Взлом сайта

Может кто знает, уже на протяжении пары недель мой сайт какой-то урод с упорством маньяка взламывает с утра до ночи. Пока что безуспешно, но ведь упорство обычно вознаграждается :) и я боюсь, что когда нить он таки пробьется. Подскажите какие нить способы защиты посильнее, плз! Или способ вычислить парня :) Да! и этот мудак обычно за чужие ай-пи прячется, вчера например это был ай-пи какой то бразильской армии спасения :)

а как он его взламывает? Пингует, пассворд подбирает... (с транслита)

Гы-гы-гы-гы-гы Каждые два часа я регистрирую попытки подбора паролей на шлюзе узла, который в моём ведении. Каждый час я регистрирую работу сканеров с разных источников. Механизмы защиты. Спуфинг - подмена адреса источника одним из доверенных адресов. Защита - запретть принимать пакеты извне, содержащие адреса внутренние в качастве источника на файрволе шлюза. DoS и её разновидность dDoS атака - отказ в обслуживании. Инициализация лавины запросов с целью погашения сервера или роутера. Для этого на броадкаст рассылается пакет с поднятыми флагами запроса соединения от имени интересующего сервера или роутера. Шквал ответных пакетов о подтверждении возвращается к серверу и переполняет стек сетевой карты, сервер падает. Сценариев может быть много, но суть одна. Защита - дропать syn-fin пакеты прям на уровне ядра, одновременно запретив расширения tcp. Атаки на основе icmp redirect. Заключается в кратковременном гашении роутера с перехватом трафика в целях дешифрации пакетов. Роутер подменяется компом хакера, весь поток проходит через его ком и перенаправляется на роутер. Защита - запретить редирект пакеты на уровне ядра, На файрволе шлюза перекрыть icmp дейтаграммы 5,9,13,14,15,16,17 дополнительно можно закрыть и 3. Непосредственно на вебсервере сгенерировать ключ доступа не короче 1024 бит (винда это не понимает напрочь - потому 90% народа уже никогда не попадет) использовать для шела только ssh2 с контролем по IP, перекомпилить веб сервер задав ему левое имя - например "figOS web server" - пусть сначало поищут инфу про этот сервер :-) чтоб дырки найти. Правильно распределить права доступа. Корневой процесс запускать от рут (иначе не запустится) порождённые процессы от юзера с минимальными правами. На сервере установить уровень безопасности 3 для защиты от динамических изменений. Запуск любых программ, скриптов только с указанием полного пути. Перед рестартом проверить все конфиги на неизменённое состояние. Ну в общем ещё довольно много - если надо то могу продолжить...

Житель Портал.Сисадмин.ру:):):)?

Очень приятно. А я старший администратор-администратор безопасности компьютерной сети.

Бывает:))

Эт точно...

А вы тут самоутверждаетесь профессионально? В каждом топике выпячивание факта того, что вы сисадмин-администратор безопасности, именно выпячивание, все должны упасть и отжаться.

Точно. И ещё - стоять, бояться.

openssl проапдейтить, апач. Про drop SYN-FIN все правильно, но это опаснее для почты в большей степени, чем для сайта. Да, и дропать не рекомендуется на вебсерверах. # TCP_DROP_SYNFIN adds support for ignoring TCP packets with SYN+FIN. This # prevents nmap et al. from identifying the TCP/IP stack, but breaks support # for RFC1644 extensions and is not recommended for web servers.

А вот тут я бы с вами поспорила - как насчёт поведения оси при поступлении покета с отрицательным смещением? А опенссл имеет смысл при использовании аутентификации либо передачи какой либо иной шифрованной инфы. Здесь возникает вопрос защиты передаваемой инфы, то есть для данного случая - защита данных аутентификации, что является лишь малой частью, да и то если для доступа к страничке надо логин/пароль набирать...

Оси какой?

без разницы. Хоть винда, хоть солярка, хоть беос... и т. п. Пожалуй тольки иос устоит, ну может ещё айрикс - не тестила её на это дело, потому не знаю...

Операционке по большому счету поуху, ну завалится, но данные от этого врядли пострадают.

Пострадают. Не все, конечно, но кэш накроется медным тазиком.

Данные сайтов при этом не пострадают, если Вы помните начало топика, речь там шла именно об этом.

В составе сайта обычно есть форум. А форум использует базу. А вот база обычно кешируется для увеличения скорости работы. Если транзакции проходят при репликации на сервер баз данных шустро то ощутимых потерь небудет. И кстати есть ещё один момент - перегруз сервера с медленных соединений.

а вы бы могли дать ссылку на свой сайт7??

Чтоб вы его тоже повзламывали?