-
مشکل امنیتی در وب سرور
با عرض سلام خدمت دوستان عزیز
من یک وب سرور دارم که سیستم عامل اون ویندوز سرور 2003 هستش و سایت خودم رو روش گذاشتم.
الان یه مدتی هست که به طور نامنظم تمام پهنای باند کانکشن اینترنت (به صورت صد در صد)به ارسال اطلاعات به یک سری آی پی های خاص که هر دفعه عوض می شوند به مدت چند دقیقه اختصاص داده میشه(به صورتی که در مدت این چند دقیقه سایت عملا از کار میفته).خب من حدس زدم ویروس باشه یک آنتی ویروس که فایروال هم داشت نصب کردم ولی باز هم درست نشد.اگه دوستان لطف کنند و راهنمایی کنند ممنون میشم.
اطلاعات تکمیلی:
از نرم افزار وب سرور xampp استفاده میکنم
روی سرور سرویس DNS رو هم نصب کردم.
-
آنتی ویروست رو آپدیت کردی؟
نرم افزار جدیدی نصب کردی که بعد از اون اینجوری شده باشه؟؟؟
-
قبل از هز اقدامی، آنتی ویرستون رو کامل پاک کنید از رو سیستم.
نرم افزار کرک شده ی kaspersky anti hacker رو نصب کنید.
تمام ترافیک شبکه بر روی سرور قطع میشه ، به محض درخواست بر قراری
ارتباط بصورت in bound و یا out bound به شما اطلاع داده میشه. ای پی های مقصد
و مبدا ، مهمتر از همه ،نوع ترافیک ، سرویس و برنامه در خواست کننده ی ارتباط
مشخص می شوند . به این ترتیب مشخص میشه که ترافیک مفید هست یا مخرب.
اگه مفید بود که هیچ،اگر برنامه ، سرویس، پورت وکلا ترافیک براتون نامشخص بود ،
مطرح کنین تا مرحله ی بعدی رواجرا کنین.
-
من نرم افزار خاصی نصب نکردم.
اقا سجاد عزیز من همه این کارا رو کردم،مربوط به ترافیک خروجی هستش و ترافیک مخرب هست چون صد در صد پهنای باند خروجی اینترنت(Sent) رو میگیره.مربوط به سرویس (Apache HTTP Server(httpd نرم افزار وب سرور XAMPP هستش.
اگه اطلاعات دیگه ای لازم بود ما در خدمتیم.
-
ممنون از اعمال تغییرات و ارائه گزارش ،
قدم بعدی ، مشخص کردن سوکت ( IP+PORT ) های اتصال هست .
جهت ارائه واکنش مناسب روی این ترافیک ، باید ، ای پی مقصد و پورت متناظر را مشخص کنید .
پورت مبدا رو هم مشخص کنید که ترافیک از رو سرور با چه پورتی میخواد ارتباط برقرار کنه.
وقتی نوع و ماهیت سوکت ها مشخص شد ، براحتی تصمیم میگیرید که در مورد ترافیک چه سیاستی
پیش بگیرید .
-
مشکل اینجاست که آی پی و پورت هردفعه عوض میشه.
-
روست عزیز وب سرور رو در dmz گزاشتی؟؟؟ با فایروال امنش کردی؟؟ چه روول هایی زدی روی فایروال؟؟؟ اگه همه رو غیر از 80 ببندی بازم چیزی خارج میشه؟؟؟
-
آره یه بار همه پورت ها به غیر از پورت 80 رو بستم ولی باز هم همون مشکل رو داشتم
یه چیز جالب اینه که وقتی با استفاده از نرم افزارهای مانیتورینگ کانکشن ها رو کنترل میکنم موقعی که sent صددرصد میشه تعداد زیادی کانکشن به یک آی پی خاص و شماره پورت های مختلف ایجاده میشه (در حد هزار رو خورده ای) و نوع پروتکل رو هم UDP میزنه در حالی که من اصلا کانکشن های غیر از پروتکل TCP رو فیلتر کردم
خداییش موندم مشکل کجاست
-
-
[QUOTE]اگه همه رو غیر از 80 ببندی بازم چیزی خارج میشه؟؟؟ [/QUOTE]
پورت 80 برای ورود به وب سرور هست نه خروج.
[QUOTE]مشکل اینجاست که آی پی و پورت هردفعه عوض میشه. [/QUOTE]
بعضی از سایت های بزرگ ، متناوبا ای پی رو عوض میکنند بخاطر تعداد سرور های زیاد.
یکی از ایپیهای مقصد رو بزارید اینجا تا بررسی بشه. پورت مبدا رو سرور رو هم بزارید.
[QUOTE]کسی نیست راهنمایی کنه؟ [/QUOTE]
همیشه کسی هست .بعضی مشکلات با حدس و گمان ، با جایی نمیرسه.
باید قدم به قدم رفت جلو و تصمیم مناسب رو گرفت . حوصله بخرج بدید و باور
کنید پست هایی بوده که با چند سوال ساده جواب داده میشده ولی با سوال های
حاشیه ای و حدسی ، به جایی نرسید .
-
[QUOTE=mac777;311011]آره یه بار همه پورت ها به غیر از پورت 80 رو بستم ولی باز هم همون مشکل رو داشتم
یه چیز جالب اینه که وقتی با استفاده از نرم افزارهای مانیتورینگ کانکشن ها رو کنترل میکنم موقعی که sent صددرصد میشه تعداد زیادی کانکشن به یک آی پی خاص و شماره پورت های مختلف ایجاده میشه (در حد هزار رو خورده ای) و نوع پروتکل رو هم UDP میزنه در حالی که من اصلا کانکشن های غیر از پروتکل TCP رو فیلتر کردم
خداییش موندم مشکل کجاست[/QUOTE]
شما اصلا نگفتید وب سرور رو چطوری در اینترنت قرار دادید و فایروالتون چیه ؟!
چیزی که معلومه اینه که تنظیمات فایروالتون مشکل داره وگرنه چه دلیلی داره وقتی فقط TCP باز باشه ، UDP هم خارج بشه ؟!
از خارج به داخل فقط 80 رو باز بذارید
از داخل به خارج هم tcp های Established شده رو Allow کنید
بقیه رو هم ببندید
(البته قبلش حتما با راهنمایی هایی که دوستان میکنند مشکل رو پیدا کنید )
-
نه به نظر من بهترين راه استفاده از يه فايروال خوبه من خودم با لينوكس iptables اين رو اجرا كردم تعداد كانكشنهاي ورودي رو بر اساس مبدا و زمان محدود كنيد هيچ موردي پيش نمياد .
-
دوست من
به جای کسپراسکی برو Nod32 Smart Security بریز و فایروال رو ببر رو حالت Switcin intectvie mode
بعد آب بخوره ازت اجازه میخوا با جزیات کامل
-
[QUOTE=Black_Roze;311166]دوست من
به جای کسپراسکی برو Nod32 Smart Security بریز و فایروال رو ببر رو حالت Switcin intectvie mode
بعد آب بخوره ازت اجازه میخوا با جزیات کامل[/QUOTE]
اخه من نميدونم يه وب سرور 25 ساعته يكي باييد پاش بشينه ترافيك رو permit يا deny كنه يعني واقعا عقلانيه؟؟؟؟
-
[QUOTE]به جای کسپراسکی برو Nod32 Smart Security بریز و فایروال رو ببر رو حالت Switcin intectvie mode
بعد آب بخوره ازت اجازه میخوا با جزیات کامل[/QUOTE]
مثال خوبی بود ، با هم این سناریو رو فرض میکنیم :
eset smart security که اینجا بطورخلاصه ESS میگم رو دربان و نگهبان بانک فرض کنیم .
سرور هم بانک ماست . شما هم رئیس هستید . از نگاه نگهبان مادامی که مشتریان در حال انجام کار های خود
هستند نیازی به مداخله نیست و همه چیز خوب پیش میرود . از طرفی هنگام ورود اگر اسلحه گرم همراه مشتری
نباشد و مورد مشکوکی مشاهده نشود ، مشتری ( چه دزد چه مشتری حقیقی) می توانند براحتی واردبانک بشوند .
چراکه رول های ESS مورد مشکوکی دیتکت نمیکند .
حال طرف مقابل ماجرا ، ترافیک کاملا خوب و مطمئن در حال وارد شدن و خارج شدن هست . ESS چیزی دیتکتک نمی کند .
چراکه کاربر allow را انتخاب میکند . حال انکه زیر این ترافیک مطمئن نرم افزار های جاسوسی ، لاگر ها و ورم های زیادی در حال
ارتباط با باتنت هستند که دید کاربر مخفی هستند.
برای روشن تر شدن مثال میزنم : فکر کنم دوستان با دیکشنری معروف بابیلون اشنایی دارن . حدود 2 سال پیش ، متخصصان امنیت
شبکه متوجه شدن ، نسخه ی خاصی از این دیکشنری که رایگان دانلود میشه تو اینترنت ، در قالب اپدیت کردن ، گزارش کاملی از
گشت و گزار های کاربران اینترنت رو به یک گروه زیر زمینی ارسال میکنه . البته که دیر شده بود .
نتیجه : در این پست هدف این نبود ، که کنترل کاملی رو ترافیک اعمال کنیم ، توجه کنین هر کسی سواد این کار و وقت و حوصله ی
این کار رو نداره بشینه پشت سرور و به سرور اجازه ی اب خوردن بده. هدف شناسایی ترافیک غیر مجاز بود که داره به کجا و تحت
چه عنوانی ارسال میشه. با بررسیپورت ها و تناوب ای پی ها امکان داشت ، ولی متاسفانه شما هم مثل بعضی دوستان ، پست
اول رو می خونین و بدون توجه به روند کار ، پیشنهاد هایی ارائه میدی که نتیجه ی آن انحراف بحث هست.
حداقل برای یک بار سایت ESET رو مطالعه بکنین تا متوجه بشین ، ESS برای کلاینت ها بصورت Endpoint security عمل میکنه .ESET
برای اهداف gateway security راه حل های متفاوتی ارائه میده .