Дополнение 2. Максим, Виктор, Сергей, Александр, Александр. Слава героям.

Начало, продолжение.

Проезжая через Луцк случайно купил газету "Волинь-нова".

Прочитал две заметки (обе картинки кликабельны)

Утер слёзы, пожелал Путину побыстрее встретиться в Данилом Шумуком, снова вспомнил "зелёный коридор смерти" в исполнении НКВД/КГБ/ФСБ.

И да, Ceterum censeo Moskva esse delendam! Прочитать полностью...

Защита nginx на сервере

Защита nginx на сервере многогранна.

Одна из граней, пока у нас не увели рута или юзера с правами рута, то логи nginx нужно обогатить:

if ($request_method ~ "^POST$") {
    access_log /var/log/nginx/access-POST-$server_name.log main_post;
}
if ($request_method ~ "^(PUT|OPTIONS|HEAD|PATCH|DELETE|TRACE|CONNECT)$") {
    access_log /var/log/nginx/access-PUT-$server_name.log main_post;
}

ну и:

log_format main_post '$remote_addr [$time_local] $host "$request" '
    '$status $body_bytes_sent [$request_body] "$http_referer" '
    '"$http_user_agent"';

ну и client_body_buffer_size в /etc/nginx/nginx.conf установить как вам нужно, чтобы ваши запросы помещались, а хакерские нет :)
или наоборот, ставьте побольше, чтобы любой хакерский запрос поймать.

и защитить:

chown nginx:nginx /var/log/nginx
chmod 200 /var/log/nginx

последнее особенно удивительно для меня, самоучки, но логи пишутся, а больше убирать там нечего :)

UPDATE уже ночью
логи то пишутся, но после рестарта nginx хочет прочитать старое, чтобы добавить новое и не может.
поэтому

chmod 600 /var/log/nginx

и наблюдаем дальше...

И да, Ceterum censeo Lugansk esse delendam! Прочитать полностью...

Защита PHP на сервере

По следам наших выступлений раз, два.

Я считаю обязательным  в файле /etc/php.ini установить disable_functions = длинный список функций под катом


Прочитать полностью...

Второй хакер на новом сервере results@hackermail.com

Второй хакер на новом сервере results@hackermail.com
Аваст называет его PHP:BackDoor-DJ [Trj]
Смог только залить псевдогифку в /tmp/ но уже не gzip, а просто PHP в виде гифки.
первый заливал сжатый PHP:Shell-HP [Trj]
И да, Ceterum censeo Lugansk esse delendam! Прочитать полностью...

Если fail2ban в письме пишет "missing whois program"

Если fail2ban в письме пишет "missing whois program"

Проверяем из консоли

# whois 11.22.33.44
-bash: whois: command not found

Это значит, что нужно поставить jwhois. Для CentOS это

# yum install jwhois
 
    Installed: jwhois.x86_64 0:4.0-19.el6




И да, Ceterum censeo Lugansk esse delendam! Прочитать полностью...

Первые хакеры на новом сервере

Поздравь хакера с Новым 2015 годом по одному из адресов:

citiexplosion2013@gmail.com
sarna_p@yahoo.com
bebeshark@live.com

На новом сервере, я ещё не успел им похвастаться, залили псевдогифку в /tmp/

Вот под катом её PHP текст уже после расшифровки, текстовки на индонезийском языке

Апдейт 05/01/2014

Аваст спустя 10 дней от начала этого безобразия обновился :) и стал называть это "PHP:Shell-HP [Trj]" и блокировать, поэтому текст я убрал. Если кому-то нужно - вставлю картинкой.

Прочитать полностью...

Видеорегистратор. Лобовая атака. Никто не ранен.

Проездом из Луганска в Варшаву.

Водитель на машине с волынскими номерами на перекрестке свернул под кирпич и хочет всех растолкать чтобы его пропустили.

И да, Ceterum censeo Lugansk esse delendam! Прочитать полностью...