Servidor Comprometido – Prevenção | Linux Systems

É obvio que quem têm um servidor espera que algo nunca aconteça: servidor ser comprometido.
Como isso pode acontecer, aqui seguem algumas dicas para prevenir ataques, e conselhos sobre o que fazer caso isso aconteça.
Continue a ler para descobrir o que fazer quando o seu servidor foi comprometido.
De forma a prevenir que o seu servidor seja alvo de ataques, siga os passos seguintes:

1 Escolher uma password complexa

A prevenção de ataques ao servidor começa no momento da instalação: é-lhe solicitada uma password administração e por simples que pareça, deve escolher uma password complexa.
Exemplo: P@ssw0rd não é particularmente seguro.
Aqui está um site que pode ser útil para gerar passwords seguras e complexas: http://www.safepasswd.com/


2 Não deixe a sua password visível por aí

Não deixe a sua password visível por aí e lembre-se de desligar a opção de guardar a password no browser. O seu computador pode ser atacado e guardar password dessa forma é igualmente perigoso.


3 Instale um software antivírus adequado no seu computador

Além disso, key loggers (um tipo especifico de vírus que pode registar as teclas digitadas no computador) podem experimentar e descobrir as suas passwords, e depois enviar as mesmas para terceiros poderem utiliza-la. Certifique-se que tem um antivírus adequado para impedir key loggers.


4 Certifique-se que as aplicações no seu servidor apenas estão disponíveis para os utilizadores que a necessitam

Ter aplicações amplamente disponíveis para todos os que acedem ao seu computador (quer tenham a sua permissão ou não) pode levar a um abuso desses aplicativos.
Um exemplo:
Se apenas certos utilizadores podem trabalhar com FTP/SSH, certifique-se que quaisquer outros IPs estão bloqueados pela firewall a esses serviços..


5 Execute verificações regulares por chrootkits/vírus etc

Analise o seu servidor utilizando uma aplicação de monitorização. Se encontram uma certa aplicação que está a causar problemas e não está relacionada com o seu site, pode existir um problema no servidor. Um software de monitorização pode também disponibilizar verificações contra rootkits e vírus.
Cuidado: o software de monitorização também o alerta sobre componentes desactualizados. É recomendado que actualize esses componentes EXCEPTO se uma aplicação precisar da versão actual instalada do componente.


6 CONTEUDOS

a. Eliminar ficheiros desnecessários Garanta que não disponibiliza online documentos/tutoriais/changelogs ou outras identificações exclusivas de certas aplicações. Esses ficheiros facilitam a tarefa dos hackers para aceder aos seus sites e conteúdos.
b. Escolha cuidadosamente os privilégios para cada aplicativo Com frequência os ficheiros e/ou aplicativos são publicados com chmod 777. Isto significa que qualquer pessoa que aceda a estes ficheiros, pode ler, escrever e executar os mesmos. Se não deseja isso, bloqueie essas permissões para que sejam apenas acessíveis aos utilizadores correspondentes.
c. Garanta que guarda dados sensíveis de uma forma segura, como numa base de dados. Infelizmente, muitos ainda usam ficheiros de texto simples para guardar dados confidenciais. Esses ficheiros não são encriptados e, se chegarem às mãos de hackers, podem ser utilizados para todo o tipo de ações indesejadas. d. Garanta que os conteúdos que publica não podem ser adulterados. Conteúdos podem ser usados para lançar ataques sobre outros, por isso assegure-se que protege os seus conteúdos. Um exemplo de algo que acontece muitas vezes é uma (My)Sql injection. Leia mais sobre isso em http://en.wikipedia.org/wiki/SQL_injection
e. Software gratuito nem sempre é de graça. Inúmeras versões gratuitas de aplicativos (web) que usualmente são pagos podem ser encontrados livremente na Internet. Muitas vezes, essas aplicações incluem código para obter os seus dados seguros.


7 Certifique-se que tem uma cópia dos seus dados

Se existir um problema com o seu servidor, e precisar de o reinstalar ou migrar para um novo, a forma mais rápida de colocar tudo novamente online é ter um backup dos seus dados que possa ser facilmente usado.
Por favor certifique-se que guarda os seus backups num local fora do seu próprio servidor.

Como regra, tente manter sempre o seu sistema atualizado.
Não corra riscos desnecessários. Proteja o seu servidor e o seu árduo trabalho!

---

CURAR UM ATAQUE AO SERVIDOR

---

Como ataques (hacks) ocorrem com frequência, aqui estão algumas instruções sobre o que deve fazer para evitar que os seus servidores sejam comprometidos.


ATAQUE 1 – Password administração foi alterada

No caso da sua password de administração (root) ter sido alterada, use o Modo Recovery. Pode encontra-lo no Painel de Controlo. Esta ferramenta permite montar o disco em recovery, a partir do qual pode realizar um chroot ao mesmo e alterar a password. Após essa operação, desmonte o disco e reinicie o servidor em modo normal.
>> Por favor, tome nota que enquanto o servidor está em modo recovery, todos os sites, email, etc. estão indisponíveis.


ATAQUE 2 – A password do Plesk foi alterada

No caso do Ataque 1 e Ataque 2 não terem acontecido em simultâneo pode-se alterar a senha do Plesk utilizando uma ligação SSH (no caso de ambas as password de administração e do Plesk serem alteradas, primeiro resolva o primeiro ataque antes de resolver o segundo).
Via SSH digite:
cat /etc/psa/.psa.shadow
A password será mostrada

Para o caso do ficheiro shadow ter sido eliminado deverá executar:
#/etc/rc.d/init.d/psa stopall
(isto suspende todos os serviços do Plesk)
#/usr/local/psa/mysql/bin/safe_mysqld –skip-grant-tables &
ou
#/usr/bin/safe_mysqld –skip-grant-tables &
(isto inicia o MySQL, e ignora a tabela grant [password] table)
#/usr/local/psa/mysql/bin/mysql mysql
(isto acede ao MySQL)

#use mysql;

#FLUSH PRIVILEGES;
#SET PASSWORD FOR admin=PASSWORD(’a-sua-password-aqui’);
(copie esta entrada e substitua ‘a-sua-password-aqui’ pela sua nova password)
#exit
(de volta ao MySql e está ligado na Shell como root)
#killall mysqld
ou
#/etc/rc.d/init.d/mysqld restart
(isto encerra a execução do MySql daemon)
#/etc/rc.d/init.d/psa start
(isto inicia o Plesk, que por sua vez vai iniciar o MySql daemon com a nova password)


ATAQUE 3 – A sua caixa de email foi atacada

Resolver este problema depende de como a sua caixa de email foi configurada.

No caso da sua caixa de email estar na *****Plataforma da Amen (isto é, não estar no seu servidor)

Aceda ao Painel de Controlo e selecione o domínio em questão. Clique em Email e Gerir endereços de email . Aqui vai encontrar a opção para alterar a password da sua caixa de email.

No caso da sua caixa de email estar no Plesk:

Aceda ao servidor e selecione o domínio. Clique em Mail accounts e selecione a caixa de email. Altere a password através das Preferences settings.


ATAQUE 4 - Ficheiros desconhecidos apareceram/desapareceram no seu FTP

Neste caso, alguém provavelmente descobriu o seu utilizador e a password de FTP.
Necessita criar um novo utilizador e password para esse acesso.
Tal como para o ataque à caixa de email, existem 2 maneiras para resolver isso:

1. Se usa o utilizador FTP da *****Amen (não o FTP do Plesk):

Aceda ao Painel de Controlo no site da Amen e selecione o dominio em questão. Clique em FTP (Se tiver um Hosting Hosting Linux ou Windows selecione-o primeiro). Elimine o utilizador existente e crie um novo com uma nova password.

1. Se usa o FTP do Plesk:

Aceda ao seu servidor e selecione o domínio. Vá a Web Hosting Settings e altere as definições do utilizador de FTP.

Se possui o Plesk 10 tem a opção para definir vários utiizadores; elimine os existentes e crie novos.
Se anteriormente criou jailed users via SSH então precisa de os eliminar aqui.


ATAQUE 5 – A sua aplicação foi comprometida/não sabe ao certo o que foi comprometido

Se a sua aplicação foi comprometida ou pensa que o servidor foi comprometido por completo, a melhor escolha é Reinstalar o servidor. Isso pode ser facilmente realizado através do seu Painel de Controlo e vai permitir começar com o servidor limpo e pronto a configurar. Embora isto signifique que os seus sites vão ficar inacessiveis, continua a ser a melhor forma e mais segura de garantir que mais ninguém fica com acesso ao seu servidor.
Quando reinstalar o servidor é muito importante possuir um backup de todos os seus dados. Por favor certifique-se que tem um backup não comprometido antes de continuar..