Как защитить сервер от shell?

Question

[vaniqq]

Всем привет, случилась неприятная ситуация. Человек залил через фтп менеджер файл и начал делать дос атаку. Подскажите пожалуйста как прикрыть эту дырку? Панель: isp manager

Comments

[Sanes]

Каким образом?

[brar]

Судя по вопросу в Вашем случае надо тупо восстановить бэкап и тут же, максимально быстро, ограничить доступ к серверу, разрешив только определенные ip. Потом перелопатить всю политику безопасности (смена паролей, аудит прав на каталоги и прочее и прочее).

Answer 1

[Eugene Khrustalev]

Запуск атаки после заливки файла осуществляется через HTTP (а как еще?). Найти файл в фтп-папке с помощью утилиты find по времени создания/изменения, прибить. Проверить список процессов, проверить исходящие соединения (особенно irc). Убедиться, что скрипт не перезапускает сам себя другим процессом. На будущее, разделить папку со скриптами, которые можно запускать, и фтп-папку.

Comments

[vaniqq]

Да у меня обычный isp manager и я просто создаю пользователя и выделяю ему некоторые привилегии. Мне сотрудники дц уже все подчистили, но мне не хочется, чтобы это ещё раз повторилось...

[Eugene Khrustalev]

vaniqq: Недостаточно информации. Что за сервер, что за люди, можно ли запретить им заливать скрипты, разрешив только статику. Если нет и у тебя только ISP manager, то я ХЗ как. Только мониторить. Если помимо ISP Manager-а есть рутовый SSH, то можно настроить iptables так, чтобы блокировать исходящий трафик, порождаемый скриптами. Опять же что за скрипты. Сайты? Разрешено ли им самостоятельно отправлять запросы в сеть