Hola. Ayer me llamaron por telefono desde Ev1 (todo en ingles eso si ) y me dijeron que mi servidor estaba comprometido, que habian detectado una gran cantidad de paquetes enviados a una ip y que por seguiridad lo desconectarian.
Yo tengo instalado mi firewall (aqui mismo postee como hacerlo) y decenas de trucos para hacer mi servidor lo menos atractivo posible pero a través de un bug del apache se colaron. Almenos no pudieron hacerse root por lo que EV1 no me ha obligado a un restore y me ha eliminado lo que habian colado dentro de /tmp que atacaba esa ip.
Bueno he actualizado principalmente APACHE y PHP para evitar esta entrada y os comento como y os animo a que colaboreis poniendo trucos o consejos que nos hagan lo menos atractibles posible a estos individuos.
1.- Nunca usar la configuracion por defecto de Apache para CPanel, es muy insegura.
2.- Accedemos al servidor y tecleamos /scripts/easyapache y cuando se nos pida seleccionar la opcion de instalación seleccionamos "ADVANCED (option 6)"
3.- Nos saldrá esto:
[ ] Expires Module
[*] Raise FD_SETSIZE to 16384 (system wide)
[*] Prevent Users from reading other webroots
[*] Frontpage Module
[ ] Gzip Module (experimental)
[*] Raise HARD_SERVER_LIMIT
[ ] Perl Module
Php Module --->
[ ] PHP SuEXEC Module
[*] Rewrite Module
[*] SSL Module
[ ] SuEXEC Modle
Recomiendo poner esta configuracion marca y después ponemos el cursor sobre Php Module y presionamos en SELECT y se nos abrirá otra pantalla y recomiendo seleccionar:
- Version 4.3.6 ( o la última que te aparezca )
- BC Math
- Calendar Support
- Curl
- Curl SSL
- Freetype
- FTP
- GD
- Gettext
- Imap
- Magic Quotes
- MySQL Module
- Pear
- PostgreSQL (if installed)
- Sockets
- Track Vars
- Versioning
- Zlib
Y recompilamos Apache.
Cuando terminemos ejecutamos:
/scripts/securetmp
Hemos que asegurarnos de tener la última Kernel estable instalada y si usamos CPanel tener el último instalado:
/scripts/upcp
Cualquier consejo o truco nos será de gran ayuda a todos.
Un Saludo
Full Version: Consejos para asegurar el servidor
Esto me sirvio hace algunos años para unos xploids
imaginemos que es algo para apache, entonces hay ke poner una proteccion al usuario apache
consultamos el directorio de apache en /etc/passwd y aparece algo como
apache:x:48:48:Apache:/var/www:/bin/false
Ai se puede apreciar que su directorio del usuario es /var/www
me dirijo a ese directorio y creo un archivo llamado
.bashrc
y en el solo escribo
exit
lo guardo y listo; lo mismo con los otros usuarios que se deseen bloquear
imaginemos que es algo para apache, entonces hay ke poner una proteccion al usuario apache
consultamos el directorio de apache en /etc/passwd y aparece algo como
apache:x:48:48:Apache:/var/www:/bin/false
Ai se puede apreciar que su directorio del usuario es /var/www
me dirijo a ese directorio y creo un archivo llamado
.bashrc
y en el solo escribo
exit
lo guardo y listo; lo mismo con los otros usuarios que se deseen bloquear
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.