@developer007

Если уже залили шелл и хотят слить мой скрипт?

Есть проект. Proxy сервер и бек на nginx+php-fpm + postgres
Его постоянно пытаются ломать судя по логам - попытки sql инъекции где только можно, в любой инпут и т.д

В формах была допущена уязвимость, позволяющая загрузить скрипт php и исполнить его.
Хакер залил и хочет слить проект в паблик.

Как защититься от этого?
Например изначально на самом бек-сервере запретить все соединения кроме прокси nginx и ssh по ключу(чтобы админить) - или это бредовая идея?

может как то круто настроить nginx ?
а как тогда ПРАВИЛЬНО запускать/устанавливать nginx? обычно это происходит так sudo apt-get install nginx
Может надо сам php-fpm запускать особенным образом?
  • Вопрос задан
  • 862 просмотра
Решения вопроса 3
dollar
@dollar
Делай добро и бросай его в воду.
Отключить nginx, далее уже разбираться без суеты, изучать новые файлы, логи, бд и т.д.

Вы же не хотите сказать, что php у вас может (имеет права) менять системные файлы, запускать любые процессы и т.д.?

Хакер залил и хочет слить проект в паблик.
Это очень странное заявление, т.к. происходит это обычно очень быстро. Пока вы думаете, что делать, проект уже будет слит. Ну, конечно, если это не мега тяжелая база через узкое соединение. Так что хакер сначала сольет проект, а потом уже будет хотеть выложить его в паблик, лениво переписываясь с вами или с кем-либо еще.

В общем случае совет - сразу отрубить всё, что только можно, а потом думать. В идеале должен быть физический доступ, чтобы обрубить интернет. Хотя в теории зловредный скрипт может быть настолько умным, что его автономные действия будут опаснее, чем при управлении хакером удаленно, но такой скрипт сделать сложно и дорого, поэтому это редкость.
Ответ написан
@asd111
Изучи что такое докер. Контейнер с кодом в продакшене можно сделать read only и тогда никто тебе не зальет туда шелл, даже если ты написал решето, банально потому что контейнер закрыт для записи.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
FanatPHP
@FanatPHP
Чебуратор тега РНР
Какой-то странный вопрос, больше похожий на паранойю.

постоянно пытаются ломать судя по логам - попытки sql инъекции где только можно, в любой инпут

Это не показатель популярности ресурса у хакеров, а рутина. Тупые дети со всего мира запускают веерное сканирование, этого добра полно в логах любого сайта.

хочет слить проект в паблик

Это самая странная часть. Шел уже залит, и хакер сидит и ждёт пока ты задашь вопрос на тостере?
Ответ написан
@prostoprofan
Наверно вопрос тут не в Nginx, apache или в чём-то еще. А в том что у человека на бекенде не было проверки на расширение типа файлов, это и привело к тому что пользователь смог загрузить файл и выкачать все что давало ему (по правам доступа).
От этого защищаются как минимум проверкой расширений, а бонусом можно делать переименование файлов (что кстати тоже важно). Тогда в таком случае юзер сможет грузить только разрешенные форматы. Если нужно решение, то на гитхабе полно ссылок на такие библиотеки, где уже есть фильтрация расширений (если не хотите сами писать код)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы