Предотвратите исходящий спам
Мы просто использовали Безопасное Восстановление данных для восстановления нашей Базы данных Exchange, когда 2 из 3 дисков в нашем массиве RAID5 перестал работать в течение ночи, и наше резервное копирование было бесполезно.
Это было дорого, и заняло несколько дней, но они успешно восстановили все наши данные без повреждения Exchange. Так, чтобы было потрясающим.
Они действительно требовали проводной передачи для окончательного расчета, который я не знал впереди, и мысль была странной. Но это удалось очень хорошо.
Не поддавайтесь компромиссу. Шутки в сторону.
Следите за своим трафиком. Вы поймете, что нормально, и сможете распознать ненормальный трафик.
Завершите работу ненужных демонов. Если сервер не должен отправлять почту, не запускайте sendmail или postfix.
Ограничьте доступ по SSH и / или назначьте SSH нестандартный порт (например, не используйте порт по умолчанию 22). Если вам нужно использовать порт 22, добавьте службу, например DenyHosts , чтобы отслеживать и останавливать входящие попытки аутентификации бота SSH.
Используйте или применяйте надежные пароли для себя и своих клиентов.
Проще всего было бы заблокировать исходящие соединения с портом 25 до тех пор, пока клиент не «запросит» его разблокировку для своего IP-адреса. На самом деле не должно быть никого, кто бы запускал почтовый сервер с сайта хостинга CPanel (если они генерируют электронную почту, которая «отправляется» другим сервером, то она должна быть отправлена на этот сервер на порт 587. согласно RFC и так было с 1998 г.)
Я действительно хочу, чтобы больше провайдеров уделяли внимание вашему вниманию, даже если вы не блокируете трафик 25 порта назначения. Мы ценим эту мысль и еще больше ценим брандмауэр.
You're running a web hosting provider, which by its nature means your clients are going to be running untrusted and often insecure code.
Aside from the things you should already be doing to secure the server generally, consider:
Run malware scans against client data using a tool such as maldet. Keep your definitions up to date.
Only allow outgoing SMTP traffic to your local mail server, where you can log and exercise some control over outgoing mail. Add an outbound firewall rule that prevents anything but your mail server from connecting to port 25 on remote hosts. An example rule could be:
iptables -I OUTPUT -m owner ! --uid-owner EXIM_USER -p tcp --dport 25 -j DROP(Authenticated SMTP traffic to a customer's third party mail server, such as Gmail, will run on port 587 and be unaffected by this.)
Если нет Для серверов, которые вы используете, требуется исходящая почта, я бы поставил билет на ваш хост и попросил их заблокировать входящий и исходящий порт 25 для систем. У ewwhite есть правильная идея - если одна из ваших систем полностью взломана, вы ничего не можете сделать с этой системой, чтобы предотвратить ее превращение в зомби-спам или столь же нежелательные вещи. Однако вы можете вмешаться еще на один шаг вверх по цепочке.
Наряду с комплексной стратегией защиты, постоянным обновлением, ограничением доступа и всеми другими передовыми практиками, которые упоминает ewwhite, я предлагаю повысить уровень минимальных привилегий до уровня хоста или сетевой провайдер. Если машинам никогда не понадобится отправлять почту, сделайте так, чтобы они действительно не могли.
Я повторю совет ewwhite, а также предложение отбросить весь SMTP-трафик с вашего почтового хоста на вашем брандмауэре от Майкла Хэмптона.
Еще одно предложение - настроить трафик следите за приложениями вашего клиента для исходящего SMTP. Их веб-серверы не должны генерировать почту, поэтому, если они ДЕЙСТВУЮТ, вы захотите узнать, о чем идет речь - возможно, вы сможете получить некоторое представление об исходном источнике. Другие вещи, которые можно попробовать:
Если вам известен IP-блок вашего клиента, вы можете перехватить telnet, удаленный рабочий стол (3389) и SSH-трафик на веб-хост и отфильтровать их IP-блок из результатов. Это должно дать вам представление о том, управляет ли хостом кто-либо кроме них.
Другим типом трафика для отслеживания является IRC, поскольку этот протокол широко используется в качестве сети команд и управления для компьютеров-зомби. Или просто отключите порты IRC на вашем брандмауэре так же, как вы сбросили SMTP.
Другой возможный вектор распространения вредоносных программ - через торренты. Если веб-сервер вашего клиента открывает торрент-соединения, он может использоваться как узел распространения торрентов, а также как источник спама в электронной почте. Если ваши клиенты не запрашивали эту услугу в качестве поддерживаемой, вы можете либо отбросить ее через брандмауэр, либо отключить службы на хосте.
Окончательное решение, как только вы создадите резервную копию того, что вам нужно для поиска вектор поглощения (или если нет реального толчка, чтобы выяснить, что произошло), вы можете просто убить виртуальную машину или повторно создать образ сервера, а затем восстановить клиентские приложения и данные из предыдущей резервной копии. У них могут быть проблемы с этим ... но это одна из затрат на запуск незащищенного кода.
Другой возможный вектор распространения вредоносных программ - через торренты. Если веб-сервер вашего клиента открывает торрент-соединения, он может использоваться как узел распространения торрентов, а также как источник спама в электронной почте. Если ваши клиенты не запрашивали эту услугу в качестве поддерживаемой, вы можете либо отбросить ее через брандмауэр, либо отключить службы на хосте.
Окончательное решение, как только вы создадите резервную копию того, что вам нужно для поиска вектор поглощения (или если нет реального толчка, чтобы выяснить, что произошло), вы можете просто убить виртуальную машину или заново создать образ сервера, а затем восстановить клиентские приложения и данные из предыдущей резервной копии. У них могут быть проблемы с этим ... но это одна из затрат на запуск незащищенного кода.
Другой возможный вектор распространения вредоносных программ - через торренты. Если веб-сервер вашего клиента открывает торрент-соединения, он может использоваться как узел распространения торрентов, а также как источник спама в электронной почте. Если ваши клиенты не запрашивали эту услугу в качестве поддерживаемой, вы можете либо отбросить ее через брандмауэр, либо отключить службы на хосте.
Окончательное решение, как только вы создадите резервную копию того, что вам нужно для поиска вектор поглощения (или если нет реального толчка, чтобы выяснить, что произошло), вы можете просто убить виртуальную машину или повторно создать образ сервера, а затем восстановить клиентские приложения и данные из предыдущей резервной копии. У них могут быть проблемы с этим ... но это одна из затрат на запуск незащищенного кода.
он может использоваться как узел распространения торрентов, а также как источник спама в электронной почте. Если ваши клиенты не запрашивали эту услугу в качестве поддерживаемой, вы можете либо отбросить ее через брандмауэр, либо отключить службы на хосте.Окончательное решение, как только вы создадите резервную копию того, что вам нужно для поиска вектор поглощения (или если нет реального толчка, чтобы выяснить, что произошло), вы можете просто убить виртуальную машину или повторно создать образ сервера, а затем восстановить клиентские приложения и данные из предыдущей резервной копии. У них могут быть проблемы с этим ... но это одна из затрат на запуск незащищенного кода.
он может использоваться как узел распространения торрентов, а также как источник спама в электронной почте. Если ваши клиенты не запрашивали эту услугу в качестве поддерживаемой, вы можете либо отбросить ее через брандмауэр, либо отключить службы на хосте.Окончательное решение, как только вы создадите резервную копию того, что вам нужно для поиска вектор поглощения (или если нет реального толчка, чтобы выяснить, что произошло), вы можете просто убить виртуальную машину или заново создать образ сервера, а затем восстановить клиентские приложения и данные из предыдущей резервной копии. У них могут быть проблемы с этим ... но это одна из затрат на запуск незащищенного кода.
Если вы создали резервную копию того, что вам нужно для поиска вектора захвата (или если нет реального толчка, чтобы выяснить, что произошло), вы можете просто убить виртуальную машину или заново создать образ сервера, а затем восстановить клиентские приложения и данные из предыдущей резервной копии. У них могут быть проблемы с этим ... но это одна из затрат на запуск незащищенного кода. Если вы создали резервную копию того, что вам нужно для поиска вектора захвата (или если нет реального толчка, чтобы выяснить, что произошло), вы можете просто убить виртуальную машину или повторно создать образ сервера, а затем восстановить клиентские приложения и данные из предыдущей резервной копии. У них могут быть проблемы с этим ... но это одна из затрат на запуск незащищенного кода.