Jak zabezpieczyć vps przez atakami

[D3eX]

Ostatnio spotkała mnie dość nie przyjemna rzecz a mianowicie, na mojego vps win włamali się hakerzy. Chyba głównie wykorzystali serwer do transferu plików ponieważ miałem wykorzystany transfer na 40gb. Zmiana hasła nie wystarczyła, ponieważ bez problemu tego samego dnia odwiedzili mój serwer, zapewne przez backdoor. W jaki sposób zabezpieczacie swoje vps by nie spotkała was taka niespodzianka ? Miał kto podobne z tym przygody ? 

[MaxPan]

wiadoma sprawa,  prawdopodobnie z Twojego serwera wysyłali emaili. Hasła nic nie załatwiają włamywali się wprost przez windę a nie przez hasło.

Jak zobaczysz logi to widać, że Phytona instalowali i inne rzeczy.

Mi tylko na jeden serwer wleźli i to perfidnie na same święta kiedy tylko start stop włączałem, szybko zareagowałem bo zobaczyłem na dysku C: nowe pliki i katalogi, ale coś tam zdążyli wysłać , na szczęście serwer bullet. Aktualizacja Windows niby tą dziurę załatała, ale to tylko do kolejnego razu.

On Good Friday, the Shadow Brokers released a massive trove of Windows hacking tools allegedly stolen from NSA that works against almost all versions of Windows, from Windows 2000 and XP to Windows 7 and 8, and their server-side variants such as Server 2000, 2003, 2008, 2008 R2 and 2012, except Windows 10 and Windows Server 2016.

The hacking exploits could give nearly anyone with technical knowledge the ability to break into millions of Windows computers and servers all over the Internet, but those which are not up-to-date.
The vulnerabilities have already been patched by Microsoft last month. So if you are using Windows Server 2008 or Windows Server 2012, Please make sure to immediate run full windows update on your server(s) to the latest available updates to patch your  windows server(s) against these exploits.

https://thehackernews.com/2017/04/window-zero-day-patch.html

 

[D3eX]

U mnie na pulpicie były jakieś pliki tekstowe a w nich lista haseł, pewnie puścili jakiś program do łamania hasła . W historii zostawione jakieś islamskie strony yasdl czy coś takiego + za każdym razem speed test włączany. Aktualizacje zrobiłem ale i tak nic nie dało. Póki co poprosiłem o reinstalację pełną windowsa i teraz próbuje jakoś zabezpieczyć ten serwer za nim zacznę się bawić instalację programów. 

Podejmujecie jakieś podstawowe kroki żeby z góry się nie narażać na tego typu ataki ? Czytałem coś o zmianie portów ssh, fail2ban oraz usunięciu smbd i apache2. 

[mghost.pl]

@up, to raczej czytałeś odnośnie Linuxa.

Jeśli masz statyczne IP, możesz na firewallu dodać regułę, pozwalającą na logowanie jedynie z Twojego IP.

[MaxPan]

oni nie włazili przy tym ataku przez logowanie

Cytuj

Podejmujecie jakieś podstawowe kroki żeby z góry się nie narażać na tego typu ataki ? 

Aktualizację Windowsa nawet te opcjonalne, aktualizację softów, minimalizacją ewentualnych strat. MalwareBytes zainstalowany w wersji PRO.

[Mion]

8 godzin temu, D3eX napisał:

Podejmujecie jakieś podstawowe kroki żeby

Reinstalacja Windowsa na VPS / dedyku.

Ustawienia odpowiednio skomplikowanego hasła dla konta: Administrator.

 

Pamiętaj, że serwery z Windows do których przeważnie loguje się przez zdalny pulpit, to zupełnie coś innego niż VPS'y z Linuxem.

[SzlafRock]

Firewall systemu ma tyle możliwość konfiguracji, że trudno opisać wszystkie.  Błędem jest praca serwera na defaultowych ustawieniach zapory. 

[D3eX]

A jeśli chodzi o użytkowanie, to działacie z konta "administrator" czy ze stworzonego konta gość i tam odpalacie jako admin ? 

[MaxPan]

Ja działam z panelu admina, hasła zapisuje na karteczce, Hasła długie z znakami  specjalnymi, dużymi i małymi literami, ale to i tak ma male znaczenie. Chyba już czwarty raz Tobie pisze ten kto wchodzi nie wchodzi przez Twój login hasło... ale chyba dalej nie rozumiesz, nie ma znaczenia jakich użytkowników masz na serwerze, gości nie gości. To jak na osobistym komputerze, aby włamać się delikwenty nie potrzebują Twój login i hasło, wystarczy Windows i połączenie z internetem. Na serwerach z softami SEO nie można zainstalować antywirusów, zapór i innych rzeczy bo softy nie będą działać, nawet te najbardziej "białe". Więc najlepsze rozwiązania napisałem wyżej.

[D3eX]

ok dzięki za podpowiedź, już zapoznaję się z tym MalwareB i ustawiam generowane hasło. Spytałem ponieważ, support mi podpowiadał żeby nie działać z konta Administratora bo niby wtedy jesteśmy bardziej narażeni na atak. Tej reguły w firewalu też używasz na swoje ip ?