Как понять, что ваш VPS сервер взломан, и что с этим делать?

В данной статье мы затронем тему, которая волнует всех владельцев сайтов, пользующихся VPS. Мы коснемся тех вопросов, которые связаны с безопасностью эксплуатации серверов, где они расположены.

hosting 2 800x533 Как понять, что ваш VPS сервер взломан, и что с этим делать?

О взломах VPS Украина

Введение

Иногда возникает очень досадная ситуация, когда вы вложили свои денежные средства, затратили драгоценное время на создание интернет-проекта, приложили большие усилия для его размещения и отладки на VPS. А в один момент вы вдруг обнаруживаете, что выделенное вам устройство взломали.

Не нужно отчаиваться, от подобной неприятности, увы, абсолютно никто не защищен и причины, которые привели к этому, бывают разными.

В случае если вы собираетесь или уже используете VPS хостинг в Украине на Linux, работаете сисадмином, то эта статья для вас. После ее изучения вы сможете распознать факт взлома, а также обнаружить причины, которые привели к этому и методы, которые помогут препятствовать возникновению такой ситуации в будущем.

Признаки взлома VPS

Определить, что сервер подвергся хакерской атаке несложно. Это видно будет по следующему:

  • Нестабильная работа и блокировка VPS.
  • Отсутствует доступ к root, правам пользователя.
  • Значительное увеличение трафика на сервере.
  • Не наблюдающийся раньше изменение скорости соединения с интернет или рост трафика через определенные порты.
  • Появление особых следов рассылки спама с VPS.
  • Странная сетевая активность. В это понятие входят все те происходящие процессы, которые отличаются от обычных, к примеру, передача файлов по SSH (сетевому протоколу, который позволяет удаленно управлять системой), либо отправка email в момент вашего отсутствия.

В случае если вы обнаружили хотя бы один из перечисленных выше признаков, значит, необходимо разобраться в причинах, которые позволили взломать ваше обслуживающее устройство, а также выяснить, насколько существенны последствия такого проникновения.

Обнаружение причин, способствовавших взлому сервера

Основанием того, что к VPS получил доступ посторонний человек может оказаться:

  • Несоответствующая конфигурация ПО сервера.
  • Плохо придуманные, либо утерянные пароли для доступа root.
  • Уязвимое (не обновленное) программное обеспечение.

Базовые данные о причине взлома необходимо разыскивать в системных логах (специальных файлах, которые содержат системную информацию) сервера. В случае если эти данные оказались удалены или стерты, пробуем определить проникновение по каким-то косвенным признакам:

  • Пытаемся распознать посредством SSH (безопасной оболочки) успешные попытки авторизации.
  • Отслеживаем в панели админа попытки использовать его функции. Для этого просматриваем файлы log или journal в папке /usr/local/mgr5/var/ispmgr, которые позволяют определить изменение свойств учетной записи и удачную или безуспешную авторизацию.
  • Анализируем на присутствие любой подозрительной деятельности файл history.
  • Тестируем VPS на наличие устаревшего или уязвимого программного обеспечения для основных дистрибутивов, на специальном сервисе — github.com/Dionach/CMSmap.

При обнаружении бэкдоров (дефектов алгоритма) или скриптов (файлов сценария) нелишним будет определить точное время их создания. Это всегда можно сделать специальным сканером «Total Av», который сразу на дисплей выводит нужные данные.

Можно также вручную ввести команды:

# stat file.c
# stat — x file.c

vps foreks 800x533 Как понять, что ваш VPS сервер взломан, и что с этим делать?

Обнаружение последствий взлома VPS

Для этого необходимо проанализировать сервер на использующие его ресурсы различные неизвестные процессы. Это вы можете сделать вручную, использовав команды top и ps.
Эти программы позволят отследить любое несанкционированное проникновение по потреблению сервером ресурсов: загрузки процессора, использованию памяти и прочее.

Эти процессы, как правило, имеют довольно сложные для чтения названия, либо изобилуют ошибками в них. В случае если получилось отыскать какие-то неизвестные программы, необходимо определить местонахождение исполняемого файла. В этом поможет специальная утилита «find».

Также это можно легко сделать вручную. Для процесса с pid’ом PID, просто введите команду, показывающую папку, из окружения которой он был включен:

# ls /proc/PID/cwd

Дальше выполняем такие действия:

  • Проверяем специальной командой mailq не спам ли это, почтовую очередь. Затем разбираемся с причиной ее появления.
  • Анализируем VPS хостинг на наличие любых руткитов (программ, которые скрывают следы несанкционированного присутствия), а также бэкдоров, применяя приложение «RKHunter», оно не только проверит главные системные файлы, но и сличит соответствие программного обеспечения последним версиям.
  • Сканируем наш сервер на предмет неизвестных или вызывающих подозрение соединений и портов. Для этого есть кроссплатформенное приложение nmap, которое позволяет исследовать ту сеть, которую можно запустить с другой площадки.

Восстановление работы VPS после взлома

Многие после взлома рекомендуют переустановить систему, однако если описанные выше действия помогли узнать причину уязвимости, можно ограничиться такими действиями:

  • Определенным IP адресам лимитируем, либо вообще, запрещаем весь доступ в панель.
  • В файерволе (стандартном антивирусном обеспечении) открываем лишь нужные для работы порты, закрыв все невостребованные и подозрительные.
  • Пересматриваем пароль доступа, в случае если он не выдерживает критики, то при помощи особых генераторов, обязательно создаем новый.
  • Проводим обновление устаревшего и уязвимого программного обеспечения.
  • Делаем очистку сервера от обнаруженных бэкдоров и шеллов (чужих скриптов, которые позволяют управлять сервером).

hosting 1 Как понять, что ваш VPS сервер взломан, и что с этим делать?

Как предотвратить VPS от взлома

На сегодняшний день есть несколько тривиальных рекомендаций, которые позволят снизить опасность нежелательного проникновения на сервер, для этого нужно сделать простые процедуры, используемые в среде ОС Linux.

Защита сервера специальными межсетевыми экранами

Наиболее доступным методом блокирования нежелательного доступа считается включение и правильная настройка брандмауэра. Выполняя опции барьера, межсетевой экран будет фильтровать весь входящий трафик исходя из выбранных настроек. Это позволит применять лишь нужные вам порты, пресекая ввод нежелательной информации.

Среди используемых для этого брандмауэров сегодня можно выделить: Netfilter, Nftables, IPTables и UFW.

Применение SHH-протокола

При полном отсутствии локального доступа появляется потребность входа в сервер удаленно. Для этого желательно использовать протокол SSH, который обеспечивает полноценную защиту соединения с узлом разными способами. К примеру: использование SSH-ключей, либо применение сервиса «Fail2ban».

Внедрение IDS (механизмов обнаружения вторжения)

Применяя такие программные инструменты можно:

  • Обнаружить проникновение или сетевую атаку.
  • Сформировать отчет о всех существующих угрозах.
  • Определить была атака внутренней или внешней.

Систем IDS есть очень много, перечислим главные: RkHunter, Tripwire, Bro.

Общие правила безопасности VPS

Помимо перечисленных выше рекомендаций, существуют общие советы, которые помогут увеличить защищенность сервера:

  • Иметь специальные локальные бекапы (постоянно создаваемые копии информации).
  • При сохранении изменять стандартные адреса обращения ко всем файлам сценариев.
  • Разрешать доступ к серверу лишь со своего адреса IP.
  • Отслеживать, контролировать саму возможность доступа к правам на очень важные фалы конфигурации.
  • Выбирая какие-то новые компоненты, обязательно проверять их на различные незакрытые уязвимости.
  • Во время выхода обновлений всегда своевременно выполнять апдейты скриптов.
  • Для входа использовать нестандартные логины, а также комплексные пароли, часто их меняя.
  • Загружать необходимое программное обеспечение исключительно с официальных сайтов.
  • Применять протокол SFTP, вместо FTP.
  • Грамотно настраивать все функции среды UMASK (маски режима создания файлов пользователей).

Заключение

Злоумышленники все время ищут уязвимости, которые позволяют получить им доступ к серверам. В связи с этим нужно относиться к безопасности VPS ответственно и серьезно.

Выше освещенные шаги позволят понять какие причины, неправильные действия способны привести ко взлому сервера, а также своевременно избежать таких ошибок.


Поделитесь с друзьями



Оставить комментарий