Пришел абуз от хетцнера

Ну да, все вдсы подряд брутят на сложные пассы.

Спешу тебя расстроить, подними на любом сервере логи паролей, с которыми ломятся по ssh.
Давно уже юзают нагеренные рандомы, правда хз на что они надеятся.

Да это нубы какие-нибудь софт тестят. Смысла в этом нет и бояться тут нечего, сам понимаешь.

Про хецнер - не буду срач начинать, тем более я оказался неправ. Изначально я подозревал, что его за такие абузы сразу попрут.

Про хецнер - не буду срач начинать, тем более я оказался неправ. Изначально я подозревал, что его за такие абузы сразу попрут.

Да я для себя спрашивал.
За такие абузы сразу не прут, дают сутки всегда (на моей памяти, в общей сложности ~100 серверов).

chkconfig ntp off

sh: 1: chkconfig: not found


нет админа
я сам буратина

:)

Пришла новая впска на деб7 ламп + вебмин.

все обновил.

Что теперь первым делом надо сделать?

Удалил рнрмойадмин, и мускуль. Ну их нахрен

Вебмин с апачем пока живы. Удаляю лишнее дальше)

И вправду, тут же дебиан.

/etc/init.d/ntp stop

вебмин

ССЗБ

без (хотя бы минимальных) аргументов бы балабол.
каким бы я ссзб ни был (с этим не спорю)

что даст эта команда?

хм.
т.е. по логике мне нужно:
1. поставить деб. минималку;
2. поставить апач с модулем рнр, фтп сервер;

пользоваться. и не ставить ничего другого.
так?

Остановит службу времени, возможно имела место ntp amplification атака, где вы были отнюдь не жертвой.
1. Да, но лучше центось, еще лучше суську, она самая свежая будет.
2. да, нет, заливать можно и по ssh, зачем плодить лишние сущности/вектора атак
3. прикрыть апач ngninx'ом или полностью перейти на него.
Поднастроить это все и да, пользоваться. По минимуму хватит.

Кстати, зачем тебе вебмин? http://vestacp.com/ уже ничего так

1. Да, но лучше центось, еще лучше суську, она самая свежая будет.

Наркоман что ли? Кто в здравом уме меняет дебиан на центось или суську?

тот, у кого проблемы ТС не случаются

То есть ты утверждаешь, что дебиан - менее безопасный дистрибутив, чем центос и СУСЬКА?

Чем рулить-то ? У ТС кроме апача со статикой ничего нету :)

Уж сколько раз твердили миру: "Он дыряв до безобразия".

А если прикрутить авторизацию только с одного ип?

А зачем вообще панель управления? Поставь просто апач, а модуль пхп тебе зачем, если у тебя статика? Фтп серевер не нужен. Заливай по ssh, это удобнее, авторизацию по ключам настрой, можешь ssh перевесить на какой-нибудь порт повеселее. Под линуксами можешь прямо командой scp заливать, или вообще смонтировать удалённую фс себе. Под винду есть клиенты, например winscp или как-то так.

а модуль пхп тебе зачем, если у тебя статика?

<?php include 'header_index.php' ?>

<?php include 'footer.php' ?>

:)

или вообще смонтировать удалённую фс себе. Под винду есть клиенты, например winscp или как-то так

Простых решений не нагуглил. А хотелось бы.

Простых решений не нагуглил. А хотелось бы.

В смысле - простых решений? Ты работаешь под линуксом или под виндой? В первом случае гуглишь «sshfs». Или вообще куришь ман команды scp. Безо всяких изголений. Во втором случае качаешь клиент winscp.

А заголовки можно и перлом отправлять. Правда тогда не мод_пхп, а, наверное, мод_cgi надо будет доставить, так что разницы, может, и нет.

WinSCP :: Free SFTP and FTP client for Windows

В чем соль?

Сфтп архитектурно круче фтп?

Вроде прикольная штука

А синкать так 1-2М файлов (редко, но иногда нужно) - это верх тупости? И лучше тар а потом распаковку? (как сейчас делаю)

наличие простых инклудов в php файлах ни о чем не говорит. Возможно, файлы-то эти уже изменились. Прежде чем ломать дрова (а ты именно так сейчас и поступил) я бы:
1) скосил вебмин на некоторое время, и пользовался только ssh
2) проверил все имеющиеся php скрипты. Внимание! Вредоносный код может быть обфусцирован, будь готов к этому.
3) проверь конфиг apache, ничего ли там не изменилось. Вдруг у тебя html теперь обрабатывается на равных с php?

И да, правила iptables (или что там у тебя в роли firewall-а?) в студию.

Дело в том, что в случае, если ты используешь sftp, то есть передаёшь файлы по ssh протоколу, ты не ставишь лишний софт - а именно, фтп сервер, который, как тут уже писали выше, есть ещё один потенциальный вход на сервер и ещё один вектор атаки.

и кстати да, судя по тому, что крутится у тебя на сервере (кучка html и предельно простые php) я не знаю зачем ВООБЩЕ тебе webmin.

А синкать так 1-2М файлов (редко, но иногда нужно) - это верх тупости? И лучше тар а потом распаковку? (как сейчас делаю)

Ну, это уж как тебе удобно.

Я уже полностью удалил (с затираним конфигов) и переустановил вебмин.

Потом проверил все свои рнр файлы, благо их немного.
Они все «мои». Без правок.

За апачем подозрительного не заметил. хотя я и нуб.

Вдруг у тебя html теперь обрабатывается на равных с php?

Не понял.

И да, правила iptables (или что там у тебя в роли firewall-а?) в студию.

Не умею :) Ну дефолт там. Деб7 + вебмин + абдейты.

Вообще я думаю, что меня «как проксю» пользовали. Не думаю, что именно что-то залили. Но я хз.

Ночью обновятся ДНСы, и грохную старую впску.
Как раз между оплатами отменяю. Удобно вышло.

Имхо. лучше перестраховаться.

В новом впс удалил к черту рнрмойадмин, муску, и еще много разного. Из вебмина снес почти все модули.

Сфтп архитектурно круче фтп?

Пароли пофиг откуда грабить - из фтп клиента или из сфтп клиента ;)

я не знаю зачем ВООБЩЕ тебе webmin.

Удобный гуй для апача, файловый менеджер, текстовый логин в консоль через браузер.

Вот я и думаю «в чем разница» в плане безопасности.

Ну это если он юзает пароли. И это если можно точно сказать, что скомпроментирован компьютер, с которго заходят. А так ключ, ключ на флеху, на ключ пароль :) .

Кстати да!
Пора внепланово проверять комп.

Не верю я в троян.

За апачем подозрительного не заметил. хотя я и нуб.

просто надо было проверить конфиг(и). Или хотя бы сделать их дамп для будущего выяснения. Бэкап нескольких тектсовых файликов перед удалением никогда не будет лишним.

Не понял.

Я сейчас не помню точно как называется нужная директива, которая указывает какие файлы воспринимать php интерпретатором, однако когда я настраивал apache в freebsd - это нужно было сделать вручную и ЯВНЫМ образом, т.е. указать расширение php. Таким же образом можно указать html, и никто не заметит.

Не умею :)

google://show iptables rules

а вообще, то ты уже столько времени тусуешься на ЛОР-е, и несмотря на «dk- ☆ (09.04.2014 22:43:45) почетный виндоузятник ЛОР-а» мог бы уже осилить или запомнить некоторые простые аспекты администрирования. Хотя бы понимать кто к чему :)

Моим дебиан впскам уже 4й год идет.

Вот первый раз понадобилось что-то отличное от tar -cf :)

iptables -L -n

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
LOG tcp  — 0.0.0.0/0 !127.0.0.1 tcp dpt:80 LOG flags 8 level 4

Удобный гуй для апача

и что ты в нем делаешь? вот только честно.
В апаче можно создавать/удалять виртуал хосты. Это делает единожды (или не так часто, можно накарябать шаблон в блокнотике для этого). Чем ты там еще с апачем занимаешься?)
Смотришь статус работает/не работает? так в top же видно...

файловый менеджер

21 век на дворе, а ФМ всё еще через вебморду?

текстовый логин в консоль через браузер

Вот и причина твоих проблем. О времена о нравы! ssh/putty для слабаков?)

у меня тоже есть один друг, администратор из него на трояк, но тем не менее сервер свой он держит. Так вот, просил он поставить ему webmin. Хорошо что я этого не сделал!

Я сейчас не помню точно как называется нужная директива, которая указывает какие файлы воспринимать php интерпретатором

AddHandler кажись. Или AddHandler.

и что ты в нем делаешь?

У меня как-то шизануто получается это само собой. Но у меня доменов 3-го лвл пруд пруди. Все никак не устаканюсь. Но уже почти.
Опять же гуй. Гуй он простой. А конфиг руками разбираться надо.

21 век на дворе, а ФМ всё еще через вебморду?

Ну как-то коряво, да. Но оно + фтп почти закрывает мои нужды.

ssh/putty для слабаков?)

Ужо скачал. Ощутил себя бздуном.

Так вот, просил он поставить ему webmin. Хорошо что я этого не сделал!

Я наивно полагал, что дебиан + регулярные абдейты = все нормально будет. Вот сейчас проверю комп. Если нет троянов и прочей гадости, то дело таки не во мне.

AddType в смысле.

Проверился дрвебом (их спец.утилитой) и касперским (аналогичная хрень)

Чистая система. Не перли мои пароли.

<?php include 'header_index.php' ?>
<?php include 'footer.php' ?>

И Apache, и nginx умеют делать это своими средствами (SSI).

так об этом же знать надо!)

Дык, я потому и подсказываю :) Если у тебя статика, то для include есть и иные средства, чем PHP. Средствами web-сервера оно шустрее и секьюрнее.

Ужо скачал. Ощутил себя бздуном.

это потому, что после «привычных» интерфейсов мы ведем себя так же, как и всегда - пытаемся поклацать на доступные для клацания кнопки с ожиданием результата. Таким образом только пейнт осваивают в винде.
В консоли всё в некотором плане проще: не надо пытаться выяснить что можно оттуда сделать - надо решить какие задачи ты выполнял и находить консольные способы их решения.

Проверился дрвебом (их спец.утилитой) и касперским (аналогичная хрень) Чистая система. Не перли мои пароли.

Не показатель, помимо того, что они ловят далеко не все, так и спереть тоже можно по разному: плагин/дыра в браузере, инфицированный роутер, подмена странцы, заход с чужой машины, сети, телефона и т.п. при которых пароль ты отдал сам. Это бывает гораздо чаще чем кажется.

Вот я и думаю «в чем разница» в плане безопасности.

Поверь, ты настолько далек от понимания организации безопасности и серверов, что лучше не суди. Вообще. Это выглядит, по меньшей степени, нелепо.
WinSCP, Filezilla (есть и под линь) умеют scp. Ftp нужен только тем, кто как и ты не разглядел и сделал поспешный вывод.

Кстати я проверил логи входов в мыло (а парольно можно упереть только оттуда) - входы только с двух моих ип (дом\работа) и все.

Поверь, ты настолько далек от понимания организации безопасности и серверов, что лучше не суди

Не просто верю. Понимаю это. Я же говорю «думал», без претензий.

Так оно конечно лучше будет, но все таки я советую снести его к чертям и освоить нормальные инструменты администрирования.