Заражение сайтов

Юрий Олейников, интересно.

Tсть такое, в таком случае можно не жестко рубить зарубежный трафик, а в фильтре прописать 301 код и перенаправить клиента на страницу с просьбой отключить VPN


Собственно сабж: есть такая замечательная компания как MaxMind сайт maxmind.com  которая предоставляет геоданные по ip, лучше ее данных пожалуй нет, но с недавних пор из России не зарегиться, но есть энтузиасты корые скачивают и выкладывают базы для все желающих ими пользоваться https://github.com/P3TERX/GeoLite.mmdb , у nginx под базу MaxMind имеется модуль, но он находится только в полной версии, устанавливается она так:

sudo apt install -y nginx-full

ну а дальше дело техники, постараюсь прописать как можно понятней
------------------------------------------------------------------------------------------------------------------
создать каталог для базы

sudo mkdir /usr/share/geoip2
-------------------------------------------------------------------------------------------------------------------
создать скрипт загрузки базы,  ввести в терминале

sudo nano /usr/local/bin/update_geoip2.sh

и в открывшемся окне прописать

#!/bin/bash
#
mkdir /usr/share/geoip2/tmp/
wget https://git.io/GeoLite2-Country.mmdb -O /usr/share/geoip2/tmp/GeoLite2-Country.mmdb
cp /usr/share/geoip2/tmp/GeoLite2-Country.mmdb /usr/share/geoip2/GeoLite2-Country.mmdb
rm -r /usr/share/geoip2/tmp/
systemctl restart nginx

--------------------------------------------------------------------------------------------------------------------------------

сделать соданный скрипт исполняемым

sudo chmod +x /usr/local/bin/update_geoip2.sh
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

чтобы удостовериться что все работает произвести ручной запуск скрипта, в папке /usr/share/geoip2 должа появиться база

sudo /usr/local/bin/update_geoip2.sh

если все ок, то добавить в cron

sudo crontab -e

следующую запись загружающую свежую базу каждый день скажем в 6 утра

0 6 * * * /usr/local/bin/update_geoip2.sh

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

далее открыть основной конфиг nginx и после # Virtual Host Configs прописать следующее

sudo nano /etc/nginx/nginx.conf


       # geeoip
       geo $lan-ip {
       default no;
       192.168.0.1/10 yes;
       }

       geoip2 /usr/share/geoip2/GeoLite2-Country.mmdb {
       $geoip2_data_country_iso_code country iso_code;
       }
       
       map $geoip2_data_country_iso_code $allowed_country {
       default no;
       RU yes;
       }



где первая часть разрешает доступ по локальной сети, если используется то прописать свои данные вместо 192.168.0.1/10
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ну и последнее, в конфиге сервера дописать вверху, выше всех location !!! следующее

       # geeoip2
       if ($lan-ip = yes) {set $allowed_country yes;}
       if ($allowed_country = no) {return 444;}

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
После перезагрузить nginx командой

sudo systemctl restart nginx

и вуаля!

Имхо конфиг для примера неверный, экспериментально проверено что фильтр в любом случае должен быть перед location, а иначе он до одного места... я в свое время дня два голову ломал почему несмотря на наличие фильтра по ip на сайт все равно лезут из за бугра, пока не вспомнил что в iptables правила расположееные выше имеют больший приоритет что прописаны ниже, применил это правило к nginx все сработалоКак и в моем случаеЕсли утрировать, то в вашем случае "телохранители" стоят перед "охняняемым лицом" и не пропускает "киллеров" то есть запросы, а в примере "телохранители" стоят за "охняняемым лицом" и толку от них никакого...

В четверг обнаружили вирус, который обошел все блокираторы и создал в каждой папке в корне кучу файлов и папок.
fine.php
b_user.json
tfm2.php
robotss.php
.46b3931b.php

Все вычистили, но в субботу утром получили вместо главной - заглушку с хохляцким бредом.
Стоит Ammina - пофигу.

у вас возможно папка local не единая для разных сайтов.
Проверьте файлы (на всех сайтах) /local/php_interface/init.php - должна быть конструкция в начале файла

Если нет конструкции в каком-то из init.php -добавьте

Вы видать почистили продукты заражения, но саму дырку в сайте не закрыли, просканируйте все php файлы сайта на предмет наличия в них следующей части кода   eval(base64 decode("  если такое есть то надо все вычистить, детали тут

По мне Ammina больше для подстаховки, на случае если что то вдруг да прорвется через фильтры, главное это "не пустить козла в огород с капустой, а не надеяться на грозного дядьку который приедет и выгонит козла с огорода..."

Есть еще одна интерсная вещь, кто использует модуль Let’s Encrypt то наверняка видели что он правит конфиг nginx на свой лад, и ладно бы прописывал бы только пути к своим файлам, так он еще создает для 80 порта отдельную серцию server в которой отродясь никаких фильтров не было, я это заметил по запросам которые принимал и на которые отвечал сервер, а не должен был, снес вторую секцию, прописал 80 и 443 порты в основную серцию, прописал преадресацию с http и https и вуаля, в логах зловред стал получать 444, а не как раньше 200

И что заметно по логам атакующих - сами файлы битрикса хакеры не пытаются ломать, уроверь програмистов битрикса видать не дает им пороть косяки, атаки идут исключительно на продукты парнеров, которые зачастую пишут люди далекие от безопасности... отсюда мораль - на уровне сервера закрывать доступ к каталогам с установленными решениями, но есть такие каталоги как  /bitrix/js/, например /bitrix/js/aspro.lite/sort/ которые увы без поломки функционалала битрикса просто так не закрыть... вариант вижу лишь один - на уровне nginx ограничить доступ к системным каталогам по ip, по мне это самое лучшее решение, которое обезопасит от известных и еще не выявленных угроз

Очень старая система, к тому же не блестающая производительностью, обратите внимание на Debian, не пожалеете, пашет как неубиваемая машинка Зингер, и производительность Битрикса сразу возрастет, а по поводу nginx-full его можно подключить из дополнительного репозитария, более менее толковый сисадмин решит довольно бюджетно эту задачу, например этот

Панели зло... основное преимущество сервера без панели заключается в том что с ним можно делать все что угодно, а с панелью управления возможности будут существенно ограничены, панель управления сервером позволит делать только то, что было заложено в её функционал разработчиками...

Рекомендую решение на Debian+ISPConfig из этого сообщества https://t.me/BitrixSe
Либо более продвинутое на докере из этого https://t.me/bitrixdevops
На обоих решениях крутятся серьезные проекты на продакшене - полёт нормальный.

При попытке удалить вставленный кусок кода из шаблона Ammina заблокировала меня, а вот вирус вставку сделал спокойно без проблем.
Не насоздавал файлов, а сделал вставки кода с редиректом и заменил половину базы данных на повторяющиеся сообщения.
Пока точку входа разработчики не нашли, ищут дальше.

А у вашего сайта случаем по соседству нет другого или других сайтов? Если в одной папке на сервере находятся две и более папок под сайты, например /var/www/вашсайт и /var/www/сайт соседа, то в случае заражения соседа хакер получает доступ ко всем соседним сайтамРезервные копии делали?