10 лучших хостингов с Anti-DDOS защитой 2022 — отзывы пользователей, обзоры хостингов

Что делать при взломе vps на windowslinux?

Если взломали сервер, это станет заметно сразу. Причиной может оказаться как банальная невнимательность пользователей, так и методичный подбор паролей злоумышленниками. В таком случае необходимо обратить внимание на возможные признаки взлома, устроить проверку безопасности сервера и определиться, что делать на основании источника проблемы.

1 Что предпринять для защиты сайта сейчас

Защититесь от подобной ситуации — создавайте отдельный доступ сотрудникам к важной информации. Узнайте в статье «Исключаем риски: отдельный доступ на хостинг для сотрудников», как ограничить доступ и что делать, если он потерян.

3 Что предпринять для защиты сайта сейчас

1. Проверить подключение антивируса на хостинге.
2. Убедиться в безопасности сайта, проверив его с помощью опции «Веб-антивирус».

4 Что предпринять для защиты сайта сейчас

1. Проверьте, соблюдается ли у вашего онлайн-проекта правило «3-2-1».
2. Узнайте, в безопасности ли сайт от непредвиденных обстоятельств. Используйте чек-лист из статьи «Проверка уязвимости сайта к неисправностям».

1 Что предпринять для защиты сайта сейчас

Использовать rePATCHA. Она создана для блокировки автоматизированных действий на различных сервисах. Может представлять собой небольшой баннер, в котором нужно лишь поставить галочку и отправить подтверждение. Также reCAPTCHA может представлять собой задачу в виде распознавания цифр, букв или ребуса.

Наличие такой защиты существенно снижает поток спама, потому как человеку пройти такой тест не сложно в отличии от автоматизированных систем.

Дополнительная защита

Угрозой стабильной работы онлайн-проекта могут стать не только атаки или вирусы злоумышленников из сети. Часто в нашу техподдержку обращаются клиенты, которые когда-то доверили полный доступ к управлению хостингом сотрудникам и теперь не могут его восстановить из-за увольнения работника. Хуже, если бывшие коллеги делают это назло и удаляют важные файлы.

1 Что предпринять для защиты сайта сейчас

Защититесь от подобной ситуации — создавайте отдельный доступ сотрудникам к важной информации. Узнайте в статье «Исключаем риски: отдельный доступ на хостинг для сотрудников», как ограничить доступ и что делать, если он потерян.

Заключение

Важно уделять внимание защите своего онлайн-проекта. От этого зависит не только прибыль, но и репутация бренда. Не допустите потерю доступа к сайту, хостингу, CMS — проверьте прямо сейчас, все ли способы защиты интернет-магазина активны.

Статья подготовлена Reddock — хостинг для 1С-Битрикс.

6 основных способов защиты сервера

1. SSH-ключи (Linux) — это пара криптографических ключей, которая, как говорилось выше, используется для проверки подлинности и является альтернативой паролям. Их использование делает аутентификацию полностью зашифрованной.
2. Фаерволы (WindowsLinux) — с помощью брандмауэра можно обеспечить дополнительную защиту серверу даже при наличии встроенного защитного функционала у ПО. Он позволяет уменьшить количество уязвимостей и заблокировать доступ к чему угодно.
3. VPN (WindowsLinux) — защищенное соединение между удаленными ПК и соединением. Обеспечивает приватность сети, позволяя сделать ее видимой для выбранных пользователей.
4. PKI и SSL/TLS шифрование (WindowsLinux). Центры сертификации позволяют шифровать трафик и производить проверку идентичности для разных пользователей.
5. Аудит (WindowsLinux) — изучение рабочих процессов серверной инфраструктуры. Процедура показывает, какие процессы запущены и что они делают. Помимо этого можно провести аудит файлов, чтобы сравнить два варианта системы — текущий и характеристики при нормальной работе. Это позволяет выявить происходящие процессы, для которых требуется аутентификация, а также защитить сервер от DDOS-атак.
6. Изолированная среда выполнения предусматривает запуск системных компонентов в выделенном пространстве. По факту, для каждого процесса появляется свой изолированный «отсек», который при атаке ограничивает взломщику доступ к другим компонентам ОС.

Следует помнить, что даже при работе с выделенным сервером с защитой, необходимо соблюдать меры предосторожности, включая регулярное обновление ПО и ограничение доступа для ряда IP-адресов. Применение комплексных мер позволяет избежать утечки важных данных, дает возможность защитить сервер от взлома методом подбора паролей.

Если меры предосторожности не помогли, не стоит расстраиваться. Восстановить работоспособность сервера вполне возможно, как и устранить выявленные уязвимости с помощью представленных способов. Не стоит забывать и о содержимом сервера. Вовремя сделанный резервный образ поможет быстро восстановить бережно настроенные сервисные службы и ценные базы данных.

Главное в случае с безопасностью — это постоянство. Сервер и систему стоит периодически проверять, что касается и надежности IP-адресов с высоким уровнем доступа.

Виртуальные сервера Eternalhost — сочетание высокой производительности и отличной защищенности от внешних угроз. Гарантия технической поддержки в режиме 24/7 и многоступенчатая фильтрация DDoS-атак.

5 Что предпринять для защиты сайта сейчас

Проверить, защищен ли онлайн-проект от DDoS-атак на хостинге и 1С-Битрикс. Если нет, то выбрать лучший вариант и подключить.

Резервные копии

Резервное копирование, или бэкап, — это создание копии сайта. Регулярное сохранение резервных копий помогает в экстренной ситуации восстановить сайт. Например, при DDoS-атаке можно вернуть проект в прежнее состояние.

Резервные копии могут храниться на нескольких носителях — на хостинге, в Облаке 1С-Битрикс или на локальных и облачных дисках.

1 Резервное копирование на хостинге

Обычно на хостинге предусмотрено создание резервных копий. В зависимости от политики хостинг-провайдера создание копий может быть ручным и автоматическим, а хранение длительным или краткосрочным.

Резервные копии делятся на два вида — полные и дифференциальные:

1. полный бэкап — копия всего сайта,
2. дифференциальный — копия новых изменений на сайте.

С помощью них можно восстановить весь сайт, отдельный файл или базу данных. Это быстро и практично.

2 Резервное копирование на 1С-Битрикс

Проверьте наличие бэкапов на админ. панели 1С-Битрикс и ответьте на следующие вопросы. Они помогут вам убедиться в надежности резервного копирования.

3 Локальное резервное копирование

Для полной уверенности в безопасности вашего проекта сохраняйте последние резервные копии на локальный диск. Например, на ПК или в облачное хранилище — Google Диск или Яндекс.Диск.

Так будет соблюдено правило «3-2-1»:

1. Хранение 3 копий — на хостинге, в 1С-Битрикс и на локальном диске.
2. Хранение на 2 носителях — облачное хранилище и локальный диск.
3. Хранение 1 копии вне офиса — на удаленном сервере хостинга, к которому имеют доступ только специалисты Reddock.

Антивирус

На сайте вирусы появляются незаметно. Внешний вид сайта и работа сайта остаются обычными, а код на некоторых страницах изменяется. Вирус может заразить компьютер посетителя и использовать его в своих целях. Например, для похищения личной информации, паролей.

Активируйте антивирус на хостинге и CMS вашего сайта. Тревожные звоночки, по которым стоит проверить безопасность сайта:

Антивирус может быть на хостинге или CMS вашего сайта.

1 Антивирус на хостинге

Наличие антивируса на хостинге устанавливается хостинг-провайдером. Он может быть включен в тариф хостинга, либо подключен дополнительно с выбором программы антивируса либо отдельной опцией, комплексной защитой тарифа.

2 Антивирус на 1С-Битрикс

Вы можете воспользоваться опцией «Веб-антивирус» от 1С-Битрикс. Она включена в модуль «Проактивная защита» и доступна на всех продуктах. «Веб-антивирус» выполняет следующие действия:

Подробнее о модуле «Проактивная защита» на официальном сайте 1С-Битрикс.

Защита от DDoS-атак

Подключить защиту от DDoS-атак можно на хостинге и CMS вашего сайта. На Reddock для обеспечения безопасности данных предусмотрено несколько возможностей:

1. стандартная защита от DDoS-атак,
2. интеграция с DDoS Guard,
3. CloudFlare.

В 1С-Битрикс защита входит в модуль «Проактивная защита», как и опция «Веб-антивирус». Рассмотрим все варианты защиты подробнее.

1 Стандартная защита от DDoS-атак

Защита ограничивает скорость обработки запросов, поступающих с одного IP-адреса или по заданному ключу. Для этого для каждого домена создается зона распределяемой памяти и устанавливается максимальный размер всплеска запросов. Если поступающие запросы превышают ограничение для зоны, их обработка задерживается до тех пор, пока их количество не превысит максимальный размер всплеска. После превышения запрос завершится с 503 ошибкой.

4 Защита от 1С-Битрикс

Система защиты от DDoS-атак в 1С-Битрикс отразит атаки на сайт и обеспечит его стабильную работу. Модуль — платный, подробнее о «Защита от DDoS» на официальном сайте 1С-Битрикс.

Защита от спама

Спам-рассылки выполняются разными способами, один из популярных — использование незащищенной формы обратной связи на сайте. Используя форму, злоумышленник рассылает сообщения. Вы можете увидеть их в почтовом сервисе главной почты вашего сайта. Папка «Входящие» будет содержать большое количество писем с примерной темой «Заполнена форма обратной связи». Подробнее о том, как это происходит, в нашей статье «Защитите свой сайт от спам-рассылки».

Если форма на вашем сайте использовалась для рассылки спама, обратитесь к разработчику вашего готового решения для того, чтобы он устранил эту проблему. Если такой возможности нет, то рекомендуем вам самостоятельно добавить в форму отправки сообщений reCAPTCHA или любой другой аналогичный сервис по защите веб-сайтов от ботов.

Дополнительная защита

Угрозой стабильной работы онлайн-проекта могут стать не только атаки или вирусы злоумышленников из сети. Часто в нашу техподдержку обращаются клиенты, которые когда-то доверили полный доступ к управлению хостингом сотрудникам и теперь не могут его восстановить из-за увольнения работника. Хуже, если бывшие коллеги делают это назло и удаляют важные файлы.

Автоотключение сессий

Когда пользователь случайно забывает закрыть RDP-клиент на чужом компьютере, наличие опции автоотключения при бездействии спасет систему от несанкционированного доступа. Тогда после истечения определенного времени придется вводить пароль для повторного входа. Настроить функцию можно в «Конфигурации узла сеансов удаленных рабочих столов».

Активация брандмауэра

Для Linux существует несколько вариантов:

• UFW — простой брандмауэр, с которым может справиться и новичок;
• IPTables — используется для управления NetFilter, который входит в ядро Linux;
• NFTables — брандмауэр, использующий более простой синтаксис и объединяющий поддержку IPv4 и IPv6 в один инструмент.

Это основные инструменты, отвечающие за безопасность системы и, следовательно, подключенных к ней VPS. Настроив их параметры, можно сильно снизить риск взлома.

Безопасность linux

Политика безопасности в Linux при работе сервера основывается на следующих способах защиты:

Восстановление работоспособности

Многие специалисты рекомендует при выявлении взлома переустанавливать систему, но это требуется не всегда. Если точно известна причина и она уже была устранена, можно выполнить действия по данному ниже алгоритму.

1. Ограничить права доступа к панели отдельным IP.
2. Закрыть ненужные порты в Firewall.
3. Обновить пароли и SSH-ключи.
4. Провести комплексное обновление ПО.
5. Очистить сервер от чужеродных скриптов — бэкдоры и шеллы.

Защита rdp-сессий через ssl/tls

Если при подключении не используется VPN, защита RDP-сервера от перебора паролей обеспечивается SSL/TLS-соединением туннелированного типа. Чтобы настроить этот параметр, нужно задействовать запрос определенного уровня безопасности, указав SSL (TLS 1.0).

Защита windows server

Рассмотрим самые популярные способы защиты виртуального сервера на основе Windows Server.

Защита от dos, ddos и flud атак, а также перебора паролей

Установим mod-evasive для Apache

aptitude install libapache2-mod-evasive

подключим

a2enmod

и изменим конфигурации в файле /etc/apache2/mods-available/mod-evasive.conf

Защита от разного рода инъекций

Для дополнительной безопасности установим расширение mod_security

aptitude install libapache2-modsecurity

Переименуем конфигурационный файл

mv /etc/modsecurity/modsecurity.conf{-recommended,}

Теперь откроем его и изменим конфигурации

#Включим режим блокировки
SecRuleEngine on
#Определим максимальный размер данных POST, в данном случае 10м
SecRequestBodyLimit 10485760
#Определим максимальный размер данных POST за вычетом файлов, в данном случае 10м
SecRequestBodyNoFilesLimit 1048576

Подгрузим базовые правила, для чего между IfModule security2_module> в файле /etc/apache2/mods-enabled/mod-security.conf добавим

Include /usr/share/modsecurity-crs/*.conf
Include /usr/share/modsecurity-crs/base_rules/*.conf

Изменение имени администратора и создание нескольких аккаунтов

После смены имени получить несанкционированный доступ будет сложнее. Для этого:

1. Переходим по «Редактор локальной политики безопасности» — «Локальные политики» — «Параметры безопасности» — «Учетные записи» — «Переименование учетной записи администратора».
2. Устанавливаем имя, которое известно только вам.

Если сервер администрирует несколько человек, для каждого нужно создать отдельную учетную запись. Это позволит отслеживать чужие действия через системный журнал. Для систем Unix специалисты рекомендуют вообще не использовать учетную запись root.

Как арендовать хостинг, защищенный от ddos-атак

Чтобы обеспечить себя надежным и безопасным хранилищем для веб-проектов, достаточно стать клиентом Timeweb. Зайти на страницу хостинга, выбрать тариф с подходящими условиями, а также поставить галочку напротив пункта «Защита от DDoS-атак». После этого нужно ввести личные данные для регистрации.

Первые 10 дней сервером можно будет пользоваться бесплатно, чтобы оценить его возможности. Но даже до оплаты, если у вас возникнут сложности, всегда можно будет обратиться за помощью в круглосуточную техподдержку Timeweb.

Как безопасно размещать сайты на хостинге

Небольшая заметка о том, почему опасно размещать несколько сайтов на одном аккаунте хостинга и как справиться со взломом нескольких сайтов на аккаунте.

Виртуальный (он же “шаред”/shared) хостинг можно представить в виде коммунальной квартиры или общежития, где живут несколько сайтов в одном общем виртуальном пространстве. У большинства хостинг-компаний на аккаунтах shared-хостинга (это те тарифы, где можно размещать 2, 3, 10, 50 сайтов) ресурсы не изолированы друг от друга: у всех сайтов один общий владелец, а скрипты сайта выполняются с правами того единственного владельца аккаунта или с правами пользователя веб-сервера www-data (к счастью, последнее встречается все реже). Фактически это означает, что скриптам одного сайта разрешено создавать, удалять, редактировать файлы любого другого сайта на том же аккаунте, а также скрипты одного сайта могут получить доступ к базе данных другого сайта. Поэтому хакеру

достаточно взломать один сайт, чтобы получить контроль над всеми сайтами хостинг-площадки

. Например, заразить их вирусами, получить доступ к чувствительным/конфиденциальным данным или полностью уничтожить.

Как все это проецируется на реальную жизнь?
К нам обращается владелец сайтов, размещенных на shared-хостинге, с жалобой на какой-то определенный сайт (с него может идти спам или доступ к нему блокирует антивирус), но после экспресс-проверки сайтов аккаунта оказывается, что на остальных также загружены хакерские скрипты или внедрен вирусный код.   То есть взломан и заражен весь аккаунт. Вместо одного сайта нужно лечить все пять (десять, двадцать, пятьдесят,…) Клиент в печали.
Часто в целях финансовой экономии владелец shared-аккаунта просит вылечить только один сайт, а остальные не трогать (или вылечить их позже). Это плохая практика, так как уже через несколько дней вредоносный код с соседнего зараженного сайта может снова попасть на вылеченный и он окажется повторно инфицирован. Поэтому при взломе / заражении сайтов на виртуальной площадке, где размещено больше одного сайта, необходимо обязательно проводить работы с каждым сайтом (сканировать на вирусы и хакерские скрипты, лечить, если сайт заражен, и ставить защиту от взлома). В противном случае гарантированного избавления от взломов и заражения не будет, а сам процесс лечения будет напоминать вычерпывание воды из дырявой лодки. То есть бесконечный процесс: пока один чистили от вирусов, второй уже заразился.

У владельца зараженного аккаунта есть только три возможных варианта эффективного решения данной проблемы:

1. изолировать сайты на отдельных аккаунтах: каждому сайту купить отдельный аккаунт на shared-хостинге и перенести сайты на них, после чего постепенно вылечить сайты
2. удалить или заблокировать сайты, которые не представляют особой ценности, а остальные в течение суток вылечить и защитить от взлома
3. вылечить и защитить от взлома все сайты на виртуальной площадке в течение суток (или быстрее)

Важно понимать, что

1. сайты должны быть изолированы друг от друга, то есть размещены в разных пользовательских аккаунтах виртуального хостинга (или размещены на виртуальном хостинге, где данная изоляция уже заложена в архитектуру хостинга, но таких очень мало)
2. сканирование, лечение и защита должны быть выполнены для всех активных сайтов виртуальной площадки, причем в сжатый временной интервал (например, в течение суток или быстрее).

Большинство владельцев аккаунтов виртуального хостинга неправильно понимают термин “изоляция сайтов”, кроме того, они не знакомы с динамикой распространения вредносного кода и механизмом заражения сайтов на хостинг-площадке, что порождает несколько типичных заблуждений.

Читайте также:  Managed Ghost Hosting » Best Speed & Security - FastComet

1. Заблуждение №1 : Если создать для каждого сайта свой FTP аккаунт, то сайты будут изолированы.

   Увы, это не так. В данном случае сайты будут изолированы только по FTP, но через веб-скрипты по-прежнему возможен доступ к любому файлу любого сайта или базы данных в рамках виртуальной площадки.
   Настоящая изоляция возможна только при размещении на разных аккаунтах виртуального хостинга или если если ее специальным образом обеспечивает хостинг (виртуализацией, настройками операционной системы, на уровне ядра и т.п.). Стоит сразу отметить, что php опция open_basedir в данном случае не спасает.

2. Заблуждение №2 : Сейчас можно вылечить один сайт, а через некоторое время – остальные.

   К сожалению, нельзя. К тому времени, как будет вылечен последний сайт, первый снова будет заражен от “больных” соседей. И процедуру придется выполнять бесконечно.

А что, если

сайты хостятся на VPS/VDS/ выделенном сервере ?

Для выделенного сервера справедливы те же правила: сайты опасно размещать внутри одного аккаунта пользователя. Для каждого сайта нужно

создать отдельного пользователя

операционной системы и разместить сайт в каталоге этого пользователя. Часто делается обратное: 50 сайтов лежат в директории /var/www/admin/. Причем все 50 оказываются в одночасье заражены.

Если у вас VDS сервер или виртуальный аккаунт, на котором уже размещено больше трех сайтов внутри одного пользовательского каталога, рекомендуем потратить немного время и изолировать сайты друг от друга. В перспективе это сэкономит вам время, деньги и нервы.

Чем еще полезна изоляция сайтов ?

Плюсов масса:

1. к каждому сайту можно сделать отдельный SFTP аккаунт (и перестать пользоваться старым и небезопасным FTP)
2. для каждого сайта можно прописать оптимальные настройки, повысив безопасность и производительность, и быть уверенным, что они не сломают другие сайты на площадке
3. seo-специалистам, фрилансерам-программистам можно предоставлять доступы только к одному сайту (по FTP/SSH) и не бояться, что они сломают соседние сайты
4. лечение и защиту сайов в случае массового взлома можно выполнять постепенно, по одному

Надеемся, что данная информация поможет вам избежать проблем массового взлома сайтов или, если он уже случился, наиболее эффективно с ним справиться.

Если у вас остались вопросы или вам нужна помощь специалистов,

.

другие статьи.

Кому нужен хостинг с защитой от ddos?

Услугами хостинга пользуются разработчики, блогеры, предприниматели и системные администраторы. То есть все, кто занимается созданием и администрированием сайтов, веб-приложений и игровых серверов.

Хостер предоставляет пространство в интернете под серверные файлы, организует управление ресурсом, дает возможность покупать и регистрировать доменные имена и подключать сертификаты безопасности.

Локальная и групповая политика безопасности

При использовании групповых политик (например, в Active Directory) понадобится периодически проводить проверки и повторную конфигурацию. Это один из самых эффективных инструментов, гарантирующих обеспечение безопасности ОС.

Локальная политика безопасности затрагивает локальные аккаунты, поэтому ее тоже необходимо использовать, чтобы обезопасить сервер.

Мастер настройки безопасности

Утилита Microsoft Security Configuration Wizard (SCW) создает файлы безопасности для дублирования на все серверы инфраструктуры. Они состоят из правил работы с сервисами, настройки параметров ОС и брандмауэра.

Меры защиты хостинга, принимаемые компанией timeweb

Чтобы обезопасить данные клиентов от взлома и вирусных атак, Timeweb задействует сразу четыре степени защиты:

• Все серверы автоматически защищены от вирусов и разного рода вредоносного кода с помощью антивируса. База антивирусного программного обеспечения постоянно обновляется и защищает от актуальных угроз.
• За дата-центрами Timeweb ведется круглосуточное наблюдение. Они защищены от несчастных случаев и физического проникновения.
• Пользовательские данные также находятся под защитой. На сервере регулярно создаются резервные копии.
• Серверы защищены не только от вирусов и вредоносного кода, но и от взломов. В Timeweb есть DDoS GUARD, обороняющий данные пользователей от злоумышленников, пытающихся вывести сайт клиента из строя.

Настройка firewall

Онлайн-серверы Windows не имеют дополнительных шлюзов безопасности. За это отвечает только брандмауэр, обеспечивающий защиту подключений. С его помощью можно отключить неиспользуемые порты.

Самому обычному VPS потребуются только порты 80 и 443. А для неиспользуемых портов необходимо ограничить источники подключений, установив пользовательский список IP, для которых оно возможно. Для этого настраиваются правила входящих подключений.

Следующие порты должны быть доступны пользователям, чей IP-адрес надежен:

• 3389 — стандартный порт RDP;
• 1433-1434 — стандартные порты SQL;
• 53 — DNS;
• 80, 443 — веб-сервер;
• 990 — FTPS.

Общие принципы безопасности

Безопасность сервера — это комплекс операций, поэтому полагаться исключительно на конкретную меру не имеет смысла. Ниже представлены основные моменты, которые позволяют повысить безопасность как для Windows, так и для Linux.

Общий доступ с паролем

Защита терминального сервера основывается на установке паролей для папок с общим доступом. Это обезопасит систему, так как даже через файлы, которые не представляют собой никакой ценности, можно получить к ней лазейку.

Следует ограничить права пользователей без полного доступа. Такая защита сервера намного проще, чем следить за безопасностью всех учетных записей.

Ограничение прав учетной записи

По возможности все операции, которые не требуют прав администратора, должны выполняться с другой учетной записи. Это повышает безопасность, когда речь идет о случайном запуске зараженной вирусом программы.

Например, защита почтового сервера часто включает в себя мониторинг спама, которым нередко пользуются взломщики. В таком случае вредоносное ПО не сможет навредить системе, так как у учетной записи ограничены права.

Ограничение серверов

Деактивируйте неработающие серверы и демоны (фоновые программы). Это сильно повысит безопасность, поскольку взломать неработающую службу нельзя. Возможно настроить брандмауэр, чтобы доступ к различным службам, не использующимся постоянно, осуществлялся исключительно с безопасных IP, выбранных пользователем.

Отключение входа для суперпользователя

Один из самых надежных способов обезопасить сервер Linux — совсем не использовать вход с root-правами. Полномочия суперпользователя, требуемые для запуска ряда программ, лучше получать с помощью команды sudo. Этот способ позволит сохранить анонимность пароля администратора, а также реализовать требования политики безопасности и наладить мониторинг действий.

Патчи безопасности и системы контроля доступа

В различные ОС на основе Linux встроены патчи, помогающие обеспечить безопасность системы. Например, не допустить потенциально уязвимую конфигурацию системы или срабатывание опасных программ.

Наряду с интегрированными решениями, для повышения безопасности ОС широко применяют системы контроля доступа, называемые также контейнерами или «песочницами» (от англ. sandbox). Они существенно ограничивают доступ к ядру системы, путём реализации правил политики безопасности (фильтрации вызовов), а также создания изолированных сред, где запускаются потенциально вредоносные приложения.

Обычно системы контроля доступа встроены в большинство популярных ОС на Linux. Но по умолчанию там установлена лишь базовая комплектация, которую по возможности нужно обновлять до полной версии и производить детальную настройку.

Перенос портов

Изменение стандартного SSH дает возможность повысить уровень защиты. Чтобы выполнить такой перенос, необходимо:

1. В настройках SSH прописать:

sudo nano /etc/ssh/sshd_config

2. Сохранить изменения и перезапустить:

sudo service ssh restart

3. Чтобы совершить вход, понадобится указать новый порт (в примере — 49681):

Политика безопасности пользователей и привилегии

Нужно отключить те учетные записи, которые больше не должны иметь доступ к системе. Рекомендуется для каждого пользователя создавать уникальную учетную запись, чтобы защитить большее число служб от несанкционированного доступа.

Привилегии для файлов, которые доступны через интернет, должны быть минимальными. Права доступа к ним могут быть только у ограниченного круга пользователей. Это повысит безопасность ОС.

Порядок действий при взломе

1. Проверка сайта на наличие вирусов и уязвимостей. Необходимо регулярно обновлять пакеты и скрипты сайты, следить за производительностью и логом файлов сервера. Выявить вирусы можно с помощью скрипта Al-bolit и любого другого.
2. Последние измененные файлы. Проверка файлов, которые изменялись за последние 10 дней, проводится с помощью команды:

Признаки взлома сервера

• Нестабильная работа и блокировка VPS.
• Отсутствие доступа к root и другим правам пользователя.
• Заметный рост трафика на сервере.
• Странная сетевая активность (рассылка почты в отсутствие пользователя, передача файлов через SSH и т.д.).
• Рассылка спама с VPS.

Обнаружение любого из упомянутых признаков требует тщательной проверки сервера и системы. В некоторых случаях сбои в работе могут не иметь отношения ко взлому, например, являясь следствием технических или программных проблем, прерывающегося интернет-соединения.

Применение fail2ban

Этот способ включает в себя применение утилиты, которая не входит в стандартную комплектацию системы. Для ее установки воспользуйтесь командой

sudo apt-get install fail2ban

Перед внесением любых изменений в настройки, необходимо создать резервную копию их файла, чтобы не потерять установки по умолчанию. Изначально утилита располагает несколькими фильтрами для сервера Apache. При ее установке рекомендуется создавать свои на основе требований к безопасности используемого веб-сервера.

Утилита может отслеживать журнал входов, благодаря чему можно пометить те IP-адреса, с которых осуществлялось большое количество неудачных авторизаций. Предположительно, в это время с таких IP пытаются подобрать нужную комбинацию для входа. FAIL2BAN автоматически создает правило брандмауэра, которое временно блокирует их.

Проверенное по

В сети достаточно open-source продуктов, которые далеко не всегда отвечают нормам безопасности. Перед установкой необходимо обязательно убедиться в надежности разработчиков и ресурса.

Скачивать такое ПО можно только из официальных источников, поскольку любые сторонние сайты могут содержать вредоносные скрипты. Это касается даже ресурсов с первых страниц поисковой выдачи.

Проверка сервера

• Определения времени входа в систему. Если он осуществлялся в отсутствие пользователя, необходимо уточнить, кто еще имел доступ в этот период.
• История команд. Не лишним будет знать, какие команды вводились в системесервере, какие операции к ним привязаны. Сопоставление даты их активации с временем входа поможет определить источник проблем.
• Проверка IP-адресов. Если в списке есть незнакомые адреса, которым точно никто не давал доступ, сервером пользуются несанкционированно.
• Подозрительные процессы. Такими могут быть многие фоновые операции, неожиданно появившиеся в списке и забирающие большое количество ресурсов. Обычно они заметны сразу.

Протокол ssh

Это стандартный и достаточно безопасный способ подключения к веб-серверу Linux. Протокол предусматривает сквозное шифрование, передачу незащищенного трафика по надежному соединению, применение x-forwarding и др. Изменив его конфигурацию, возможно защитить сервер от шифровальщиков за счет применения SSH-ключей.

Вход через пароль — это самый распространенный вариант, но он менее безопасен, так как нужную комбинацию относительно легко подобрать с помощью современных инструментов.

Работа с паролями

Убедитесь, что вход для пользователей защищен надежным паролем. Сильным с точки зрения безопасности считается пароль, содержащий минимум 8 числовых и буквенных символов, часть из которых обязательно должна писаться в разном регистре. Настроить политику работы с паролями в Linux можно c помощью модуля pam_cracklib.so, встроенного в конфигурационный файл набора библиотек Pluggable Authentication Modules (PAM).

Аудит пользовательских паролей на соответствие данным параметрам безопасности можно проводить с помощью специальных сервисов для автоподбора (например, John the Ripper или Ophcrack). Выявленные легкие пароли рекомендуется заменить на более сложные.

Не забывайте своевременно обновлять пароли. Рекомендуется запрограммировать «срок годности» паролей с помощью команды change или выставить параметры вручную в файле /etc/shadow. После установленного срока система вышлет пользователю уведомление с просьбой сменить пароль.

Разделение пользователей и установка fast-cgi

Для разделения пользователей существует как минимум 2 реализации: suexec и apache2-mpm-itk. Для работы через suexec потребуется запускать php приложение для каждого пользователя отдельно, в отличии от аpache2-mpm-itk, который запускается через mod_php один раз для всех процессов.

Тем не менее я упущу настройку аpache2-mpm-itk, так как запуск одного процесса не дает достаточной гибкости, и в частности запуска отдельного php.ini, а потерю производительности можно компенсировать использованием Fast-CGI. Конечно, той скорости, дает php_mod получить не удастся, но зато удастся сэкономить ресурсы системы.

Для начала установим необходимые модули. Предполагается, что сервер у Вас уже установлен и настроен.

На примере Ubuntu

aptitude install apache2-suexec libapache2-mod-fcgid php5-cgi 

Если Apache2 был установлен с PHP5 в виде модуля Apache, отключаем его:

a2dismod php5 

Включим следующие модули, если не включены

a2enmod rewrite
a2enmod suexec
a2enmod include
a2enmod fcgid

Сценарий для выполнения PHP, размещается в коревой директории Suexec, которой по умолчанию является /var/www, тем не менее проверить это поможет следующая команда

/usr/lib/apache2/suexec -V 

В ней создадим директорию fcgi, где и будут храниться наши сценарии и настройки php для каждого пользователя и определим вложенную папку непосредственно для владельца

mkdir -p /var/www/fcgi/login 

Внутни созданим файл php5, где пропишем сценарий для выполнения php

chown login:login /var/www/fcgi/login/php5 

В /var/www/fcgi/login/php5 добавим запись

#!/bin/sh
PHPRC=/var/www/fcgi/login/php.ini
export PHPRC
export PHP_FCGI_MAX_REQUESTS=5000
export PHP_FCGI_CHILDREN=8
exec /usr/lib/cgi-bin/php 

Линия PHPRC содержит каталог, где находится файл php.ini (например, /var/www/fcgi/login/ переводится в /var/www/fcgi/login/php.ini). PHP_FCGI_MAX_REQUESTS отвечает за количество запросов, которые обработает один процесс. PHP_FCGI_CHILDREN указывает количество дочерних процессов, запускаемых PHP для обработки входящих запросов. php5 должен быть исполняемым, и он (и его каталоги) должны принадлежать пользователю веб-сайта и группы.

Теперь перенесем дефолтовый файл php.ini из дефолтовой директории /etc/php5/cgi/ в нашу /var/www/fcgi/login/php5, и настроим основные параметры. Для каждого сайта они будут индивидуальные, но на основные следует сразу обратить внимание

;Обеспечивает поддержку правильных PATH_INFO/PATH_TRANSLATED в CGI
cgi.fix_pathinfo=1
;Разрешим использование коротких тегов <? ?>
short_open_tag = on
;Ограничим пользователя его домашним каталогом
open_basedir = /home/login/docs
;Ограничим функции, что в первую очередь относится к функциям exec, которые в нашем случае вреда не принесут. Тем не менее лишнии функции желательно отключить
disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_getpriority,pcntl_setpriority,pcntl_exec,exec,passthru,shell_exec,system,proc_open,popen,curl_multi_exec,parse_ini_file,show_source,highlight_file,etc
;Отключим глобальные переменные
register_globals = Off
;Отключаем регистрацию устаревших переменных
register_long_arrays = Off
;Устанавливает максимально допустимый размер данных, отправляемых методом POST
post_max_size = 8M
;Временная директория, используемая для хранения файлов во время закачивания
upload_tmp_dir = /home/login/tmp
;Максимальный размер закачиваемого файла
upload_max_filesize = 2M
;Запретим загрузку удаленных файло
allow_url_include = Off
;Агент отправки e-mail
sendmail_path = /usr/sbin/sendmail -t -i
;Уберем лишний заголовок X-PHP-Originating-Script
mail.add_x_header = Off
;Определяем максимально допустимое значение памяти. -1 без ограничений
memory_limit = 128M
;Определяем максимальное время обработки скрипта
max_execution_time = 30

Для корректировки путей в файле /etc/apache2/mods-available/fcgid.conf добавьте

PHP_Fix_Pathinfo_Enable 1

а также установите параметр FcgidMaxRequestLen указав максимальный размер запроса

FcgidMaxRequestLen 10737418

Также скорости прибавит memcached и xcache

aptitude install memcached
aptitude install php5-xcache 

Регулярное обновление по

Своевременное обновление, согласно системным требованиям, устраняет уязвимости, которые выявлены разработчиками, но еще неизвестны хакерам.

• В случае с Linux для систем CentOS можно использовать пакет yum-cron, автоматически скачивающий и устанавливающий обновления. ОС на Ubuntu обновляются через unattended-upgrades.
• Для любой версии Windows рекомендуется настроить автоматическое обновление в «Центре обновления» системы.
• Для систем FreeBSD можно настроить регулярную проверку и скачивание патчей безопасности через freebsd-update (параметр — cron). Команда проверяет и скачивает нужные обновления, но не устанавливает их. После загрузки на почту пользователя придет уведомление. Он сможет просмотреть список загрузок и установить нужное с помощью freebsd-update install.

Перед установкой обновлений в рабочей среде их необходимо проверять на тестовом сервере. Это позволит отследить влияние скачанных пакетов на поведение некоторых программ, которое может быть нарушено.

Резервное копирование

Для виртуальной машины должно быть включено резервное копирование. После того, как сервер взломан, восстановить копию в безопасной среде без интернет-подключения достаточно легко. При этом сохранятся все данные и можно будет устранить уязвимость самостоятельно.

Системы изолированного запуска приложений на linux

Помимо отдельных приложений для безопасного запуска в режиме «песочницы» часто используют операцию изменения корневого каталога chroot, встроенную во все Unix-подобные ОС. Главный недостаток такого способа изоляции — сложность развертывания и отсутствия полного контроля за запущенными в этой среде процессами.

Типы ssh-ключей

• Открытый ключ — для идентификации пользователя, может быть общедоступным.
• Закрытый ключ — подтверждает открытый ключ (авторизацию) и хранится в безопасном месте.

Удаленные рабочие столы

Доступ к ним осуществляется через протокол RDP, который считается безопасным. Но есть возможность усилить защиту. Для этого существуют:

1. Блокировка подключения для учетных записей с пустым паролем. Она осуществляется через «Локальные политики безопасности» и параметр «Учетные записи: Разрешить использование пустых паролей только при консольном входе».
2. Изменение стандартного порта RDP. С этой целью в реестре изменяется параметр HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp Port Number. После необходимо добавить для него правило в брандмауэре и перезагрузить сервер. Чтобы подключить затем к порту через этот сервер, понадобится добавить его вручную в «Подключение к удаленному рабочему столу».

10 лучших хостингов с anti-ddos защитой 2022 — отзывы пользователей, обзоры хостингов