Ahojte, posledne 2 dni riesim na mojej VPSke problem pravdepodobne s brutoforce attackom a potreboval by som poradit. Ako web server mam nainstalovany nginx. Spozoroval som, ze moje stranky sa v priebehu min. 2 dni zacali strane pomaly nacitavat a tak som sa pustil do analyzy logov, z ktorej som zistil, ze sa pravdepodobne jedna o bruteforce utok na wordpress weby ktore hostujem. Kedze v oblasti spravy servera nie som profesional stretol som sa s tym prvykrat a hned som proti tomu podnikol kroky. Nainstaloval som preto fail2ban a nakonfiguroval pre fungovanie s nginxom. Z logov vidim, ze niekolko ip adries bolo zabanovanych avsak problem pretrvava a moj web server odpoveda na requesty strasne pomaly. Pamat VPSky je vytazena niekedy nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky mam podniknut na obrany pripadne analyzu skod? Dakujem
S pozdravom Tomáš
Aktualizace WP a sablon Vymazata nepouzivane doplnky a templaty Nepouzivat doplnky a templaty z pochybnych zdroju
***
Aktualizace OS a PHP
***
pro deb - apt-get update; aptitude full-upgrade pro cent a spol. - yum update
***
Z logu zjistit o ktera URL je podezrele vysoy zajem a hledat chybu tam nebo uz tam bezi nejake nezadouci procesy?
***
proscanovat WWW data pomoci https://www.rfxn.com/projects/linux-malware-detect/
***
Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):
Ahojte, posledne 2 dni riesim na mojej VPSke problem pravdepodobne s brutoforce attackom a potreboval by som poradit. Ako web server mam nainstalovany nginx. Spozoroval som, ze moje stranky sa v priebehu min. 2 dni zacali strane pomaly nacitavat a tak som sa pustil do analyzy logov, z ktorej som zistil, ze sa pravdepodobne jedna o bruteforce utok na wordpress weby ktore hostujem. Kedze v oblasti spravy servera nie som profesional stretol som sa s tym prvykrat a hned som proti tomu podnikol kroky. Nainstaloval som preto fail2ban a nakonfiguroval pre fungovanie s nginxom. Z logov vidim, ze niekolko ip adries bolo zabanovanych avsak problem pretrvava a moj web server odpoveda na requesty strasne pomaly. Pamat VPSky je vytazena niekedy nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky mam podniknut na obrany pripadne analyzu skod? Dakujem
Ahoj,
pokiaľ to šablóna a pluginy umožňujú, a budú pracovať korektne, tak vytvoriť .htaccess v wp-content, wp-includes s obsahom:
<FilesMatch ".(php)$"> deny from all allow from localhost </FilesMatch>
Neviem či to pomôže priamo v tom prípade, ale zabráni to spusteniu .php mimo localhost.
Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak používaš FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je dobré pozrieť aké súbory boli naposledy modifikované či vytvorené, v prípade napr. že by web spamoval, či bežal nejaký iný proces, kt. preťažuje vps.
pb.
On 03/29/2015 06:35 AM, Vaclav Dusek wrote:
Aktualizace WP a sablon Vymazata nepouzivane doplnky a templaty Nepouzivat doplnky a templaty z pochybnych zdroju
Aktualizace OS a PHP
pro deb - apt-get update; aptitude full-upgrade pro cent a spol. - yum update
Z logu zjistit o ktera URL je podezrele vysoy zajem a hledat chybu tam nebo uz tam bezi nejake nezadouci procesy?
proscanovat WWW data pomoci https://www.rfxn.com/projects/linux-malware-detect/
Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):
Ahojte, posledne 2 dni riesim na mojej VPSke problem pravdepodobne s brutoforce attackom a potreboval by som poradit. Ako web server mam nainstalovany nginx. Spozoroval som, ze moje stranky sa v priebehu min. 2 dni zacali strane pomaly nacitavat a tak som sa pustil do analyzy logov, z ktorej som zistil, ze sa pravdepodobne jedna o bruteforce utok na wordpress weby ktore hostujem. Kedze v oblasti spravy servera nie som profesional stretol som sa s tym prvykrat a hned som proti tomu podnikol kroky. Nainstaloval som preto fail2ban a nakonfiguroval pre fungovanie s nginxom. Z logov vidim, ze niekolko ip adries bolo zabanovanych avsak problem pretrvava a moj web server odpoveda na requesty strasne pomaly. Pamat VPSky je vytazena niekedy nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky mam podniknut na obrany pripadne analyzu skod? Dakujem
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo prezriem aj to ci tam nebol uploadnuty nejaky script.
Neviete mi pripadne poradit ako by som mohol zistit, ktora stranka vytazuje server najviac? To by ma vedelo naviest k problemu a kedze tych stranok mam viac ako dost je to prilis pracne prechadzat jednu za druhou...
On 29. Mar 2015, at 10:44, Peter Bubelíny neri@neridev.com wrote:
Ahoj,
pokiaľ to šablóna a pluginy umožňujú, a budú pracovať korektne, tak vytvoriť .htaccess v wp-content, wp-includes s obsahom:
<FilesMatch ".(php)$"> deny from all allow from localhost
</FilesMatch>
Neviem či to pomôže priamo v tom prípade, ale zabráni to spusteniu .php mimo localhost.
Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak používaš FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je dobré pozrieť aké súbory boli naposledy modifikované či vytvorené, v prípade napr. že by web spamoval, či bežal nejaký iný proces, kt. preťažuje vps.
pb.
On 03/29/2015 06:35 AM, Vaclav Dusek wrote:
Aktualizace WP a sablon Vymazata nepouzivane doplnky a templaty Nepouzivat doplnky a templaty z pochybnych zdroju
Aktualizace OS a PHP
pro deb - apt-get update; aptitude full-upgrade pro cent a spol. - yum update
Z logu zjistit o ktera URL je podezrele vysoy zajem a hledat chybu tam nebo uz tam bezi nejake nezadouci procesy?
proscanovat WWW data pomoci https://www.rfxn.com/projects/linux-malware-detect/
Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):
Ahojte, posledne 2 dni riesim na mojej VPSke problem pravdepodobne s brutoforce attackom a potreboval by som poradit. Ako web server mam nainstalovany nginx. Spozoroval som, ze moje stranky sa v priebehu min. 2 dni zacali strane pomaly nacitavat a tak som sa pustil do analyzy logov, z ktorej som zistil, ze sa pravdepodobne jedna o bruteforce utok na wordpress weby ktore hostujem. Kedze v oblasti spravy servera nie som profesional stretol som sa s tym prvykrat a hned som proti tomu podnikol kroky. Nainstaloval som preto fail2ban a nakonfiguroval pre fungovanie s nginxom. Z logov vidim, ze niekolko ip adries bolo zabanovanych avsak problem pretrvava a moj web server odpoveda na requesty strasne pomaly. Pamat VPSky je vytazena niekedy nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky mam podniknut na obrany pripadne analyzu skod? Dakujem
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards / Mit freundlichen Grüßen
[neri - Peter Bubelíny] [http://neridev.com] [GPG Key: http://neridev.com/peter.bubeliny.gpg]
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
S pozdravom, Ing. Tomáš Filčák +421 904 076 786
Skús htop
pb.
On 03/29/2015 02:42 PM, Tomáš Filčák wrote:
Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo prezriem aj to ci tam nebol uploadnuty nejaky script.
Neviete mi pripadne poradit ako by som mohol zistit, ktora stranka vytazuje server najviac? To by ma vedelo naviest k problemu a kedze tych stranok mam viac ako dost je to prilis pracne prechadzat jednu za druhou...
On 29. Mar 2015, at 10:44, Peter Bubelíny neri@neridev.com wrote:
Ahoj,
pokiaľ to šablóna a pluginy umožňujú, a budú pracovať korektne, tak vytvoriť .htaccess v wp-content, wp-includes s obsahom:
<FilesMatch ".(php)$"> deny from all allow from localhost
</FilesMatch>
Neviem či to pomôže priamo v tom prípade, ale zabráni to spusteniu .php mimo localhost.
Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak používaš FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je dobré pozrieť aké súbory boli naposledy modifikované či vytvorené, v prípade napr. že by web spamoval, či bežal nejaký iný proces, kt. preťažuje vps.
pb.
On 03/29/2015 06:35 AM, Vaclav Dusek wrote:
Aktualizace WP a sablon Vymazata nepouzivane doplnky a templaty Nepouzivat doplnky a templaty z pochybnych zdroju
Aktualizace OS a PHP
pro deb - apt-get update; aptitude full-upgrade pro cent a spol. - yum update
Z logu zjistit o ktera URL je podezrele vysoy zajem a hledat chybu tam nebo uz tam bezi nejake nezadouci procesy?
proscanovat WWW data pomoci https://www.rfxn.com/projects/linux-malware-detect/
Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):
Ahojte, posledne 2 dni riesim na mojej VPSke problem pravdepodobne s brutoforce attackom a potreboval by som poradit. Ako web server mam nainstalovany nginx. Spozoroval som, ze moje stranky sa v priebehu min. 2 dni zacali strane pomaly nacitavat a tak som sa pustil do analyzy logov, z ktorej som zistil, ze sa pravdepodobne jedna o bruteforce utok na wordpress weby ktore hostujem. Kedze v oblasti spravy servera nie som profesional stretol som sa s tym prvykrat a hned som proti tomu podnikol kroky. Nainstaloval som preto fail2ban a nakonfiguroval pre fungovanie s nginxom. Z logov vidim, ze niekolko ip adries bolo zabanovanych avsak problem pretrvava a moj web server odpoveda na requesty strasne pomaly. Pamat VPSky je vytazena niekedy nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky mam podniknut na obrany pripadne analyzu skod? Dakujem
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards / Mit freundlichen Grüßen
[neri - Peter Bubelíny] [http://neridev.com] [GPG Key: http://neridev.com/peter.bubeliny.gpg]
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
S pozdravom, Ing. Tomáš Filčák +421 904 076 786
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
apachetop - http://www.buben.piranhacz.cz/monitorovani-systemu-pomoci-apachetop/
Dne 29.3.2015 v 14:42 Tomáš Filčák napsal(a):
Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo prezriem aj to ci tam nebol uploadnuty nejaky script.
Neviete mi pripadne poradit ako by som mohol zistit, ktora stranka vytazuje server najviac? To by ma vedelo naviest k problemu a kedze tych stranok mam viac ako dost je to prilis pracne prechadzat jednu za druhou...
On 29. Mar 2015, at 10:44, Peter Bubelíny neri@neridev.com wrote:
Ahoj,
pokiaľ to šablóna a pluginy umožňujú, a budú pracovať korektne, tak vytvoriť .htaccess v wp-content, wp-includes s obsahom:
<FilesMatch ".(php)$"> deny from all allow from localhost
</FilesMatch>
Neviem či to pomôže priamo v tom prípade, ale zabráni to spusteniu .php mimo localhost.
Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak používaš FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je dobré pozrieť aké súbory boli naposledy modifikované či vytvorené, v prípade napr. že by web spamoval, či bežal nejaký iný proces, kt. preťažuje vps.
pb.
On 03/29/2015 06:35 AM, Vaclav Dusek wrote:
Aktualizace WP a sablon Vymazata nepouzivane doplnky a templaty Nepouzivat doplnky a templaty z pochybnych zdroju
Aktualizace OS a PHP
pro deb - apt-get update; aptitude full-upgrade pro cent a spol. - yum update
Z logu zjistit o ktera URL je podezrele vysoy zajem a hledat chybu tam nebo uz tam bezi nejake nezadouci procesy?
proscanovat WWW data pomoci https://www.rfxn.com/projects/linux-malware-detect/
Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):
Ahojte, posledne 2 dni riesim na mojej VPSke problem pravdepodobne s brutoforce attackom a potreboval by som poradit. Ako web server mam nainstalovany nginx. Spozoroval som, ze moje stranky sa v priebehu min. 2 dni zacali strane pomaly nacitavat a tak som sa pustil do analyzy logov, z ktorej som zistil, ze sa pravdepodobne jedna o bruteforce utok na wordpress weby ktore hostujem. Kedze v oblasti spravy servera nie som profesional stretol som sa s tym prvykrat a hned som proti tomu podnikol kroky. Nainstaloval som preto fail2ban a nakonfiguroval pre fungovanie s nginxom. Z logov vidim, ze niekolko ip adries bolo zabanovanych avsak problem pretrvava a moj web server odpoveda na requesty strasne pomaly. Pamat VPSky je vytazena niekedy nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky mam podniknut na obrany pripadne analyzu skod? Dakujem
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Peter Bubelíny -
Tomáš Filčák -
Vaclav Dusek