Server könnte kompromittiert sein?

Question

Ich war mir nicht wirklich sicher, ob ich in der Lage wäre, Hilfe dafür zu bekommen, also hoffe ich, dass hier jemand weiß. Ich habe einen dedizierten Server und hosting 2 Word press Websites davon. Es ist ein Ubuntu-Server und ich benutze Apache. Ich habe das Gefühl, dass mein Server kompromittiert sein könnte. Aus irgendeinem Grund sagt eine meiner Presseseiten manchmal, dass eine Menge Leute damit verbunden sind (100-300). Die Sache ist, dass es keine Anzeichen von Aktivitäten auf der Website gibt. Ich habe einen Chat eingerichtet und schätze sogar, dass dieser Besuch automatisch als Gast in den Chat aufgenommen wird. Aber da ist nie jemand. Ich habe ein paar Sicherheits-Plugins für die Word-Presseseiten und ich bekomme eine Menge seltsamer Aktivitäten. Random IP versucht, Seiten zu laden, die nicht existieren, Leute, die versuchen sich als Admin anzumelden, ext ... das passiert nonstop.

Grundlegend möchte ich sicherstellen, dass mein Server sicher ist und dass es jetzt für schlechte Dinge verwendet wird, ohne dass ich es weiß. Ich wusste, Php und ich bin nicht Experte auf einem Ubuntu-Server. Kann mir bitte jemand sagen, dass ich von hier aus gehen sollte? Ich denke, zeigen Sie mir einfach in die richtige Richtung, damit ich herausfinden kann, was ich tun soll.

Dank

Answer 1

Hier ist eine Liste der Dinge, die ich tun, um meine Server zu sichern.

1. Schalten Sie UFW (sudo ufw enable) und dann nur die Ports erlauben, die tatsächlich verwendet wird. (sudo ufw erlauben 80)
2. Stellen Sie sicher, dass MySQL nur Verbindungen von localhost ermöglicht Aktivieren Sie TLS auf Mail-Dienste. Auch wenn es sich um ein selbstsigniertes Zertifikat handelt. Sie wollen nicht Passwörter im Klartext gesendet werden.
3. Installieren Sie ssh Bruteforce-Blocker wie denyhosts oder fail2ban. (sudo apt-get install denyhosts) Schauen Sie in die Herstellung von ssh-Key-basierten Logins nur. Erfahren Sie AppArmor. Wenn Sie ziemlich Vanille-Konfigurationen verwenden, dann ist es sehr einfach. Stellen Sie sicher, dass es eingeschaltet ist. Es hilft Zero-Day-Exploits zu reduzieren.

4. Je nach physikalischem Zugriff auf den Server, möchten Sie vielleicht sogar suchen, um die Daten auf der Festplatte zu verschlüsseln. Befolgen Sie weitere Empfehlungen in diesem Link.

   EDIT: Ich habe vergessen, dies zu bearbeiten, wenn ich nicht genug Ruf hatte, um weitere Links hinzuzufügen. Der hier angegebene Link ist der letzte Link unten. Traue niemals deinen Nutzern. Wenn Sie mehrere Benutzer mit Zugriff auf das System haben, sperren Sie sie. Wenn Sie ihnen Zugang zu Sudo geben müssen, geben Sie ihnen nur, was sie brauchen. Nutze den gesunden Menschenverstand. Denken Sie wirklich genau darüber nach, wie Sie hineinkommen würden, wenn Sie jemals ausgesperrt wären. Dann schließe diese Löcher. Ein paar weitere Dinge zu beachten. Die meisten Menschen vergessen den physischen Zugang. Alle Softwarekonfigurationen auf der Welt bedeuten nichts, wenn ich mit einer Live-CD physisch reinspazieren und Ihre Daten stehlen kann. Vorsicht vor Social Engineering. Stellen Sie Fragen, um zu überprüfen, wer am Telefon ist und stellen Sie sicher, dass sie die Berechtigung haben, die Anfrage zu stellen.

Source Where I have found these Da ich bin immer noch ein ‚neuer‘ Benutzer, kann ich nicht mehr als 2 Links posten. Sie können mehr über dieses Thema hier lesen: https://help.ubuntu.com/12.04/serverguide/index.html und besonderes Augenmerk auf https://help.ubuntu.com/12.04/serverguide/security.html