Apache, cPanel, WHM, Power Panel

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: « vorige 1 2 3 ... 6 7 8 9 10 11 volgende »

Ozzie PHP

Ozzie PHP

20/12/2012 20:53:39
Quote Anchor link
Ik zit even dit te lezen: http://abusedcompetence.com/2011/10/30/how-to-un-ban-yourself-when-cphulk-thinks-youre-an-intruder/

Gaat over iemand die niet meer kon inloggen in WHM. Hij zegt het volgende:

"1. Log in to your server via SSH as root. This should still be allowed because cPHulk blocks access to cPanel/WHM, not the server shell itself. (If another product such as the awesome csf/lfd firewall product has blocked you, however, you may not be so lucky)"

Hieruit leid ik af dat cPHulk toch uitsluitend aanvallen op cPanel / WHM blockt, en dus niet op de SSH poort. Toch maar beter dan om CSF te installeren lijkt me zo.

Toevoeging op 20/12/2012 20:56:32:

Is het trouwens mogelijk (en verstandig) om het poortnummer van de SSH verbinding te wijzigen en de normale SSH poort dicht te gooien?
 
PHP hulp

PHP hulp

28/12/2024 20:57:47
 

20/12/2012 22:53:07
Quote Anchor link
Ja, kijk hiervoor naar /etc/ssh/sshd_config en zoek naar #port 22, uncomment deze en geef het een eigen poort(beste is 5+ cijfers).
Voeg de nieuwe poort ook toe aan de firewall en log niet uit voordat je zeker weet dat je via deze poort kan inloggen(zoniet sluit je jezelf buiten!!), dit is het beste te testen door nog een verbinding te openen naar de server met de nieuwe poort.

Nog veiliger is, is om alleen maar gebruik te maken van public/private keys om in te loggen.

Voor de beveiliging raad ik absoluut csf aan, in combinatie met clamav, mod_security en mod_ruid2.
Gewijzigd op 20/12/2012 23:04:33 door
 
John D

John D

20/12/2012 23:25:05
Quote Anchor link
Ozzie PHP op 20/12/2012 20:53:39:
Is het trouwens mogelijk (en verstandig) om het poortnummer van de SSH verbinding te wijzigen en de normale SSH poort dicht te gooien?
Nee, met een portscan weet ik binnen 5 minuten op welke poort je dan wel ssh open hebt. Onzin om dit dan obscure te maken. Zoek even op obscure terug in dit draadje, is al eerder over gesproken. Zoek geen spijkers op laagwater, zorg dat rootlogin disabled en zorg dat je met een andere user in kan loggen en root worden. ssh is dan al behoorlijk beveiligd omdat niet bekend is welke usernaam jij gebruikt.
Gewijzigd op 20/12/2012 23:30:01 door John D
 
Ozzie PHP

Ozzie PHP

20/12/2012 23:26:01
Quote Anchor link
Hoi Phoenix, 5+ cijfers? En mag ik dan gewoon zelf iets kiezen? Hoeveel poorten zitten er uberhaupt op dan? Tot hoever kan ik gaan? En als ik het heb aangepast, moet ik dan nog een of andere service herstarten ofzo? Of werkt het direct?

Als ik ga beveiligen dan houd ik het eerst maar eens op csf en lfd. Als dat lukt, ben ik al heel blij. Dan heb ik al meer security dan dat ik nu heb. En als ik dan m'n root user disable en de ssh poort wijzig ben ik ook weer een eindje verder :)

Had je mijn vraag in mijn vorige reactie gelezen?

"1. Log in to your server via SSH as root. This should still be allowed because cPHulk blocks access to cPanel/WHM, not the server shell itself. (If another product such as the awesome csf/lfd firewall product has blocked you, however, you may not be so lucky)"

Kun jij beamen of cPHulk alleen de loginschermen van Power Panel, WHM en cPanel beschermt en niet de SSH poort?
 
John D

John D

20/12/2012 23:34:42
Quote Anchor link
ClamAV heb je vermoedelijk niet nodig omdat er geen virus mails door jouw server gaan. Aannemende dat de webservice die jij bouwt de enige is die email verstuurd en aannemende dat je een sendmail proces hebt draaien en wie allemaal mail mag verzenden (je hoster zal het niet ok vinden wanneer je (per ongeluk) mail relay bent) .
Edit:
cPHulk neemt ook de ssh poort mee.
Gewijzigd op 20/12/2012 23:38:44 door John D
 
Ozzie PHP

Ozzie PHP

20/12/2012 23:40:11
Quote Anchor link
Ah, thanks.

Werkt dat ClamAV overigens ook op webmail? Want daar heb je natuurlijk wel kans op besmette virussen. Alhoewel ik geloof dat er wel e-mail bescherming op zit.
Gewijzigd op 20/12/2012 23:40:24 door Ozzie PHP
 
John D

John D

20/12/2012 23:53:59
Quote Anchor link
Webmail is alleen maar een grafisch user interface. Het gaat erom wel proces de mail het internet op stuurt. Met phpmailer kan je bijvoorbeeld gmail instellen. Dan verstuurt jouw server zelf geen mail. Werk je met de php mail() functie of je stelt je lokale sendmail als smtp in in phpmailer dan wordt de email verstuurd door het sendmail proces op jouw server. Heb je een sendmail proces op jouw server? Kunnen er bijlagen verstuurd worden door derden (via jouw webmail bijvoorbeeld) dan kunnen die virussen bevatten en is ClamAV zinvol, anders niet. sendmail moet je ook kunnen zien met service sendmail status
 
Ozzie PHP

Ozzie PHP

20/12/2012 23:58:06
Quote Anchor link
John... wat ik bedoel is, in cPanel kan ik gewoon e-mailaccounts aanmaken. Er zitten ook gewoon (web-based) mailprogramma's ingebakken. Als je daarop inlogt kan je gewoon e-mails naar iemand sturen... en ook ontvangen.
 
John D

John D

21/12/2012 00:34:46
Quote Anchor link
Ozzie PHP op 20/12/2012 23:58:06:
John... wat ik bedoel is, in cPanel kan ik gewoon e-mailaccounts aanmaken. Er zitten ook gewoon (web-based) mailprogramma's ingebakken. Als je daarop inlogt kan je gewoon e-mails naar iemand sturen... en ook ontvangen.
Dat webbased is slechts een interface. Welke proces verstuurt de mail? phpmailer? mail()? De email op internet wordt door een smtp (simple mail transfer protocol) proces verstuurd. Vermoedelijk sendmail op jouw server. Doe eens als root: ps -ef |grep sendmail of service sendmail status. De mails worden niet door cpanel verstuurd.
Gewijzigd op 21/12/2012 00:35:55 door John D
 
Ozzie PHP

Ozzie PHP

21/12/2012 00:41:47
Quote Anchor link
bij die eerste zie ik grep sendmail staan, maar bij het 2e commando zegt ie "sendmail: unrecognized service"

Toevoeging op 21/12/2012 00:55:52:

John D op 20/12/2012 23:25:05:
Nee, met een portscan weet ik binnen 5 minuten op welke poort je dan wel ssh open hebt.

Welke tool gebruik je hiervoor?

(Ziet zo'n bot dat ook? Die zou dan toch eerst alle poorten moeten scannen?)
 
John D

John D

21/12/2012 04:39:33
Quote Anchor link
Dan heb je geen smtp/sendmail proces op je server en is misschien de smtp van je hoster in gebruik. Hoe je dat verder kan zien weet ik niet.
 
Ozzie PHP

Ozzie PHP

21/12/2012 10:23:58
Quote Anchor link
Oké! Maar hoe zie jij jwelke poorten ik heb openstaan? Dat zou ik graag zelf eens testen.
 
John D

John D

21/12/2012 11:10:17
Quote Anchor link
Ozzie PHP op 21/12/2012 10:23:58:
Oké! Maar hoe zie jij jwelke poorten ik heb openstaan? Dat zou ik graag zelf eens testen.
Dat doe je met een portscanner en die laat je op een bepaald ipadres even alle poorten testen van 0 tot 65535. portscan.exe onder windows is een simpele maar er zijn ook heel geavanceerde. Hoe geavanceerder hoe gedetailleerder de output en de pogingen. Overal te downloaden dit soort progjes. Hou in gedachte dat het abusive is en dus niet gewaaardeerd wordt om op elke poort even aan te kloppen ;-)
Gewijzigd op 21/12/2012 11:14:19 door John D
 
Ozzie PHP

Ozzie PHP

21/12/2012 11:14:54
Quote Anchor link
Jawel dat begrijp ik, maar ik wil graag weten hoe dat er op mijn eigen server uitziet.

(Kun je mij even een PM sturen met de naam van het progje dat jij gebruikt?)
 

21/12/2012 11:16:44
Quote Anchor link
Open poorten:
Makkelijkste manier is om dit met nmap te doen.
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
# yum -y install nmap
# nmap -sT -O localhost

Waarna nmap een overzicht geeft van de openstaande poorten.

SSH Poort:
Waarom 5 cijfers? Hierbij zijn er tal van combinaties mogelijk, waardoor het moeilijker wordt om met een portscan de poort te vinden.

CSF vs cPHulk
Zelf ben ik niet echt een fan van cPanel, en gebruik het daarom nooit. Maar ik adviseer je wel om CSF te gebruiken, naast of inplaats van cPHulk. Aangezien CSF een veel krachtigere beveiliging is, met zeer veel configuratie opties en CSF samenwerkt met iptables, en zover ik weet doet cPHulk dit niet maar gebruikt een MySql database.
 
Ozzie PHP

Ozzie PHP

21/12/2012 11:31:01
Quote Anchor link
THanks Phoenix. Ik ga CSF ook gebruiken. Mijn besluit staat vast. Gebruik je dat nmap via putty?

Nog een andere vraag...

In WHM zit een PHP configuratie editor waarme je PHP.ini kan aanpassen. Er wordt aangeraden om je aanpassingen via deze editor te doen, want als je het bestand handmatig wijzigt kan het zo zijn dat een update al jouw aanpassingen overschrijft. Oké, leuk en aardig.. maar nu zie ik dat niet alle opties zijn opgenoemen in die editor. Zo wil ik graag de optie session.cookie_httponly instellen, maar deze kan ik niet terugvinden in die editor. Hoe moet ik die dan instellen zonder php.ini handmatig aan te passen :-s
 
John D

John D

21/12/2012 11:31:45
Quote Anchor link
Phoenix Bird op 21/12/2012 11:16:44:
5 cijfers waardoor het moeilijker wordt om met een portscan de poort te vinden.
Hoezo moeilijker??? Een portscanner klopt in 5 minuten aan alle poorten tussen 0-65535 en geeft vervolgens output dat jij op 59438 een ssh deamon hebt? Ik vind het obscure maken van standaard poorten onzin, je maakt het jezelf moeilijker en niet de kwaadwillende hacker, die denkt: Daar heb je weer zo'n amateur die zijn poorten verstopt....
Gewijzigd op 21/12/2012 11:32:59 door John D
 
Ozzie PHP

Ozzie PHP

21/12/2012 11:35:05
Quote Anchor link
Ik las wel ergens dat er "amateurs" zijn die bruteforce aanvallen standaard uitvoeren op poort 22 (en die dus niet eerst een poortscan uitvoeren). Die hou je daarmee wel tegen zou je denken.
 
John D

John D

21/12/2012 11:49:45
Quote Anchor link
Ozzie PHP op 21/12/2012 11:35:05:
Ik las wel ergens dat er "amateurs" zijn die bruteforce aanvallen standaard uitvoeren op poort 22 (en die dus niet eerst een poortscan uitvoeren). Die hou je daarmee wel tegen zou je denken.
Ik blijf het amateuristisch vinden. Ik werk al meer dan 20 jaar in ict voor een aantal grote bedrijven en hou me bezig met zeer grote (>1T) databases o.a. ten behoeve van websites beide in Unix/Linux omgevingen. Ik heb nog nooit meegemaakt dat er poorten cq poortfuncties worden veranderd, niet van ssh en niet van database connecties. En zeg nou zelf, wat kan je nou brute forcen op 22 als je geen usernaam weet? root moet uitgesloten zijn van direct inloggen op ssh omdat root geen blokkade na 3x kent.
 
Ozzie PHP

Ozzie PHP

21/12/2012 11:54:03
Quote Anchor link
"omdat root geen blokkade na 3x kent"

Als het goed is houdt cPHulk dit tegen.

Ik snap wel wat je bedoelt hoor. Security through obscurity noemen ze dat geloof ik :)

Maar wat ik wel zou kunnen bedenken... als een (simpele) bot een aanval doet en ziet dat poort 22 niet openstaat hij het opgeeft. Zou de poort wel open staan (en ook al is root gedisabled) dan zit die bot misschien 50.000 keer die poort te benaderen met bruteforce aanvallen. De 1e situatie lijkt me dan wenselijker. Of zie ik het nu verkeerd?
 

Pagina: « vorige 1 2 3 ... 6 7 8 9 10 11 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.