Исследователи из компании Imperva проанализировали (https://www.imperva.com/blog/2018/06/new-research-shows-75-o.../) состояние публично доступных серверов Redis, из-за недосмотра или ошибки конфигурации принимающих запросы из глобальной сети без аутентификации. Сканирование открытого порта 6379 в сервисе Shodan выявило (https://www.shodan.io/search?query=port%3A6379) 72 тысячи принимающих соединения серверов, из которых только 10 тысяч корректно смогли обработать запрос без ошибки. Проверка специфичных для известного вредоносного ПО ключей на ответивших Redis-серверах показала, что 75% из них поражены вредоносным ПО, как правило выполняющим майнинг криптовалют.
Для определения связанных с вредоносным ПО ключей и изучения поведения атакующих был создан подставной honeypot-сервер, который был атакован менее чем через сутки после появления в сети. Суть зафиксированных на подставном сервере атак сводится к созданию в памяти пары ключ/значение с последующим экспортом данных в файл, размещённый в доступных на запись каталогах со сценариями автоматического выполнения заданий, таких как /var/spool/cron/crontab и /etc/crontabs. Как правило атакующие запускали код для загрузки и запуска систем майнинга и подменяли ssh-ключи в локальной ФС для организации последующего удалённого входа на сервер. Примечательно, что в разных зафиксированных атаках сохранялись идентичные ssh-ключи, что свидетельствует об активности ботнета, контролируемого одними и теми же злоумышленниками.URL: https://www.imperva.com/blog/2018/06/new-research-shows-75-o.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=48705
Наберут на работу в системные администраторы по блату, а потом сервера заражёнными оказываются.
Даже по блату, чтобы выставить сервера в открытый доступ, надо постараться. Я уже и не помню, когда последний раз видел сервера в дмз. А если человек делает нат, оставляя открытым доступ, значит это ему нужно.
> Даже по блату, чтобы выставить сервера в открытый доступ, надо постараться.Виртуалка на хостинге (amazon, digitalocean, ...) в открытом доступе по внешнему ip.
"listen 0.0.0.0" есть, фаервола нет и привет.
Это еще deops или уже нет?
> Виртуалка на хостинге (amazon, digitalocean, ...) в открытом доступе по внешнему ip."listen 0.0.0.0" есть, фаервола нет и привет.
Вы таки не забывайте что для этого вам ещё нужно в файрволле открыть порт!
Его для начала нужно включить, обычно там ACCEPT во все поля.
в шапке это не так.
Может я каким другим амазоном пользовался, но у меня был по-умолчанию DROP
> Вы таки не забывайте что для этого вам ещё нужно в файрволле
> открыть порт!Если вы не знали, в указанных мной хостерах виртуалкам обычно из коробки дается внешний ip адрес.
Т.е., все что имеет "listen 0.0.0.0", сразу доступно из интернета.
Это от лени. Чаще всего во всяких хаутушечках под "открыть порт" понимается операция "iptables -I INPUT -p tcp --dport 1234 -j ACCEPT". И чтобы уметь туда добавить "-s 12.34.56.78" нужно уже "man iptables" осилить. К тому же, "облачные технологии" подразумевают зачастую, что ip-ники при каждом деплое будут новые, а настраивать скрипты деплоя так, чтобы сервера с базами всегда знали ip-ники серверов с клиентами - еще сложнее, чем прочитать "man iptables". А городить vpn-ку, чтобы база ходила в туннеле - может показаться пустой тратой ценного CPU. Вот и имеем, то что имеем - девелоперы на локалхосте убеждаются, что "все работает", "админ" на аутсорсе "занедорого" "настроил" сайтик и свалил. Результат - печален.
В амазоне по умолчанию все порты в мир закрыты. Так что таки да, постараться нужно при том очень сильно
> Наберут на работу в системные администраторы по блату, а потом сервера заражёнными
> оказываются."
- а ты свою CRC давно проверял?
- а при чем тут моя CRC...ой!
" (с) анекдот из жизни компьютеров конца прошлого века
разжуй чуть-чуть..CRC от чего?
Антивирус. Ты кто?
Вирус. Область данных!
Антивирус. А не вирус?
Вирус. Hи боже мой!
Антивирус. А зачем прерывания перехватываешь?
Вирус. Я?!
Антивирус. Вот же подпрограмма.
Вирус. Это не подпрограмма. Это цитата из Лао-цзы на языке оригинала в альтернативной кодировке.
Антивирус. А зачем EXE-файлы ищешь?
Вирус. А вдруг хозяин спросит: "А где мои ЕХЕ-файлы?" А я ему - вот они!
Антивирус. Сдается мне, что ты все-таки вирус.
Вирус. Hу ладно, только тебе признаюсь, только ты никому не говори! Hа самом деле я... антивирусная вакцина!
Антивирус. А зачем нужна антивирусная вакцина, если есть я?
Вирус. Откуда я знаю? У хозяина спроси.
Антивирус. А если я тебя на всякий случай все-таки грохну?
Вирус. А если я тебя?
Антивирус. Hе получится. У меня управление.
Вирус. А ты свою контрольную сумму давно пересчитывал?
Антивирус. А причем тут моя контрольная... ой!!!
Вирус. То-то же.
А где гарантия, что сисадмин там вообще был? Очень часто бывают варианты вроде: проект перерос уже шаред, давай на мощный VPS его. Перетащил разраб сайта с его владельцем сай, читают советы по оптимизации, видят что можно на VPS заюзать кэш и сессии в redis. Быстро ставят по кривым манам, особо не разбираясь, указывают 0.0.0.0 или внешний IP сервера в качестве интерфейса, запускают проект с кэшем и сессиями в redis и радуются.Осваивать нормальную настройку redis, правила файрвола и т.п. разрабу нафиг не нужно. Он не админ, ему то что... Что заказчик попросил, то он и сделал.
А заказчик тупо сэкономил. Заплатить разрабу за перенос сайта на VPS и немного за дополнительные движения проще, чем разрабу за перенос платить, а затем пришлому админу за нормальную настройку сервисов на сервере. Так люди годами и живут, пока им письмо счасться не прилетит от саппортов хостинга, или IP адрес сервера не загремит в DNSBL какой-то, а то и в Google Safe browsing, потому что на серваке всё завирусовано будет по самое никуда и на него начнут прилетать жалобы.
Это был noops. Это ничего, людишки, скоро искусственный интеллект захавает вас всех!
Скорее его через открытый порт нагнут и добывать руду заставят
Мыло будет с пола поднимать
Дык быстро же, рапид деплоймент во все поля у недобизнесов. Хипстота образок в докере развернула, и смузи пить ушла - красота! Все приколы вылезут чуть попозже.
Taщемта, стандартный докер-образ редиса никаких открытых портов снаружи не держит, а другие контейнеры могут обращаться к нему по встроенному локальному DNS-резолверу.
Серверы.
"Honeypot" это и есть "подставной" или "подсада".
> "Honeypot" это и есть "подставной" или "подсада".Это сервер пчеловодов
Это сервер виннипухов.
Зато как приятно развернуть сервер в два клика и с наслаждением смотреть, как у коммандлайновых старпёров подгорает от зависти.
75% развернули в 2 клика и наслаждением смотрят. И когда школьники уже поумнеют?
Как раз двумя кликами безопаснее, т.к. меньше возможностей налажать)
Тот, кто готовит сборку для установки в два клика, не может знать всех ваших обстоятельств. Если даже при этом вы считаете, что вы меньше знаете как и что надо сделать, то это... это печально.
Да и к тому же, кто гововят пакеты, могут сами лажануться с умолчальными настройками.
А вот и секта установки Генту в прод подъехала. Здравствуйте, ребята, чувствуйте себя как дома.
> Зато как приятно развернуть сервер в два клика и с наслаждением смотреть,
> как у коммандлайновых старпёров подгорает от зависти.Командлайновые старпёры пишут что-то вроде «redis-deploy W.X.Y.Z», [Enter], причём быстрее, чем хипстер попадёт своими кликами куда надо. А дальше командлайновые старпёры делают что-то ещё, пока скрипт (сценарий Ansible или что там ещё) разворачивает виртуалку/контейнер/сервис.
>Зато как приятно снять входную дверь и с наслаждением смотреть, как по квартире шастают незнакомые люди.исправил
Из года в год одно и то же
DevOps в чистом виде. Сколько я ни видывал девопсов, все недалёкие люди, помешанные на докерах, а как оно работает внутри они себе почти не представляют, даже настроить нжинкс перед вордпрессом на апаче (как синтетический пример) они не способны.Пожинаем результаты девопсизации индустрии.
Если на смузи хватает то какая разница как там работает?
Это вопрос профессионализма.Всегда были "сисадмины", которые кроме apt-get install, толком ничего не умели. Теперь они посмотрели видеокурсы по докеру и называют себя девопсами.
Профессионалы же освоили новые инструменты и применяют их там, где они нужны, а не потому что это модно.
Плюсую, два разных мира.
Вопрос на собеседовании начинаю с механики namespaces в ядре. Девопсята смузихлебы сразу понимают что не туда попали. Часто уходят еще до конца со словами "я передумал" или "не думаю что мне здесь нравится")
Вообще, в изначальном понимании идея devops очень правильная. Смысл был в том, чтобы наладить нормальную коммуникацию между админами и разработчиками, чтобы они понимали друг друга: админ в такой схеме понимает программирование и умеет в автоматизацию, а разработчики поставляют готовый для деплоя продукт, а не свалку кода, которая кое-как работает на машине разработчика с десятью костылями. Помню, когда мы делали на аутсорсе небольшой заказ для довольно крупной компании, их админы, изначально встретившие меня недовольными выражениями лиц и морально готовившиеся разгребать очередное гумно, получив готовый для развертывания проект с документацией, примерами инит-скриптов, файлов конфигурации и утилиту для управления и мониторинга, были в культурном шоке. :)Но в какой-то момент все это превратилось в известно что. Хотя многие хорошие специалисты тоже стали называть себя девопсами - так больше платят :)
terraform (https://www.terraform.io) стоящий инструмент?
> terraform (https://www.terraform.io) стоящий инструмент?кабан, аджиль, девопс, https://zaitcev.livejournal.com/247391.html IaaC
> настроить нжинкс перед вордпрессом на апачекак бы настроить это так что-бы оно умело одновременно https и http/правильно отдавало статику и не кэшировало то что не нужно ( да ещё и работало не требуя донастроек при всяких плагинах + могло обновляться ;) ) в принципе плохо выходит, а если ещё и 10-к vhost и не только wp на домене.
Теперь везде насрано майненгскриптами, куда не ткнись везде щкольные явамайнеры в тырнет стращно теперь..
А всего лишь нужно было не перекладывать вопросы безопасности на пользователей и не давать по дефолту принимать запросы без аутентификации. Всех людей не исправишь, а вот софт исправить - 5 копеек.