Человек получает данные других аккаунтов
Человек получает данные других аккаунтов
Всем привет, сегодня человек начал "сливать" инфу других пользователей и я хотел бы это прикрыть. Он получает информацию с баз данных других пользователей VESTA.
У меня стоят стандартные настройки VESTA и ничего больше я не трогал. Подскажите пожалуйста насчет безопасности, может нужно что-то в конфигах настроить. Доступы такие:
Шаблон Web:default
Шаблон DNS:default
Доступ по SSH:nologin
У меня стоят стандартные настройки VESTA и ничего больше я не трогал. Подскажите пожалуйста насчет безопасности, может нужно что-то в конфигах настроить. Доступы такие:
Шаблон Web:default
Шаблон DNS:default
Доступ по SSH:nologin
Re: Человек получает данные других аккаунтов
Варианты:
- у него есть доступ к sudo
- он взломал систему
- попросту подобрал пароль
Без логов сложно что-то сказать. На мой взгляд, детских проблем с безопасностью у весты нет.
- у него есть доступ к sudo
- он взломал систему
- попросту подобрал пароль
Без логов сложно что-то сказать. На мой взгляд, детских проблем с безопасностью у весты нет.
Re: Человек получает данные других аккаунтов
Спасибо за ответ. Подскажите пожалуйста где посмотреть эти логи? Я знаю точно какой пользователь это сделал. Логи я смотрел тут - /usr/local/vesta/log но ничего страшного не нашелgecube_ru wrote:Варианты:
- у него есть доступ к sudo
- он взломал систему
- попросту подобрал пароль
Без логов сложно что-то сказать. На мой взгляд, детских проблем с безопасностью у весты нет.
Re: Человек получает данные других аккаунтов
Системные логи хранятся в /var/log
например, особо интересует /var/log/secure
например, особо интересует /var/log/secure
Re: Человек получает данные других аккаунтов
У меня такого нет /var/log/securegecube_ru wrote:Системные логи хранятся в /var/log
например, особо интересует /var/log/secure
Я знаю взломщика, и знаю, что он взломал через какой-то вредоносный код. Webshell или sql инъекция, так как он получил инфу только с некоторых таблиц баз данных и если бы у него был доступ к судо он бы мог все удалить на сколько я понимаю. А так он просто начал сливать инфу с таблиц пользователей
И самое главное, что взлом произошел только тогда, когда я ему дал доступ к аккаунту VESTA (выше я писал какие привилегии я ему выдавал)
Re: Человек получает данные других аккаунтов
Вариант 1 - вебшелл у пользователей через уйязвимости, здесь масса вариантовdiman55 wrote:Всем привет, сегодня человек начал "сливать" инфу других пользователей и я хотел бы это прикрыть. Он получает информацию с баз данных других пользователей VESTA.
Вариант 2 - не включенный/выключенный open_basedir
Подбор пароля кажется маловероятным, если конечно вручную его не задавали простой.
Стоит начать с того, есть ли в пользовательских конфигурациях apache и темплейтах опция open_basedirdiman55 wrote:Шаблон Web:default
Шаблон DNS:default
Она в шаблонах довольно давно, но если у вас и сервер давно, то возможно без этой опции.
Re: Человек получает данные других аккаунтов
Я пробовал заливать вебшелл, выйти из корня пользователя не смог. Все остальное у меня по дефолту стоит. Вы говорите: "вебшелл у пользователей через уйязвимости, здесь масса вариантов" Мне это не очень понятно) Человек как только получил доступ смог узнать данные из таблиц баз данных всех пользователей веста.skurudo wrote:Вариант 1 - вебшелл у пользователей через уйязвимости, здесь масса вариантовdiman55 wrote:Всем привет, сегодня человек начал "сливать" инфу других пользователей и я хотел бы это прикрыть. Он получает информацию с баз данных других пользователей VESTA.
Вариант 2 - не включенный/выключенный open_basedir
Подбор пароля кажется маловероятным, если конечно вручную его не задавали простой.
Стоит начать с того, есть ли в пользовательских конфигурациях apache и темплейтах опция open_basedirdiman55 wrote:Шаблон Web:default
Шаблон DNS:default
Она в шаблонах довольно давно, но если у вас и сервер давно, то возможно без этой опции.
Re: Человек получает данные других аккаунтов
Ну как? К стандартным скриптам типа вордпресса и т.д. есть готовые уязвимостиdiman55 wrote:Я пробовал заливать вебшелл, выйти из корня пользователя не смог. Все остальное у меня по дефолту стоит. Вы говорите: "вебшелл у пользователей через уйязвимости, здесь масса вариантов" Мне это не очень понятно) Человек как только получил доступ смог узнать данные из таблиц баз данных всех пользователей веста.
Здесь велико поле для исследования.
То, что он это получил не через Vesta очевидно, мы не храним нигде пароли от mysql баз.
PS: Или же можно предположить, что ваш рут скомпрометирован или рут от mysql :)
Re: Человек получает данные других аккаунтов
Я все понимаю, просто хотелось бы как-то обезопасится от всего этого. У меня "голый" сервер, установлена только панель VESTA. Вот я и хочу узнать на этом форуме как можно защитится от подобных взломов. Что нужно/можно поставить на сервер кроме VESTA CPskurudo wrote:Ну как? К стандартным скриптам типа вордпресса и т.д. есть готовые уязвимостиdiman55 wrote:Я пробовал заливать вебшелл, выйти из корня пользователя не смог. Все остальное у меня по дефолту стоит. Вы говорите: "вебшелл у пользователей через уйязвимости, здесь масса вариантов" Мне это не очень понятно) Человек как только получил доступ смог узнать данные из таблиц баз данных всех пользователей веста.
Здесь велико поле для исследования.
То, что он это получил не через Vesta очевидно, мы не храним нигде пароли от mysql баз.
PS: Или же можно предположить, что ваш рут скомпрометирован или рут от mysql :)
Re: Человек получает данные других аккаунтов
В 95% достаточно не ставить никаких сайтов под admin. Тогда в случае взлома каждый будет играться в своей песочнице и не сможет прочитать config.php другого сайта, узнать логин и пароль к mysql и залезть в чужую базу. Вот если взломают/зальют шелл под admin - пиши пропало, это доступ ко всему серверу.