Сей материал будет полезен новичкам в вопросе настройки своих серверов и сетевой безопасности. Прошу разбирающихся не бить ссанными тряпками, пост писался из благих побуждений и в некоторых вопросах я могу быть не совсем корректен.
Занимаюсь веб и не очень разработкой порядка восьми лет, однако руки до VDS и собственных серверов дошли совсем недавно, так как являюсь дуб дубом в вопросе настройки серверов и человеком не особо интересующимся трендами -- пропустил явление "shodan"... как оказалось -- очень зря, за что и поплатился в последствии и от чего хочу оберечь новичков.
Кратко о shodan. Это поисковый сервис который рандомным образом генерирует IP адресы и проверяет что по ним расположено, в следствии неправильной настройки сервера некоторые данные могут утечь (shodan не щадит никого) либо к серверу может быть получен несанкционированный доступ. К примеру, есть такой пакет для linux совместимых систем как ProFTPD (FTP сервер, что логично) и в нём есть (был?) эксплоит (CVE-2019-12815) позволяющий выполнять код и доставать "секретную" информацию БЕЗ авторизации. Актуально для версии пакета 1.3.5b.
Патч на гитхаб: https://github.com/lcartey/proftpd-cve-2019-12815
Чем опасен этот эксплоит помимо очевидного "выполнять код"? Да всё очень просто, если у вас к серверу привязан домен и не стоит патч на proftpd, то последний любезно предоставит информацию о нём.
Опасно это в первую очередь для тех у кого не самые мощные сервера и нет защиты от DDoS атак. Рекомендую установить патч либо использовать SFTP чтобы не спалить данные о домене. Если ваш IP таки был связан доменом (раскрыт), вам стоит обратиться к провайдеру для его смены, т.к он является скомпрометированным, исправить сие невозможно.
Если вы используете услуги аренды VDS серверов, крайне не рекомендую вообще указывать реальный домен при начале аренды (актуально как минимум для firstvds).
Если вы используете на своём сервере Apache2 -- настоятельно рекомендую озаботиться об установке на него патчей если таковые имеются (а у апача их достаточно, в зависимости от версии), либо же установить nginx и работать с ним.
Также крайне не рекомендую при наличии домена, разрешать доступ к серверу через IP.
Для себя я решил проблему с доступом через добавление в конфигурацию nginx'а следующих строк:
if ($host !~* example\.com) { # проверяет $host на наличие в нём вашего доменаreturn 444; # вернёт пустой ответ.
}
# эта конфигурация будет работать и с поддоменами.
Для своих сайтов я использую Cloudflare который прекрасно справляется с экранированием запросов и инициатор запросов никогда не получит ваш реальный IP адрес.
Если вы используете свои сертификаты но используете и Cloudflare -- стоит изменить этот сертификат на Origin сертификат от Cloudflare. Зачем? Для того чтобы при обращении через IP на 443-й порт (если таковой активен, при наличии сертификата) -- не сообщить злоумышленникам домен. Чем бережнее вы относитесь к секретности IP, тем меньше будет вероятность DDoS атаки, поскольку например Cloudflare -- успешно их отражает (в большинстве случаев).
Не стоит думать что если между IP адресом вашего сервера и доменом была установлена связь, вас никогда не затронет проблема безопасности. У каждого разные причины для тех или иных поступков, будь то просто зависть или попытка устранить конкурента. Будьте бдительней, господа!
В заключении хочу отметить что Shodan при всей своей "опасности", в правильных руках -- золото. Shodan (и ему подобные) изучает полученную информацию о вашем сервере и исходя из версий может сообщать о тех или иных эксплоитах (они не всегда обязаны присутствовать).
Желаю вам успехов во всех ваших проектах и начинаниях, друзья!
Ну а я после этого поста готовлюсь огребать минусы от "знатоков". Тем не менее, я сообщил о том о чём знал и теперь моя совесть чиста, надеюсь кому-нибудь да поможет.
