30 Mar
2015
30 Mar
'15
5:59 a.m.
Sprav si zmluvu o prevádzke... keď platí, staráš sa o web, aktualizácie,
atď. , riešenie problémov je v plnej miere na tebe. Keď neplatí nestaráš
sa o web, ani aktualizácie, v prípade problému nesie následky klient,
fakturuješ si zásah podľa hodín tak ako sa už zmluvne dohodneš s klientom.
Nechcem ťa strašiť, ale mám skúsenosť, že ak si mal prienik cez
Revslider, tak backdoors môžeš mať na X miestach vo WP, v samotnom
jadre, v šablóne... a tiež si útočníci mohli spraviť prístup aj do WP -
pozri či v DB nemáš nových users.
Útoky na weby sa môžu opakovať, treba byť pripravený.
pb.
On 03/30/2015 02:20 AM, Tomáš Filčák wrote:
Tak sa mi nakoniec podarilo prist na koren utoku.
Jedna sa o prienik do
modulu Revslider na niekolkych Wordpress instalaciach… Tento hack je uz
dlhsie znamy, skoda len ze som sa o tom dozvedel takto.
Problemom je vsak ako sa k danej situacii postavit voci klientom, ktory
si samozrejme za udrzbu a updaty modulov neplatia. Narusenie ich stranok
ma stalo nemalo usilia a zaroven to zhodilo v podstate vsetky stranky
ktore pod mojim web serverom bezia. Napada ma vytvorit pre kazdy takyto
hosting vlastny sandbox a tym padom napadnuta stranka by neovplyvnila
chod inych. Zaroven by klient bol nuteny poziadat o pomoc a ja by som
mohol pracu s hladanym chyby fakturovat. Takto je to narocna uloha a
neviem ako to riesit ani ci vobec nieco od klienta mam ziadat kedze
vypadok zapricinila jeho stranka.
Ako by ste sa k danemu problemu postavili vy? Dakujem za navrhy a
odporucania
S pozdravom,
Ing. Tomáš Filčák
+421 904 076 786
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
S pozdravom / Best regards / Mit freundlichen Grüßen
-----------------------------------------------------
[neri - Peter Bubelíny] [http://neridev.com]
[GPG Key: http://neridev.com/peter.bubeliny.gpg]
-----------------------------------------------------
On 29. Mar 2015, at 17:39, Pavel Snajdr
<snajpa(a)snajpa.net
<mailto:snajpa@snajpa.net>> wrote:
On 03/29/2015 05:22 PM, Petr Parolek wrote:
>> Ahoj,
>>
>> taky by mě zajímalo, jak se efektivně dají povolit pouze české IP
>> adres.
>>
Nijak, neexistuje aktualni seznam. GeoIP DB je zastarala. Z BGP se
vycist vsechno neda. Btw, doufam, ze to nikoho nenapadne cpat do
iptables pravidlo po pravidlo, zpomali to totiz pruchod kazdeho paketu.
/snajpa
>
> Petr Parolek
>
> Dne 29. března 2015 17:18 Ondřej Beránek <rainbof(a)gmail.com
> <mailto:rainbof@gmail.com>
> <mailto:rainbof@gmail.com>> napsal(a):
>
> K tem českým ip, jak toho dosahnes? Geoip nebo máš nějaký seznam
> range?
>
> Ondřej Beránek Původní zpráva Od: Jiří V. Odesláno: neděle, 29.
> března 2015 17:14 Komu: vpsFree.cz Community list Odpovědět:
> vpsFree.cz Community list Předmět: Re: [vpsFree.cz: community-list]
> brutoforce attack
>
> Ahoj, jestli tam máš nejaký mobilní kód zjistíš nejlépe pomocí
> netstat -a. Potom pokud nemáš nastav iptables jak na input, tak
> output, povol jen to co opravdu potřebuješ. Také se podívej na
> datum vytvoření souborů. Osobně se proti brute force chráním tak že
> po dobu útoku povolim připojování pouze z českých ip.
>
> s pozdravem Jiří V.
>
> Vaclav Dusek <Vaclav.Dusek(a)cz-pro.cz <mailto:Vaclav.Dusek@cz-pro.cz>
> <mailto:Vaclav.Dusek@cz-pro.cz>>napsal/a:
>
>> apachetop -
>> http://www.buben.piranhacz.cz/monitorovani-systemu-pomoci-apachetop/
>
>>
>
>> Dne 29.3.2015 v 14:42 Tomáš Filčák napsal(a):
>>> Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo
>>> prezriem
> aj to ci tam nebol uploadnuty nejaky script.
>>>
>>> Neviete mi pripadne poradit ako by som mohol zistit, ktora
> stranka vytazuje server najviac? To by ma vedelo naviest k
> problemu a kedze tych stranok mam viac ako dost je to prilis
> pracne prechadzat jednu za druhou...
>>>
>>>
>>>> On 29. Mar 2015, at 10:44, Peter Bubelíny <neri(a)neridev.com
>>>> <mailto:neri@neridev.com>
> <mailto:neri@neridev.com>> wrote:
>>>>
>>>> Ahoj,
>>>>
>>>> pokiaľ to šablóna a pluginy umožňujú, a budú pracovať
>>>> korektne, tak vytvoriť .htaccess v wp-content, wp-includes s
>>>> obsahom:
>>>>
>>>> <FilesMatch "\.(php)$"> deny from all allow from
localhost
>>>> </FilesMatch>
>>>>
>>>> Neviem či to pomôže priamo v tom prípade, ale zabráni to
> spusteniu .php
>>>> mimo localhost.
>>>>
>>>> Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak
> používaš
>>>> FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je
>>>> dobré
> pozrieť
>>>> aké súbory boli naposledy modifikované či vytvorené, v
>>>> prípade
> napr. že
>>>> by web spamoval, či bežal nejaký iný proces, kt. preťažuje
>>>> vps.
>>>>
>>>> pb.
>>>>
>>>>
>>>> On 03/29/2015 06:35 AM, Vaclav Dusek wrote:
>>>>> Aktualizace WP a sablon Vymazata nepouzivane doplnky a
>>>>> templaty Nepouzivat doplnky a templaty z pochybnych zdroju
>>>>>
>>>>> ***
>>>>>
>>>>> Aktualizace OS a PHP
>>>>>
>>>>> ***
>>>>>
>>>>> pro deb - apt-get update; aptitude full-upgrade pro cent a
>>>>> spol. - yum update
>>>>>
>>>>> ***
>>>>>
>>>>> Z logu zjistit o ktera URL je podezrele vysoy zajem a
>>>>> hledat
> chybu tam
>>>>> nebo uz tam bezi nejake nezadouci procesy?
>>>>>
>>>>> ***
>>>>>
>>>>> proscanovat WWW data pomoci
>>>>> https://www.rfxn.com/projects/linux-malware-detect/
>>>>>
>>>>> ***
>>>>>
>>>>> Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):
>>>>>> Ahojte, posledne 2 dni riesim na mojej VPSke problem
>>>>>> pravdepodobne s brutoforce attackom a potreboval by som
>>>>>> poradit. Ako web
> server mam
>>>>>> nainstalovany nginx. Spozoroval som, ze moje stranky sa v
>>>>>> priebehu min. 2 dni zacali strane pomaly nacitavat a tak
>>>>>> som sa pustil do analyzy logov, z ktorej som zistil, ze
>>>>>> sa pravdepodobne jedna o bruteforce utok na wordpress
>>>>>> weby ktore hostujem. Kedze v oblasti spravy servera nie
>>>>>> som profesional stretol som sa s tym prvykrat a hned som
>>>>>> proti tomu podnikol kroky. Nainstaloval som preto
> fail2ban a
>>>>>> nakonfiguroval pre fungovanie s nginxom. Z logov vidim,
>>>>>> ze
> niekolko ip
>>>>>> adries bolo zabanovanych avsak problem pretrvava a moj
>>>>>> web server odpoveda na requesty strasne pomaly. Pamat
>>>>>> VPSky je vytazena
> niekedy
>>>>>> nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky
>>>>>> mam
> podniknut
>>>>>> na obrany pripadne analyzu skod? Dakujem
>>>>> _______________________________________________
>>>>> Community-list mailing list
>>>>> Community-list(a)lists.vpsfree.cz
>>>>> <mailto:Community-list@lists.vpsfree.cz>
> <mailto:Community-list@lists.vpsfree.cz>
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>>
>> _______________________________________________ Community-list
>> mailing list Community-list(a)lists.vpsfree.cz
>> <mailto:Community-list@lists.vpsfree.cz>
> <mailto:Community-list@lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________ Community-list
> mailing list Community-list(a)lists.vpsfree.cz
> <mailto:Community-list@lists.vpsfree.cz>
> <mailto:Community-list@lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________ Community-list
> mailing list Community-list(a)lists.vpsfree.cz
> <mailto:Community-list@lists.vpsfree.cz>
> <mailto:Community-list@lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
>
> _______________________________________________ Community-list
> mailing list Community-list(a)lists.vpsfree.cz
> <mailto:Community-list@lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list