Web server - zastita i testiranje

Hosting i serveri
1

Iznajmio sam VPS server koji je namenjen za testiranje.
Zeleo bih da na tam serveru testiram razne napade i izucim metode zastite podataka na web serverima.

Jel se bavio neko ovim i da li postoji neki dobar tutorijal?:slight_smile:

2

Ehhh. Da ne mislis ti testirati kako upasti ili upadati na servere?

Jer si krenuo naopako. Prvo zastitis server i molis boga. Ako se desi sranje ili netko upadne onda krpas. Ali ako donekle to zastitis mislim da si bez brige.

A ako se zelis igrati hackera onda ti preporucam prvo kreni s brute force, to je najlakse za izvest, ali bogami izastiti.

3

Nebi se bas slozio da se od bruteforca tesko zastitiā€¦

Screenshot_5.png1020Ɨ351 17.8 KB

Tu vam je link bruteforce kalkulatora tako da pripazite na svoje sifre :smiley: U smislu kolko su dugacke i komplicirane
http://calc.opensecurityresearch.com/

4

Ja sam rekao da je najlakse napraviti brute force napad, ali isto se tako najlakse od bruto force napada zastitit.

Jels e slazes ili ti kazes da se tesko do bruto force napada zastiti, ako je tako onda obrazlozi zasto.

jer mislim da se lako moze svaki napad registrirat i anpravi se IP lock na odredjeno vrijeme. I to se moze napraviti jako sensitivno da cak i nakon prvog upada odmah dobe ip lock. pod izvest sam mislio da napravi program koji ce upisivat passworde.

5

Ma krivo sam procito shvatio sam te da se od brutforca tesko zastiti hahahahah :smiley: Moje isprikeā€¦

Naravno tu se moze dodati vise IP adresa pa sa svake probas jednom u 10tak minuta ali za kvalitetnu sifru bruteforce defitivno nema smislaā€¦

@IKI ako ces ikada raditi bruteforce on se radi na jako velikom uzroku korisnickih racuna sa cca 50 lozinkiā€¦ Recimo da imas 20000 steam korisnih imena onda uzmes 50 najcescih lozinki i deriā€¦ Ovo je islo jako lagano dok nije postojao steam guard :smiley:

6

Koje crne Ŕifre :joy:
Pa ima viŔe od godine dana kako smo za klijente uveli 2-factor authentication (opcija podesiva u CP-u za svakog korisnika).
Pored toga, možeÅ” staviti i ā€œ1234ā€ mogućnosti proboja su skoro pa nikakve :slight_smile:
LINK

3 Likeova
7

Treba da izradim prezentaciju, od mene se trazi da ispitam vise vrsta napada na web server i da za svaki napisem mere zastite.
Na prezentaciji moram da postavim slike sa primerima, zbog toga sam i iznajmio server za testiranje.

Ako neko moze da mi da neke korisne linkove puno bi mi pomoglo. :slight_smile:

8

instaliraj server.

I onda googlaj: brute Force attack tools

Skini i lupaj, ako neradi, onda dobijes ideju kako radi pa si sam sklepas neki tool.

Onda si probaj zgooglat, webhosting file edit hack
Tu trazis guides i primjere kako editirat slabo zasticene servere, znaci da im promjenis izgled ili ti ga popularni deface hack. Mozes googlat i how to deface website.

Nakon toga mozes googlat how to sql inject.

Kad sve to isprobas onda mozes pokusat i rusit server s upload download. Znaci probaj anc neki file koji je prilicno velik i salji requestove da ga skines. Ili cak jos bolje, ako mozes negdje uplaod file na server onda stavis puno fileova uploadavat, i tako punis disk, kad napunish disk server ce se raspast.

Vecina ovih hackvoa na normalnim serverima ne radi. Zato da bi ti nesto demonstrirao prvo moras podesit server takod a bude nepodesen .

Evo, ovako sam ja to zdravo seljacki natipkao zbrda zdola.

1 Like
9

https://linuxacademy.com/

1 Like
10

Update-ujte server (kā€™o koristi):

httpd.apache.org

1 Like
11

Thanks ā€¦ :smile:

update-serv
update-serv.png791Ɨ399 30.1 KB

2.4.6 mi je trenutna (httpd -v) verzija.

12

nakon update-a ne mogu pristupiti sa filezilla ni na jedan ftp acc

ima li netko ideju? Centos7 + vsftpd

VESTA CP

Edit: malo istražujem. Ne priznaje mi ni jednu Å”ifru za korisnika. Ima vezu, ali neće da pusti autentikaciju. Probao sam i direktno iz terminala ali opet daje poruku 530 login incorrect

13

imao sam identičan problem ā€¦ samo Å”to mi nije neÅ”to puno bilo potrebno pa sam ostavio tako

prije par dana sam obrisao komplet vestu, httpd, nginx, mariadb i sve živo, pa onda opet instalirao, vratio sajtove i nakon te nove instalacije se mogu povezati, prihvata i username i Ŕifre i sve

bog me ubio ako znam Ŕta je bilo

14

:confused:

Izlogovan si i ne možeŔ nikako nazad?

15

Imam SSH pristup i pristup CPu, ali ne može ni jedan user spojiti se na ftp ā€¦

16

Mogu ja backup vratiti, ali bi volio to srediti da neÅ”to i naučim. Nisam neki advanced user, pa tapkam po netu i tražim moguća rjeÅ”enja. :slight_smile:

17

SSH-ujeÅ” sa root-om (nemoj nikad) ili tamo može proći običan user?

18

Root Sam blokirao na SSH. Ide drugi user, pa po potrebi uradim su root

19

Ok, drugi/običan user može na ssh ali ne može na ftp.
Ne znam je lā€™ do ovako nečeg, možda si već probā€™o:

1 Like
20

Da, tako je. Može na ssh Ali ne i na ftp.

Sutra isprobam ova moguća rjeÅ”enja. Thanks