Sprav si zmluvu o prevádzke... keď platí, staráš sa o web, aktualizácie, atď. , riešenie problémov je v plnej miere na tebe. Keď neplatí nestaráš sa o web, ani aktualizácie, v prípade problému nesie následky klient, fakturuješ si zásah podľa hodín tak ako sa už zmluvne dohodneš s klientom.
Nechcem ťa strašiť, ale mám skúsenosť, že ak si mal prienik cez Revslider, tak backdoors môžeš mať na X miestach vo WP, v samotnom jadre, v šablóne... a tiež si útočníci mohli spraviť prístup aj do WP - pozri či v DB nemáš nových users. Útoky na weby sa môžu opakovať, treba byť pripravený.
pb.
On 03/30/2015 02:20 AM, Tomáš Filčák wrote:
Tak sa mi nakoniec podarilo prist na koren utoku. Jedna sa o prienik do modulu Revslider na niekolkych Wordpress instalaciach… Tento hack je uz dlhsie znamy, skoda len ze som sa o tom dozvedel takto.
Problemom je vsak ako sa k danej situacii postavit voci klientom, ktory si samozrejme za udrzbu a updaty modulov neplatia. Narusenie ich stranok ma stalo nemalo usilia a zaroven to zhodilo v podstate vsetky stranky ktore pod mojim web serverom bezia. Napada ma vytvorit pre kazdy takyto hosting vlastny sandbox a tym padom napadnuta stranka by neovplyvnila chod inych. Zaroven by klient bol nuteny poziadat o pomoc a ja by som mohol pracu s hladanym chyby fakturovat. Takto je to narocna uloha a neviem ako to riesit ani ci vobec nieco od klienta mam ziadat kedze vypadok zapricinila jeho stranka.
Ako by ste sa k danemu problemu postavili vy? Dakujem za navrhy a odporucania
On 29. Mar 2015, at 17:39, Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> wrote:
On 03/29/2015 05:22 PM, Petr Parolek wrote:
Ahoj,
taky by mě zajímalo, jak se efektivně dají povolit pouze české IP adres.
Nijak, neexistuje aktualni seznam. GeoIP DB je zastarala. Z BGP se vycist vsechno neda. Btw, doufam, ze to nikoho nenapadne cpat do iptables pravidlo po pravidlo, zpomali to totiz pruchod kazdeho paketu.
/snajpa
Petr Parolek
Dne 29. března 2015 17:18 Ondřej Beránek <rainbof@gmail.com mailto:rainbof@gmail.com mailto:rainbof@gmail.com> napsal(a):
K tem českým ip, jak toho dosahnes? Geoip nebo máš nějaký seznam range?
Ondřej Beránek Původní zpráva Od: Jiří V. Odesláno: neděle, 29. března 2015 17:14 Komu: vpsFree.cz Community list Odpovědět: vpsFree.cz Community list Předmět: Re: [vpsFree.cz: community-list] brutoforce attack
Ahoj, jestli tam máš nejaký mobilní kód zjistíš nejlépe pomocí netstat -a. Potom pokud nemáš nastav iptables jak na input, tak output, povol jen to co opravdu potřebuješ. Také se podívej na datum vytvoření souborů. Osobně se proti brute force chráním tak že po dobu útoku povolim připojování pouze z českých ip.
s pozdravem Jiří V.
Vaclav Dusek <Vaclav.Dusek@cz-pro.cz mailto:Vaclav.Dusek@cz-pro.cz mailto:Vaclav.Dusek@cz-pro.cz>napsal/a:
apachetop - http://www.buben.piranhacz.cz/monitorovani-systemu-pomoci-apachetop/
Dne 29.3.2015 v 14:42 Tomáš Filčák napsal(a):
Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo prezriem
aj to ci tam nebol uploadnuty nejaky script.
Neviete mi pripadne poradit ako by som mohol zistit, ktora
stranka vytazuje server najviac? To by ma vedelo naviest k problemu a kedze tych stranok mam viac ako dost je to prilis pracne prechadzat jednu za druhou...
> On 29. Mar 2015, at 10:44, Peter Bubelíny <neri@neridev.com > mailto:neri@neridev.com
mailto:neri@neridev.com> wrote:
> > Ahoj, > > pokiaľ to šablóna a pluginy umožňujú, a budú pracovať > korektne, tak vytvoriť .htaccess v wp-content, wp-includes s > obsahom: > > <FilesMatch ".(php)$"> deny from all allow from localhost > </FilesMatch> > > Neviem či to pomôže priamo v tom prípade, ale zabráni to
spusteniu .php
> mimo localhost. > > Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak
používaš
> FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je > dobré
pozrieť
> aké súbory boli naposledy modifikované či vytvorené, v > prípade
napr. že
> by web spamoval, či bežal nejaký iný proces, kt. preťažuje > vps. > > pb. > > > On 03/29/2015 06:35 AM, Vaclav Dusek wrote: >> Aktualizace WP a sablon Vymazata nepouzivane doplnky a >> templaty Nepouzivat doplnky a templaty z pochybnych zdroju >> >> *** >> >> Aktualizace OS a PHP >> >> *** >> >> pro deb - apt-get update; aptitude full-upgrade pro cent a >> spol. - yum update >> >> *** >> >> Z logu zjistit o ktera URL je podezrele vysoy zajem a >> hledat
chybu tam
>> nebo uz tam bezi nejake nezadouci procesy? >> >> *** >> >> proscanovat WWW data pomoci >> https://www.rfxn.com/projects/linux-malware-detect/ >> >> *** >> >> Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a): >>> Ahojte, posledne 2 dni riesim na mojej VPSke problem >>> pravdepodobne s brutoforce attackom a potreboval by som >>> poradit. Ako web
server mam
>>> nainstalovany nginx. Spozoroval som, ze moje stranky sa v >>> priebehu min. 2 dni zacali strane pomaly nacitavat a tak >>> som sa pustil do analyzy logov, z ktorej som zistil, ze >>> sa pravdepodobne jedna o bruteforce utok na wordpress >>> weby ktore hostujem. Kedze v oblasti spravy servera nie >>> som profesional stretol som sa s tym prvykrat a hned som >>> proti tomu podnikol kroky. Nainstaloval som preto
fail2ban a
>>> nakonfiguroval pre fungovanie s nginxom. Z logov vidim, >>> ze
niekolko ip
>>> adries bolo zabanovanych avsak problem pretrvava a moj >>> web server odpoveda na requesty strasne pomaly. Pamat >>> VPSky je vytazena
niekedy
>>> nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky >>> mam
podniknut
>>> na obrany pripadne analyzu skod? Dakujem >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz >> mailto:Community-list@lists.vpsfree.cz
mailto:Community-list@lists.vpsfree.cz
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz
mailto:Community-list@lists.vpsfree.cz
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
S pozdravom, Ing. Tomáš Filčák +421 904 076 786
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list