Как злоумышленник проникает на сервер?

Question

[Алексей Денисов]

Здравствуйте, имеется удаленвй сервер Ubutu + NGINX, php + MySQL,
подскажите как злоумышленник проникает на сервер и удаляет некоторые файлы и копии с сервера, также перезаписывает данные в mySQL если доступ по паролю отключен уже давно, используется вход по ключу через SFTP, ключи соответственно не разглашались.
Как можно отследить и понять где уязвимость?

Answer 1

[VoidVolker]

Как можно отследить и понять где уязвимость?

Провести аудит безопасности сервера:

• Какие приложения установлены
  
• Какие запущены и что из них может быть стороннее
  
• Проверить настройки SSH
  
• Проверить настройки и логи фаерволла
  
• Проверить настройки и логи Fail2Ban
  
• Проверить логи - системные, mysql, SSH и прочие
  
• Проверить сетевую активность и/или добавить логгирование сетевой активности всех приложений
  

Answer 2

[Everything_is_bad]

1. утёк твой ключ
2. дыра в софте который ты используешь, ты же ничёго не рассказали про него, например, у тебя тема для вордпресса с бэкдором

Comments

[Алексей Денисов]

Сервер голый, только PHP + MySQL, никакой фреймворк не используется.
Установка PHP и MySQL произведена через панель управления сервером Webinoly (панель с управлением из консоли и то ее установил только для удобства установки PHP и MySQL)

[Everything_is_bad]

Алексей Денисов,

(панель с управлением из консоли и то ее установил только для удобства установки PHP и MySQL)

эээ зачем это? в чем проблема поставить apt'ом?

Сервер голый, только PHP + MySQL

так там твой код есть? может именно в нем проблема?

[Алексей Денисов]

Everything_is_bad,
На тот момент мне было проще так установить, так как практически не занимался ранее такими делами.

Забыл написать что помимо MySQL, установлен ещё PHP MyAdmin, но через него я так понимаю нет доступа к файловой системе, где удаляются файлы.

[Everything_is_bad]

Алексей Денисов, ну вот ничего не было и вдруг PHP MyAdmin всплыл, да, в нем тоже могут быть уязвимости.

Answer 3

[Refguser]

Как злоумышленник проникает на сервер?

Судя по набору ПО речь идет о вебсервере. А сам по себе он бесполезен, если на нём не крути(я)ться сайты(ы).
В этом случае наиболее частый и простой способ - через уязвимости сайта.
Если используется популярная CMS, то методы устранения уязвимости (не путать с лечением!) просты и банальны - достаточно заменить движок и все модули/компоненты/плагины взятые с оф. сайта(ов). При этом не забыть проверить остающиеся файлы (начиная от хтацесса на верхнем уровне и заканчивая более глубокими уровнями).

Более подробно о причинах и лечении можно почитать тут. Инструкция написана для WordPress, но в основной части подходит для всех движков.

Comments

[Алексей Денисов]

Судя по набору ПО речь идет о вебсервере.

Да конечно это веб сервер, веб страниц у него нет, так как работает с приложением на Андроид.
Андроид приложение запрашивает данные из таблиц и отдает клиентам.
В базе несколько тысяч строк (менее 20.000), и воотч недавнего времени стали появляться проблемы.

В базе данных появились Триггеры, который модификацирует данные другой таблицы, а недавно удалили бэкап таблиц и некоторые файлы, которые также отдаются приложению на андроид

Очень хочется понять как проникают на сервер.
Готов оплатить помощь, но сейчас даже опасно искать помощь в интернет, так же могут кинуть либо подсунуть что то не хорошее.

[Everything_is_bad]

Алексей Денисов,

Да конечно это веб сервер, веб страниц у него нет, так как работает с приложением на Андроид.

какое-то непонимание, веб-серверы это не только страницы, твое API может быть написано с уязвимостями, такими же как и у "веб страниц", потому что по факту это одно и тоже, просто разный формат представления данных.

[Refguser]

Алексей Денисов, сам вебсервер не может работать ни с БД (ну почти ;) только это уже про другое) ни тем более с Андроид-приложением. Этим занимается какой-то php-скрипт (раз тебе php понадобился). Вот в нём и может быть дыра. Или даже в твоём андроид-приложении.

А "веб страницы" - это не одно и тоже что и "веб-сайт" ака "веб-приложение". Оно не обязательно будет выставляться наружу.

Answer 4

[defmin]

как вариант, злоумышленником является владелец (арендодатель, хостер, реселлер) сервера-хостинга :)