91

Shodan.io | Как спастись, куда бежать начинающему разработчику/сис.админу?

Сей материал будет полезен новичкам в вопросе настройки своих серверов и сетевой безопасности. Прошу разбирающихся не бить ссанными тряпками, пост писался из благих побуждений и в некоторых вопросах я могу быть не совсем корректен.

Занимаюсь веб и не очень разработкой порядка восьми лет, однако руки до VDS и собственных серверов дошли совсем недавно, так как являюсь дуб дубом в вопросе настройки серверов и человеком не особо интересующимся трендами -- пропустил явление "shodan"... как оказалось -- очень зря, за что и поплатился в последствии и от чего хочу оберечь новичков.

Кратко о shodan. Это поисковый сервис который рандомным образом генерирует IP адресы и проверяет что по ним расположено, в следствии неправильной настройки сервера некоторые данные могут утечь (shodan не щадит никого) либо к серверу может быть получен несанкционированный доступ. К примеру, есть такой пакет для linux совместимых систем как ProFTPD (FTP сервер, что логично) и в нём есть (был?) эксплоит (CVE-2019-12815) позволяющий выполнять код и доставать "секретную" информацию БЕЗ авторизации. Актуально для версии пакета 1.3.5b.
Патч на гитхаб: https://github.com/lcartey/proftpd-cve-2019-12815
Чем опасен этот эксплоит помимо очевидного "выполнять код"? Да всё очень просто, если у вас к серверу привязан домен и не стоит патч на proftpd, то последний любезно предоставит информацию о нём.

Shodan.io | Как спастись, куда бежать начинающему разработчику/сис.админу? Информационная безопасность, Linux, Shodan, Настройка, Сервер, VPS, Длиннопост

Опасно это в первую очередь для тех у кого не самые мощные сервера и нет защиты от DDoS атак. Рекомендую установить патч либо использовать SFTP чтобы не спалить данные о домене. Если ваш IP таки был связан доменом (раскрыт), вам стоит обратиться к провайдеру для его смены, т.к он является скомпрометированным, исправить сие невозможно.

Если вы используете услуги аренды VDS серверов, крайне не рекомендую вообще указывать реальный домен при начале аренды (актуально как минимум для firstvds).

Если вы используете на своём сервере Apache2 -- настоятельно рекомендую озаботиться об установке на него патчей если таковые имеются (а у апача их достаточно, в зависимости от версии), либо же установить nginx и работать с ним.

Также крайне не рекомендую при наличии домена, разрешать доступ к серверу через IP.
Для себя я решил проблему с доступом через добавление в конфигурацию nginx'а следующих строк:

if ($host !~* example\.com) { # проверяет $host на наличие в нём вашего домена

return 444; # вернёт пустой ответ.

}

# эта конфигурация будет работать и с поддоменами.

Для своих сайтов я использую Cloudflare который прекрасно справляется с экранированием запросов и инициатор запросов никогда не получит ваш реальный IP адрес.

Если вы используете свои сертификаты но используете и Cloudflare -- стоит изменить этот сертификат на Origin сертификат от Cloudflare. Зачем? Для того чтобы при обращении через IP на 443-й порт (если таковой активен, при наличии сертификата) -- не сообщить злоумышленникам домен. Чем бережнее вы относитесь к секретности IP, тем меньше будет вероятность DDoS атаки, поскольку например Cloudflare -- успешно их отражает (в большинстве случаев).

Не стоит думать что если между IP адресом вашего сервера и доменом была установлена связь, вас никогда не затронет проблема безопасности. У каждого разные причины для тех или иных поступков, будь то просто зависть или попытка устранить конкурента. Будьте бдительней, господа!

В заключении хочу отметить что Shodan при всей своей "опасности", в правильных руках -- золото. Shodan (и ему подобные) изучает полученную информацию о вашем сервере и исходя из версий может сообщать о тех или иных эксплоитах (они не всегда обязаны присутствовать).
Желаю вам успехов во всех ваших проектах и  начинаниях, друзья!

Ну а я после этого поста готовлюсь огребать минусы от "знатоков". Тем не менее, я сообщил о том о чём знал и теперь моя совесть чиста, надеюсь кому-нибудь да поможет.

Дубликаты не найдены

Информационная безопасность

1.2K постов22.7K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Подробнее
Лучшие посты за сегодня
7407

Все мужики одинаковые

Все мужики одинаковые Картинка с текстом, Мужчины, Мемы, Повтор, Две женщины орут на кота, Секс
Показать полностью 1
6036

Скрутить или не скрутить

Скрутить или не скрутить Мемы, Авто, Перекупщики, Верховный суд
5640

Программист, обнародовавший видеоархив пыток заключенных, объявлен в розыск

Программист, обнародовавший видеоархив пыток заключенных, объявлен в розыск ФСИН, МВД, Повтор, Новости, Негатив, Политика
Программист, обнародовавший видеоархив пыток заключенных, объявлен в розыск ФСИН, МВД, Повтор, Новости, Негатив, Политика

Показать полностью 2
5258

Сотворение деда

Сотворение деда
5062

Шок

4390

Современные проблемы требуют современных решений

Современные проблемы требуют современных решений
4297

Умные мысли часто преследуют её, но она быстрее

Умные мысли часто преследуют её, но она быстрее
4270

Рейс Тель Авив - Верона

Рейс Тель Авив - Верона Евреи, Италия, Самолет
Показать полностью 1
3913

Дискриминация

Дискриминация
3721

Зачем наказывать виновных, когда можно обвинить того, кто виновен в огласке?

Зачем наказывать виновных, когда можно обвинить того, кто виновен в огласке? Комментарии, Комментарии на Пикабу, Негатив
3623

Её дважды казнили фашисты...

Её дважды казнили фашисты... Подвиг, Великая Отечественная война, Чтобы помнили, Партизаны, Дети-Герои, Длиннопост
Показать полностью
3582

Пёс из приюта

Пёс из приюта Скриншот, Twitter, Собака, Приют для животных, Длиннопост
Показать полностью 1
3463

Про зарплаты и инфляции

3280

Когда тебе уже за 40, но все равно в душе ещё ребёнок

3213

Передавший видео пыток в российских тюрьмах белорус объявлен в розыск

3185

Мечта хозяйки

Мечта хозяйки
3049

Свой бизнес- всё..?

2829

Москва унылая

2787

Вопрос

2709

Ремни придумали трусы

Ремни придумали трусы
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: