Всем привет. Подскажите в какую сторону смотреть и может даже переформулировать вопрос. Я арендую vрs в ру хостинге. На сервере крутится сайт. К хостингу имею доступ я и разработчик который занимается сайтом ( у него ограниченые права к хостингу и полные к сайту). Я параноик и меня волнует момент взлома и его последствий. Вот как пример что может быть https://forum.antichat.ru/threads/478642/ и когда все это исправится неизвестно. Да, я знаю про бекапы и делаю, но! Я сильно параною, что может взломать и нормальный пацан, который не будет пороть горячку и подождет пару месяцев, когда на сайте будут обновы и в каком по возрасту бекапе не будет шела или типа того невозможно будет узнать. Так вот, наверняка есть такие же параноики и они уже что то сделали для этого. 1) Что именно они сделали? Накидайте ссылок, пожалуйста или своими словами, плиз 2) Я вижу вариант скрипта который прячется где-то в недрах сайта и этот скрипт логгирует кто и когда зашел на сервер, в идеале, что делал/менял на сервер и слал логи (допустим на мыло) в случае события захода на сервер, действий на сервере. Просветите, пожалуйста.
Для среднестатического сайта на VPS, комплект в виде CloudFlare + ModSecurity + Fail2ban + syslog-ng вполне достаточен, при условии их грамотной настройки и вообще, системы в целом. А логировать можно всё, но зачастую смысла в этом нет. Протроянят разработчика, в логах будет заход от его имени, всего-то. Многие эксплоиты вообще не требуют взаимодействия с файловой системой, так что тоже мимо. Безопасность это комплексный подход. Для начал нужно определиться с моделями угроз, исходя из инфраструктуры защищаемого объекта. К примеру, модель атакующего, будет это кулхацкер, трухацкер или подкупленный сотрудник дата-центра. То есть, нужно определить модель угроз, которых великое множество и этим, как правило, должен заниматься отдельный человек. Далее, исходя из модели, выстраивать защиту. В случае кулхацкера хватит WAF, для трухацкеров нужны SIEM и подобные штуки, а от уборщицы с вредоносной флешкой в дата-центре вряд ли что-то убережёт. Однако, при всём этом, можно обнаружить одну тенденцию, это удорожание атаки, так и защиты. Советую почитать https://bo0om.ru/ib-eto-prosto В общем, серебрянной пули нет, против лома зиродея нет приёма. Нормально настроенный сервер, вовремя обновлённый софт и регулярные сторонние аудиты безопасности, это необходимый минимум, который позволит спать спокойно
Теорию то я нормально знаю, она параною и кормит. Как вот это все на практике применить? Я вопрос задаю не от тупости, а от бедности.
Для начала внедрить и настроить вот эти штуки, каждая из них может быть заменена на своё усмотрение. Кому-то нравится CloudFlare, кому-то QRator, а кто-то предпочитает Airlock. ModSecurity или что-то иное, для более тонкой подстройки под свой проект. Fail2ban настраивается исходя из сервисов крутящихся на сервере, очень гибко, включая тот же модсек и по скану портов можно банить. В качестве системы слежки за логами и оповещением, может выступать любой софт, syslog-ng как пример, удобен для сбороа логов с многих хостов. И по триггерам рассылать на почту, смс и т.п.
Ну раз накидать можно, то: Можно поставить систему обнаружения изменений системы (HIDS) что-то вроде триппера TripWire или OSSEC или WAZUH уже даже больше чем просто HIDS, но и требует вторую систему, на которую шлются логи/сообщения. А на самой системе устанавливается "только" агент, который всё это собирает и шлёт найух туда Ну и если параноя уже совсем зашкаливает, то ставить систему мониторинга вроде SecurityOnion Но как уже было написано, это надо понимать что делается и зачем. Система обнаружения изменений системы не "увидит" скулю и исполнение комманды (RCE), но заметити шел. ModSecurity (в большинстве случаев) увидит скулю и RCE, но потом скорее всего ему будет пох что за комманды исполняются локально. Но всё требует грамотной настойки и много времени и понимания.
Если нет доверия к веб мастеру - лучше замените. А насчет рядовых взломов - посмотрите как это делается, попробуйте. Это ведь делается парой скриптов, в полностью автоматическом режиме. Потом настройте автообновление движка и плагинов, чтобы закрыть уязвимости. По крону настройте сканирование сайта айболитом, с отправкой отчета на мыло, и не используйте простые пароли. Это все очень просто, и очень действенно. ps выше тоже дельные советы
