Скрипт логов посещения сервера

Discussion in 'Для Администратора' started by оlbaneс, 3 Sep 2020.

  1. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,375
    Likes Received:
    1,093
    Reputations:
    356
    Всем привет. Подскажите в какую сторону смотреть и может даже переформулировать вопрос.
    Я арендую vрs в ру хостинге. На сервере крутится сайт. К хостингу имею доступ я и разработчик который занимается сайтом ( у него ограниченые права к хостингу и полные к сайту).

    Я параноик и меня волнует момент взлома и его последствий. Вот как пример что может быть https://forum.antichat.ru/threads/478642/ и когда все это исправится неизвестно.
    Да, я знаю про бекапы и делаю, но! Я сильно параною, что может взломать и нормальный пацан, который не будет пороть горячку и подождет пару месяцев, когда на сайте будут обновы и в каком по возрасту бекапе не будет шела или типа того невозможно будет узнать.

    Так вот, наверняка есть такие же параноики и они уже что то сделали для этого.
    1) Что именно они сделали? Накидайте ссылок, пожалуйста или своими словами, плиз
    2) Я вижу вариант скрипта который прячется где-то в недрах сайта и этот скрипт логгирует кто и когда зашел на сервер, в идеале, что делал/менял на сервер и слал логи (допустим на мыло) в случае события захода на сервер, действий на сервере.

    Просветите, пожалуйста.
     
    _________________________
    #1 оlbaneс, 3 Sep 2020
    Last edited: 3 Sep 2020
  2. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Для среднестатического сайта на VPS, комплект в виде CloudFlare + ModSecurity + Fail2ban + syslog-ng вполне достаточен, при условии их грамотной настройки и вообще, системы в целом. А логировать можно всё, но зачастую смысла в этом нет. Протроянят разработчика, в логах будет заход от его имени, всего-то. Многие эксплоиты вообще не требуют взаимодействия с файловой системой, так что тоже мимо.

    Безопасность это комплексный подход. Для начал нужно определиться с моделями угроз, исходя из инфраструктуры защищаемого объекта. К примеру, модель атакующего, будет это кулхацкер, трухацкер или подкупленный сотрудник дата-центра. То есть, нужно определить модель угроз, которых великое множество и этим, как правило, должен заниматься отдельный человек. Далее, исходя из модели, выстраивать защиту. В случае кулхацкера хватит WAF, для трухацкеров нужны SIEM и подобные штуки, а от уборщицы с вредоносной флешкой в дата-центре вряд ли что-то убережёт. Однако, при всём этом, можно обнаружить одну тенденцию, это удорожание атаки, так и защиты. Советую почитать https://bo0om.ru/ib-eto-prosto
    В общем, серебрянной пули нет, против лома зиродея нет приёма. Нормально настроенный сервер, вовремя обновлённый софт и регулярные сторонние аудиты безопасности, это необходимый минимум, который позволит спать спокойно :)
     
    #2 crlf, 3 Sep 2020
    Last edited: 3 Sep 2020
    fandor9, Spinus and erwerr2321 like this.
  3. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,375
    Likes Received:
    1,093
    Reputations:
    356
    Теорию то я нормально знаю, она параною и кормит. Как вот это все на практике применить? Я вопрос задаю не от тупости, а от бедности.
     
    _________________________
  4. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Для начала внедрить и настроить вот эти штуки, каждая из них может быть заменена на своё усмотрение. Кому-то нравится CloudFlare, кому-то QRator, а кто-то предпочитает Airlock. ModSecurity или что-то иное, для более тонкой подстройки под свой проект. Fail2ban настраивается исходя из сервисов крутящихся на сервере, очень гибко, включая тот же модсек и по скану портов можно банить. В качестве системы слежки за логами и оповещением, может выступать любой софт, syslog-ng как пример, удобен для сбороа логов с многих хостов. И по триггерам рассылать на почту, смс и т.п.
     
    оlbaneс likes this.
  5. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    630
    Likes Received:
    1,050
    Reputations:
    47
    Ну раз накидать можно, то:
    • Можно поставить систему обнаружения изменений системы (HIDS) что-то вроде триппера TripWire или OSSEC или
    • WAZUH уже даже больше чем просто HIDS, но и требует вторую систему, на которую шлются логи/сообщения. А на самой системе устанавливается "только" агент, который всё это собирает и шлёт найух туда
    • Ну и если параноя уже совсем зашкаливает, то ставить систему мониторинга вроде SecurityOnion
    Но как уже было написано, это надо понимать что делается и зачем. Система обнаружения изменений системы не "увидит" скулю и исполнение комманды (RCE), но заметити шел. ModSecurity (в большинстве случаев) увидит скулю и RCE, но потом скорее всего ему будет пох что за комманды исполняются локально. Но всё требует грамотной настойки и много времени и понимания.
     
    crlf and Spinus like this.
  6. Viper99

    Viper99 New Member

    Joined:
    4 Aug 2020
    Messages:
    8
    Likes Received:
    3
    Reputations:
    0
    Если нет доверия к веб мастеру - лучше замените. А насчет рядовых взломов - посмотрите как это делается, попробуйте. Это ведь делается парой скриптов, в полностью автоматическом режиме. Потом настройте автообновление движка и плагинов, чтобы закрыть уязвимости. По крону настройте сканирование сайта айболитом, с отправкой отчета на мыло, и не используйте простые пароли. Это все очень просто, и очень действенно.

    ps выше тоже дельные советы