Gość adamszendzielorz Zgłoś post Napisano Luty 11, 2006 Z tego co widzialem to mialem na serwerze uruchomione cos dziwnego a dokladnie w topie mi pokazywalo ze procesy perla zajmuja niesamowicie duzo procesora i pamieci uruchomione to bylo z uzytkownika www-data (czyli apache) Skrypty DoS, uruchomione poprzez dziurawe skrypty (pewnie stare phpBB) ktoregos z Twoich uzytkownikow. Tak to jest jak sie stosuje php w trybie modulu do Apache - teraz ciezko Ci bedzie ustalic przez ktorego usera to przeszlo i sytuacja pewnie sie powtorzy. Moja rada - postaw dobrze firewalla, zablokuj dostep do portow wyzszych niz 1024 ale tylko dla nowych polaczen z zew., tzn: /sbin/iptables -A INPUT -s 0.0.0.0/0 -p TCP --destination-port 1024:65535 --syn -j DROP Pamietaj jednak zeby umozliwic wczesniej dostep do malego zakresu portow dla polaczen pasywnych w FTP i poinformowac swojego demona FTP jakie to porty. Dla proftpd wygladaloby to np tak: (ta linijka PRZED tamta /sbin/iptables -A INPUT -s 0.0.0.0/0 -p TCP --destination-port 49152:50152 -j ACCEPT i w proftpd.conf dodajesz: PassivePorts 49152 50152 "Hackerzy" z reguly najpierw binduja sobie shella na ktoryms z wysokich portow, a nastepnie wchodza przez niego na serwer i robia rozne cuda To zabezpieczenie ograniczy liczbe tego typu zachowan praktycznie w 100%. pozdr. Udostępnij ten post Link to postu Udostępnij na innych stronach
marcinp 0 Zgłoś post Napisano Luty 11, 2006 No ok ale co bedzie jezeli mysql pracuje na 3306 i demon vhcs2 na 9876 Nie bedzie z tym zadnych problemow. I jeszcze jedno pytanie gdzie zapisywane sa reguly iptables bo jezeli cos mi sie pokwasi to chce wiedziec gdzie to moge usunac. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrick Zgłoś post Napisano Luty 11, 2006 No ok ale co bedzie jezeli mysql pracuje na 3306 i demon vhcs2 na 9876 Zainstaluj najlepiej APF. I jeszcze jedno pytanie gdzie zapisywane sa reguly iptables bo jezeli cos mi sie pokwasi to chce wiedziec gdzie to moge usunac. iptables -L Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość adamszendzielorz Zgłoś post Napisano Luty 11, 2006 No ok ale co bedzie jezeli mysql pracuje na 3306 i demon vhcs2 na 9876 Jezeli chcesz miec do nich dostep to je odblokuj w ten sam sposob co porty passive dla FTP. pozdr. Udostępnij ten post Link to postu Udostępnij na innych stronach
marcinp 0 Zgłoś post Napisano Luty 11, 2006 No ok ale jak mysql pracuje tylko z localhost i chyba VHCS2 tez to czy trzeba go odblokowywac. Jezeli tak to prosze o napisanie jak ma brzmiec ta regula bo boje sie ze cs zkwasze. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrick Zgłoś post Napisano Luty 11, 2006 No ok ale jak mysql pracuje tylko z localhost i chyba VHCS2 tez to czy trzeba go odblokowywac. jezeli MySQL ma skip-networking to nie musisz bo po co ... Jezeli tak to prosze o napisanie jak ma brzmiec ta regula bo boje sie ze cs zkwasze. Mysle ze najlepiej jak zainstalujesz APF http://www.rfxnetworks.com/apf.php bedziesz mial kontrole poprzez plik /etc/apf/conf.apf w ktorym zablokujesz i odblokujesz co bedziesz chcial. Howto co do zainstalowania i wstepnej konfiguracji znajdziesz na google. Udostępnij ten post Link to postu Udostępnij na innych stronach