Webboard

Pełna wersja: Próba włamania do phpmyadmin i skanowanie vps
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
Chciałem zobaczyć logi crona odnośnie skryptu, który robi mi backup mysql i coś mnie pokusiło, żeby wejść do folderu z logami apache
Wbijam tam i patrze, a tutaj jakiś nowy plik o nazwie other_vhosts_access.logto mówię, a wbije i poczytam sobie te logi i chyba słusznie zrobiłem.
Bo to mnie czekało

[attachment=14670]
[attachment=14671]
[attachment=14672]

Ktoś próbował wbić mi się do phpmyadmina (Na szczęście hasło mam trudne nawet( według strony howsecureismypassword, trzeba 429 miliardów lat do złamania)
Jak widać są to różne IP, więc blokowanie przez htaccess nic nie da.
Trzeba ładować się w cloudflare(zbytnio nie chce z powodu, że jakoś IPS długo ładuje) czy może jest jakaś alternatywa ?
Cloudflare przeważnie przyśpiesza ładowanie strony. ;>

Ogólnie to nie trzyma się phpmyadmin dostępnego publicznie. Rozwiązania:
- jak masz stałe IP to przypisz dostęp tylko sobie
- przenieś go na jakiś inny port i jakiś adres wymyślny, ale to nie do końca dobre rozwiązanie. Można przeskanować otwarte porty i odpalić skanera adresów
- usuń go całkiem, łącz się przez programy typu Sequel Pro i zmieniaj dozwolone IP za każdym razem gdy się chcesz zalogować przez jakieś gui
Chyba najlepszą opcją jest zablokowanie całkiem dostępu z zewnątrz, łączenie się przez ssh kluczem - https://help.dreamhost.com/hc/en-us/arti...-and-Linux

Widać, że obecnie ktoś próbuje się wbić metodą słownikową. Przy losowym haśle prawdopodobieństwo że to zadziała jest strasznie niskie. Jednak zabezpieczyć się warto, w jak najbardziej bezpieczny sposób.
Dawanie dostęp na ip odpada, mam zmienne
Myślałem o tym, aby zmienić nazwę katalogu phpmyadmin i to chyba zrobię
Nie chce usuwać phpmyadmin, bo dobrze mi się w nim siedzi.
Na serwerze nie używam konta root tylko tak zwanego fakeroota
Hasło root dodatkowo ma dopisane w /etc/shadow jakieś losowe litery/cyfry/znaki
I do fakeroota chyba mam klucz .ssh obecnie nie mogę się przelogować

Owszem jakaś słaba ta metoda słownikowa bo próbuje wpisać jakieś banalne hasła, które ustawiają osoby co nie cenią sobie bezpieczeństwo
Jest możliwość zablokowania takiego delikwenta, jeżeli w ciągu jednej sekundy, próbuje wpisać 2/3 hasła. A może phpmyadmin ma opcje banowania ip, jeżeli wpiszę się źle X razy hasło.
Jest jeszcze opcja tunelowania SSH. Ograniczasz phpmyadmin na serwerze tylko dla localhosta, zestawiasz sobie tunnel ssh (masz już skonfigurowane więc wystarczy tylko zestawić tunel) z jakiegoś portu na :80 na serwerze. Wtedy wchodząc ze swojego komputera localhost:wybrany_port ruch zostanie przekierowany przez tunel do serwera na port :80. Serwer będzie widział że jest to połączenie z localhosta i będziesz miał dostęp do phpmyadmina.