کان $3-5 لاءِ ڪا به VPS وٺو، ڊاپ ٿيل پيڪيجز جي لاگنگ کي فعال ڪريو ۽ هڪ ڏينهن ۾ لاگ ان کي ڏسو.
لاگنگ کي چالو ڪرڻ
/etc/iptables/rules.v4 ۾ آخر ۾ شامل ڪريو:
-A INPUT -j LOG --log-prefix "[FW - ALL]" --log-level 4
۽ /etc/rsyslog.d/10-iptables.conf ۾
:msg، مشتمل آهي،"[FW -"/var/log/iptables.log
۽ روڪيو
IP تي DDoS
جيڪڏهن هڪ حملو ڪندڙ توهان جي IP کي ڄاڻي ٿو، هو ڪيترن ئي ڪلاڪن يا ڏينهن تائين توهان جي سرور کي اغوا ڪري سگهي ٿو. تمام گھٽ قيمت ھوسٽنگ فراهم ڪندڙن وٽ DDoS تحفظ نه آھي ۽ توھان جو سرور صرف نيٽ ورڪ کان ڌار ٿي ويندو. جيڪڏهن توهان پنهنجي سرور کي CDN جي پويان لڪائي ڇڏيو آهي، IP کي تبديل ڪرڻ نه وساريو، ٻي صورت ۾ هڪ هيڪر ان کي گوگل ڪندو ۽ ڊي ڊي ايس توهان جي سرور کي CDN (هڪ تمام مشهور غلطي) کان پاسو ڪندي.
خدمت جي ڪمزورين
تمام مشهور سافٽ ويئر جلد يا بعد ۾ غلطيون ڳولي ٿو، جيتوڻيڪ سڀ کان وڌيڪ آزمائشي ۽ نازڪ. IB ماهرن جي وچ ۾، ھڪڙو اڌ مذاق آھي - انفراسٹرڪچر جي سيڪيورٽي کي محفوظ طور تي آخري تازه ڪاري جي وقت جو اندازو لڳائي سگھجي ٿو. جيڪڏهن توهان جو انفراسٽرڪچر دنيا ۾ موجود بندرگاهن سان مالا مال آهي، ۽ توهان ان کي هڪ سال تائين اپڊيٽ نه ڪيو آهي، ته پوءِ ڪو به سيڪيورٽي ماهر توهان کي ٻڌائيندو ته توهان ليڪي آهيو، ۽ گهڻو ڪري اڳ ۾ ئي هيڪ ڪيو ويو آهي.
اهو پڻ قابل ذڪر آهي ته سڀ ڄاتل سڃاتل خطرات هڪ ڀيرو اڻڄاتل هئا. تصور ڪريو هڪ هيڪر جو جنهن اهڙي ڪمزوري ڏٺي ۽ 7 منٽن ۾ پوري انٽرنيٽ کي اسڪين ڪري ان جي موجودگيءَ لاءِ... هتي هڪ نئين وائرس جي وبا آهي) اسان کي تازه ڪاري ڪرڻ جي ضرورت آهي، پر اهو پروڊڪٽ کي نقصان پهچائي سگهي ٿو، توهان چئو. ۽ توهان صحيح هوندا جيڪڏهن پيڪيجز سرڪاري OS مخزنن مان نصب نه ڪيا ويا آهن. تجربي مان، سرڪاري مخزن مان تازه ڪاريون ڪڏهن ڪڏهن پيداوار کي ٽوڙيندا آهن.
وحشي قوت
جيئن مٿي بيان ڪيو ويو آهي، اتي هڪ ڊيٽابيس آهي جنهن ۾ اڌ ارب پاسورڊ آهن جيڪي ڪيبورڊ مان ٽائپ ڪرڻ لاء آسان آهن. ٻين لفظن ۾، جيڪڏهن توهان پاسورڊ پيدا نه ڪيو آهي، پر ڪيبورڊ تي ويجهن نشانين کي ٽائيپ ڪيو، باقي يقين رکو* ته توهان کي ڦريو ويندو.
ڪرنل اسٽيڪ جي ڪمزورين.
اهو پڻ ٿئي ٿو **** ته اهو به فرق نٿو پوي ته ڪهڙي خدمت بندرگاهه کي کوليندي آهي، جڏهن ڪنيل نيٽ ورڪ اسٽيڪ پاڻ کي خطرناڪ آهي. اهو آهي، مڪمل طور تي ڪنهن به tcp/udp ساکٽ ٻن سالن جي سسٽم تي حساس آهي DDoS جي ڪري خطري جي ڪري.
DDoS حملن کي وڌايو
اهو ڪو به سڌو نقصان نه پهچائيندو، پر اهو توهان جي چينل کي بند ڪري سگهي ٿو، سسٽم تي لوڊ وڌائيندو، توهان جي IP ڪجهه بليڪ لسٽ تي ختم ٿي ويندي *****، ۽ توهان کي ميزبان کان بدسلوڪي ملندي.
ڇا توهان واقعي انهن سڀني خطرن جي ضرورت آهي؟ پنھنجي گھر ۽ ڪم جي IP کي وائيٽ لسٽ ۾ شامل ڪريو. جيتوڻيڪ اهو متحرڪ آهي، ميزبان جي منتظم پينل ذريعي، ويب ڪنسول ذريعي، ۽ صرف هڪ ٻيو شامل ڪريو.
مان 15 سالن کان آئي ٽي انفراسٽرڪچر جي تعمير ۽ حفاظت ڪري رهيو آهيان. مون ھڪڙو قاعدو ٺاھيو آھي جيڪو مان سڀني کي سختي سان سفارش ڪريان ٿو - ڪنهن به بندرگاهه کي سفيد لسٽ کان سواءِ دنيا ۾ نه اچڻ گهرجي.
مثال طور، سڀ کان وڌيڪ محفوظ ويب سرور *** اهو آهي جيڪو 80 ۽ 443 صرف CDN/WAF لاءِ کولي ٿو. ۽ سروس بندرگاهن (ssh، netdata، bacula، phpmyadmin) گهٽ ۾ گهٽ سفيد لسٽ جي پويان هجڻ گهرجي، ۽ وي پي اين جي پويان به بهتر. ٻي صورت ۾، توهان کي سمجهي وڃڻ جو خطرو آهي.
اهو سڀ ڪجهه چوڻ چاهيان ٿو. پنهنجي بندرگاهن کي بند رکو!
- (1) يوپي ڊي 1: توهان چيڪ ڪري سگهو ٿا پنهنجو بهترين يونيورسل پاسورڊ (هي پاس ورڊ تبديل ڪرڻ کان سواءِ نه ڪريو سڀني خدمتن ۾ بي ترتيب سان)، ڇا اهو ضم ٿيل ڊيٽابيس ۾ ظاهر ٿيو. توهان ڏسي سگهو ٿا ته ڪيتريون خدمتون هيڪ ڪيون ويون آهن، جتي توهان جي اي ميل شامل هئي، ۽، مطابق، اهو معلوم ڪريو ته ڇا توهان جي شاندار يونيورسل پاسورڊ سان ٺاهه ڪيو ويو آهي.
- (2) Amazon جي ڪريڊٽ ڏانهن، LightSail وٽ گهٽ ۾ گهٽ اسڪين آهن. ظاهر آهي ته اهي ان کي ڪنهن به طرح فلٽر ڪن ٿا.
- (3) هڪ اڃا به وڌيڪ محفوظ ويب سرور آهي جيڪو هڪ وقف فائر وال جي پويان آهي، ان جي پنهنجي WAF، پر اسان ڳالهائي رهيا آهيون عوامي VPS / وقف بابت.
- (4) ڀاڱو ماڪ.
- (5) فائر هول.
صرف رجسٽرڊ استعمال ڪندڙ سروي ۾ حصو وٺي سگهن ٿا. ، توهان جي مهرباني.
ڇا توهان جا بندرگاهن ٻاهر نڪرندا آهن؟
-
هميشه
-
ڪڏهن ڪڏهن
-
ڪڏهن نه
-
مون کي خبر ناهي، ڀاڙي
54 صارفين ووٽ ڏنو. 6 استعمال ڪندڙن کي روڪيو ويو.
جو ذريعو: www.habr.com