Как защитить сайты от взлома?

Question

[vakavakvaka]

Есть сервер, на котором хостится порядочное количество разных сайтов. К сожалению, поддерживать скрипты в актуальном состоянии и закрывать в них дыры не представляется возможным.
Подскажите какую-нибудь систему, которая защищала-бы хотя-бы от части атак.
Нужно что-то типа быстро работающей прослойки между пользователем и сервером что-бы отсекать наиболее распространенные вредоносные запросы(например если с реквестом приходит строка, содержащая "<?php")
Еще хотелось-бы вести логи, в которых отмечалось-бы появление новых php скриптов в папках с сайтами.
Подскажите что-нибудь пожалуйста.

Answer 1

[xmoonlight]

Поскольку, различные правила постоянно обновляются и модифицируются, актуальная версия всех правил и рекомендаций по защите веб-сервера доступна по этой ссылке.

Comments

[vakavakvaka]

о, хорошая штука, попробуем

[Egor Nedbailo]

Я вот не программист ни разу, куда это вставляется? )))

[Андрей Саныч]

Egor Nedbailo: в htaccess или настройки виртуал хостов

[ilya_k]

Андрей Саныч: подскажите пожалуйста, а это только .htaccess в корне, или нужно в каждую директорию свой .htaccess с таким содержимым ? буду рад если ткнете носом в адекватный мануал.

[Андрей Саныч]

ilya_k: только в корневой директории вашего сайта

Answer 2

[Влад Животнев]

В первую очередь надо запретить писать веб-серверу где-либо, кроме tmp_dir (его отдельной) и session_dir. Всё остальное - полумеры.

> Еще хотелось-бы вести логи, в которых отмечалось-бы появление новых php скриптов в папках с сайтами.
Называется git + git status по крону в почту (если отличается).

Comments

[sim3x]

Нет ли решений на базе inotify?

[Влад Животнев]

sim3x: inotify события теряет

Answer 3

[Александр Аксентьев]

clamav

с реквестом приходит строка, содержащая "<?php"

В этот момент как бы уже слегка поздновато что-либо делать.

Comments

[vakavakvaka]

clamav стоит. Почему поздно? Если-бы такой "файервол" отсекал подобные запросы, то большинство червей, которые загружают шелл а потом спямят не прошли бы

[Александр Аксентьев]

vakavakvaka: никто не заливает так код(имеется в виду крайне мало). Шеллы грузят сразу на жертву и оттуда делают что хотят.

Answer 4

[Владимир Серёгин]

Почитайте CIS Apache HTTP Server Benchmark (качать отсюда, нужно только анкету заполнить). Там есть основные рекомендации по настройке прав доступа, минимизации функционала, настройке tls, логирования и тд. Есть две версии документа для apache 2.4 и 2.2.
Для защиты от части атак - modsecurity + core rule set. Он не так суров, как naxsi, работает по принципу черного списка, а не белого. После допиливания правил для исключения false positives можно жить.

Comments

[evorios]

спасибо, нашёл в открытом доступе:
https://github.com/cismirror/benchmarks

Answer 5

[Aлександр]

fail2ban

Answer 6

[Александр Кубинцев]

Есть такой хороший модуль как nginx-naxsi, но он очень суров, надо тестировать, чтобы лишнего не обрубал. То есть времени на настройку требует прилично (как минимум требует просмотра логов), хотя она и не сложная сама по себе.
Он правда не решает проблемы учёта появления новых файлов, их изменений и т.д., но частично закрывает дыры в запросах.

Answer 7

[repeat]

У меня недавно вытягивали БД полностью использую sqlmap. Всё из-за отсутствия опыта, лени и не правильных запросов.
Поменяли запросы на что-то вида

$stmt = $dbLFSP->prepare("SELECT online, username FROM users WHERE online = :hostname");
$stmt->bindValue(':hostname',$hostname);
$stmt->execute();
$users = $stmt->fetchAll();

проблем стало гораздо меньше.