Problemy z konfiguracja i obciazenie serwera.

[Gość adamszendzielorz]

Z tego co widzialem to mialem na serwerze uruchomione cos dziwnego a dokladnie w topie mi pokazywalo ze procesy perla zajmuja niesamowicie duzo procesora i pamieci uruchomione to bylo z uzytkownika www-data  (czyli apache)

 

Skrypty DoS, uruchomione poprzez dziurawe skrypty (pewnie stare phpBB) ktoregos z Twoich uzytkownikow. Tak to jest jak sie stosuje php w trybie modulu do Apache - teraz ciezko Ci bedzie ustalic przez ktorego usera to przeszlo i sytuacja pewnie sie powtorzy. Moja rada - postaw dobrze firewalla, zablokuj dostep do portow wyzszych niz 1024 ale tylko dla nowych polaczen z zew., tzn:

 

/sbin/iptables -A INPUT -s 0.0.0.0/0 -p TCP --destination-port 1024:65535 --syn -j DROP

 

Pamietaj jednak zeby umozliwic wczesniej dostep do malego zakresu portow dla polaczen pasywnych w FTP i poinformowac swojego demona FTP jakie to porty. Dla proftpd wygladaloby to np tak:

 

(ta linijka PRZED tamta

 

/sbin/iptables -A INPUT -s 0.0.0.0/0 -p TCP --destination-port 49152:50152 -j ACCEPT

 

i w proftpd.conf dodajesz:

 

PassivePorts 49152 50152

 

"Hackerzy" z reguly najpierw binduja sobie shella na ktoryms z wysokich portow, a nastepnie wchodza przez niego na serwer i robia rozne cuda To zabezpieczenie ograniczy liczbe tego typu zachowan praktycznie w 100%.

pozdr.

[marcinp 0]

No ok ale co bedzie jezeli mysql pracuje na 3306 i demon vhcs2 na 9876

 

Nie bedzie z tym zadnych problemow.

 

I jeszcze jedno pytanie gdzie zapisywane sa reguly iptables bo jezeli cos mi sie pokwasi to chce wiedziec gdzie to moge usunac.

[Gość patrick]

No ok ale co bedzie jezeli mysql pracuje na 3306 i demon vhcs2 na 9876

Zainstaluj najlepiej APF.

I jeszcze jedno pytanie gdzie zapisywane sa reguly iptables bo jezeli cos mi sie pokwasi to chce wiedziec gdzie to moge usunac.

iptables -L

[Gość adamszendzielorz]

No ok ale co bedzie jezeli mysql pracuje na 3306 i demon vhcs2 na 9876

 

Jezeli chcesz miec do nich dostep to je odblokuj w ten sam sposob co porty passive dla FTP.

pozdr.

[marcinp 0]

No ok ale jak mysql pracuje tylko z localhost i chyba VHCS2 tez to czy trzeba go odblokowywac.

 

Jezeli tak to prosze o napisanie jak ma brzmiec ta regula bo boje sie ze cs zkwasze.

[Gość patrick]

No ok ale jak mysql pracuje tylko z localhost i chyba VHCS2 tez to czy trzeba go odblokowywac.

 

jezeli MySQL ma skip-networking to nie musisz bo po co ...

 

Jezeli tak to prosze o napisanie jak ma brzmiec ta regula bo boje sie ze cs zkwasze.

Mysle ze najlepiej jak zainstalujesz APF http://www.rfxnetworks.com/apf.php

bedziesz mial kontrole poprzez plik /etc/apf/conf.apf w ktorym zablokujesz i odblokujesz co bedziesz chcial. Howto co do zainstalowania i wstepnej konfiguracji znajdziesz na google.