Uživatelské nástroje
navody:vps:incidenty
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verze | ||
| navody:vps:incidenty [2024/04/11 19:51] – Accessible mysql/postgres/smb, malware, open-redis aither | navody:vps:incidenty [2025/08/16 12:26] (aktuální) – oomd aither | ||
|---|---|---|---|
| Řádek 13: | Řádek 13: | ||
| < | < | ||
| [mysqld] | [mysqld] | ||
| - | bind-address = 127.0.01 | + | bind-address = 127.0.0.1 |
| </ | </ | ||
| Řádek 19: | Řádek 19: | ||
| IP adresám pomocí firewallu. | IP adresám pomocí firewallu. | ||
| - | ===== IPv6-Accessible-MySQL ===== | + | ===== Accessible-PostgreSQL |
| - | Na portu **3306** máš přes **IPv6** veřejně dostupnou | + | Na portu **5432** máš přes **IPv4** veřejně dostupnou |
| Pokud je to možné, tak nejlepší je nastavit databází tak, aby poslouchala | Pokud je to možné, tak nejlepší je nastavit databází tak, aby poslouchala | ||
| - | jen na localhostu, např. v '' | + | jen na localhostu. |
| < | < | ||
| - | [mysqld] | + | listen_addresses |
| - | bind-address | + | |
| </ | </ | ||
| Řádek 32: | Řádek 31: | ||
| IP adresám pomocí firewallu. | IP adresám pomocí firewallu. | ||
| - | ===== Accessible-PostgreSQL | + | ===== Accessible-SMB ===== |
| - | Na portu **5432** máš přes **IPv4** veřejně dostupnou | + | Na VPS máš nainstalovanou službu samba (smbd), která je dostupná z internetu, |
| + | což se obecně nedoporučuje. Je vhodné použít buď VPN a povolit přístup jen | ||
| + | přes síť VPN, nebo použít bezpečnější protokol, např. SFTP přes SSH. | ||
| + | |||
| + | ===== DNS-Open-Resolvers | ||
| + | Na portu **53** máš spuštěný DNS resolver, který je po **IPv4** dostupný z internetu. | ||
| + | DNS resolver by měl buď poslouchat jen na localhostu, nebo musí být nastaven tak, aby | ||
| + | odpovídal jen na dotazy z vybraných sítí, např. adresy tvých VPS, síť z tvojí VPN, atp. | ||
| + | |||
| + | Volně dostupné DNS resolvery jsou zneužívány k amplifikačním útokům -- požadavek je mnohem | ||
| + | menší než odpověd, kterou DNS resolver zasílá zpět. Útočník toho využije a nechá odpověď | ||
| + | zaslat na adresu oběti. | ||
| + | |||
| + | ===== IPv6-Accessible-MySQL ===== | ||
| + | Na portu **3306** máš přes **IPv6** veřejně dostupnou | ||
| Pokud je to možné, tak nejlepší je nastavit databází tak, aby poslouchala | Pokud je to možné, tak nejlepší je nastavit databází tak, aby poslouchala | ||
| - | jen na localhostu. | + | jen na localhostu, např. v '' |
| < | < | ||
| - | listen_addresses | + | [mysqld] |
| + | bind-address | ||
| </ | </ | ||
| Řádek 56: | Řádek 70: | ||
| IP adresám pomocí firewallu. | IP adresám pomocí firewallu. | ||
| - | ===== Accessible-SMB ===== | + | ===== IPv6-DNS-Open-Resolvers |
| - | Na VPS máš nainstalovanou službu samba (smbd), která | + | Na portu **53** |
| - | což se obecně nedoporučuje. Je vhodné použít | + | DNS resolver by měl buď poslouchat |
| - | přes síť VPN, nebo použít bezpečnější protokol, např. SFTP přes SSH. | + | odpovídal jen na dotazy z vybraných sítí, např. adresy tvých VPS, síť z tvojí |
| + | |||
| + | Volně dostupné DNS resolvery jsou zneužívány k amplifikačním útokům -- požadavek je mnohem | ||
| + | menší než odpověd, kterou DNS resolver zasílá zpět. Útočník toho využije a nechá odpověď | ||
| + | zaslat na adresu oběti. | ||
| ===== malware ===== | ===== malware ===== | ||
| Řádek 84: | Řádek 102: | ||
| všemožné konfigurační soubory a tvoje aplikace a data. Nejjistější je VPS přeinstalovat | všemožné konfigurační soubory a tvoje aplikace a data. Nejjistější je VPS přeinstalovat | ||
| a nastavit jej znovu. | a nastavit jej znovu. | ||
| + | |||
| + | ===== oomd ===== | ||
| + | VPS se v danou chvíli pohybovalo na hraně limitu paměti, tj. procesy jsou zdrženy | ||
| + | čekáním na volnou paměť, a současně drželo sdílené zámky v kernelu, což mělo negativní | ||
| + | vliv na ostatní VPS a celý node. | ||
| + | |||
| + | Je nutné si pohlídat konfiguraci služeb tak, aby se při dočasném navýšení provozu | ||
| + | nespouštělo více obsluhujících procesů (typicky web server, apache2 workery, PHP, atp.), | ||
| + | než kolik se do VPS vejde. | ||
| + | |||
| + | ===== open-memcached ===== | ||
| + | memcached bývá zneužíván k amplification útokům, kdy útočník využije tvůj memcached | ||
| + | server k útoku na oběť díky tomu, že odpověd serveru je mnohem větší, než původní | ||
| + | požadavek. Pokud memcached používáš jen lokálně, nejlépe ho nastav tak, aby | ||
| + | poslouchal jen na localhostu. Jestliže k memcached přistupuješ z vícero VPS, | ||
| + | nastav si firewall tak, aby nebyl dostupný z veřejného Internetu. | ||
| ===== open-portmapper ===== | ===== open-portmapper ===== | ||
| Řádek 124: | Řádek 158: | ||
| Příklady a zdroj: https:// | Příklady a zdroj: https:// | ||
| - | |||
| - | ===== open-memcached ===== | ||
| - | memcached bývá zneužíván k amplification útokům, kdy útočník využije tvůj memcached | ||
| - | server k útoku na oběť díky tomu, že odpověd serveru je mnohem větší, než původní | ||
| - | požadavek. Pokud memcached používáš jen lokálně, nejlépe ho nastav tak, aby | ||
| - | poslouchal jen na localhostu. Jestliže k memcached přistupuješ z vícero VPS, | ||
| - | nastav si firewall tak, aby nebyl dostupný z veřejného Internetu. | ||
| ===== Open-Redis ===== | ===== Open-Redis ===== | ||
navody/vps/incidenty.1712865108.txt.gz · Poslední úprava: 2024/04/11 19:51 autor: aither
Nástroje pro stránku
Kromě míst, kde je explicitně uvedeno jinak, je obsah této wiki licencován pod následující licencí: CC Attribution-Share Alike 4.0 International
