Web server - zastita i testiranje

Iznajmio sam VPS server koji je namenjen za testiranje.
Zeleo bih da na tam serveru testiram razne napade i izucim metode zastite podataka na web serverima.

Jel se bavio neko ovim i da li postoji neki dobar tutorijal?:slight_smile:

Ehhh. Da ne mislis ti testirati kako upasti ili upadati na servere?

Jer si krenuo naopako. Prvo zastitis server i molis boga. Ako se desi sranje ili netko upadne onda krpas. Ali ako donekle to zastitis mislim da si bez brige.

A ako se zelis igrati hackera onda ti preporucam prvo kreni s brute force, to je najlakse za izvest, ali bogami izastiti.

Nebi se bas slozio da se od bruteforca tesko zastiti…

Tu vam je link bruteforce kalkulatora tako da pripazite na svoje sifre :smiley: U smislu kolko su dugacke i komplicirane
http://calc.opensecurityresearch.com/

Ja sam rekao da je najlakse napraviti brute force napad, ali isto se tako najlakse od bruto force napada zastitit.

Jels e slazes ili ti kazes da se tesko do bruto force napada zastiti, ako je tako onda obrazlozi zasto.

jer mislim da se lako moze svaki napad registrirat i anpravi se IP lock na odredjeno vrijeme. I to se moze napraviti jako sensitivno da cak i nakon prvog upada odmah dobe ip lock. pod izvest sam mislio da napravi program koji ce upisivat passworde.

Ma krivo sam procito shvatio sam te da se od brutforca tesko zastiti hahahahah :smiley: Moje isprike…

Naravno tu se moze dodati vise IP adresa pa sa svake probas jednom u 10tak minuta ali za kvalitetnu sifru bruteforce defitivno nema smisla…

@IKI ako ces ikada raditi bruteforce on se radi na jako velikom uzroku korisnickih racuna sa cca 50 lozinki… Recimo da imas 20000 steam korisnih imena onda uzmes 50 najcescih lozinki i deri… Ovo je islo jako lagano dok nije postojao steam guard :smiley:

Koje crne šifre :joy:
Pa ima više od godine dana kako smo za klijente uveli 2-factor authentication (opcija podesiva u CP-u za svakog korisnika).
Pored toga, možeš staviti i “1234” mogućnosti proboja su skoro pa nikakve :slight_smile:
LINK

3 Likes

Treba da izradim prezentaciju, od mene se trazi da ispitam vise vrsta napada na web server i da za svaki napisem mere zastite.
Na prezentaciji moram da postavim slike sa primerima, zbog toga sam i iznajmio server za testiranje.

Ako neko moze da mi da neke korisne linkove puno bi mi pomoglo. :slight_smile:

instaliraj server.

I onda googlaj: brute Force attack tools

Skini i lupaj, ako neradi, onda dobijes ideju kako radi pa si sam sklepas neki tool.

Onda si probaj zgooglat, webhosting file edit hack
Tu trazis guides i primjere kako editirat slabo zasticene servere, znaci da im promjenis izgled ili ti ga popularni deface hack. Mozes googlat i how to deface website.

Nakon toga mozes googlat how to sql inject.

Kad sve to isprobas onda mozes pokusat i rusit server s upload download. Znaci probaj anc neki file koji je prilicno velik i salji requestove da ga skines. Ili cak jos bolje, ako mozes negdje uplaod file na server onda stavis puno fileova uploadavat, i tako punis disk, kad napunish disk server ce se raspast.

Vecina ovih hackvoa na normalnim serverima ne radi. Zato da bi ti nesto demonstrirao prvo moras podesit server takod a bude nepodesen .

Evo, ovako sam ja to zdravo seljacki natipkao zbrda zdola.

1 Like

https://linuxacademy.com/

1 Like

Update-ujte server (k’o koristi):

httpd.apache.org

1 Like

Thanks … :smile:

2.4.6 mi je trenutna (httpd -v) verzija.

nakon update-a ne mogu pristupiti sa filezilla ni na jedan ftp acc

ima li netko ideju? Centos7 + vsftpd

VESTA CP

Edit: malo istražujem. Ne priznaje mi ni jednu šifru za korisnika. Ima vezu, ali neće da pusti autentikaciju. Probao sam i direktno iz terminala ali opet daje poruku 530 login incorrect

imao sam identičan problem … samo što mi nije nešto puno bilo potrebno pa sam ostavio tako

prije par dana sam obrisao komplet vestu, httpd, nginx, mariadb i sve živo, pa onda opet instalirao, vratio sajtove i nakon te nove instalacije se mogu povezati, prihvata i username i šifre i sve

bog me ubio ako znam šta je bilo

:confused:

Izlogovan si i ne možeš nikako nazad?

Imam SSH pristup i pristup CPu, ali ne može ni jedan user spojiti se na ftp …

Mogu ja backup vratiti, ali bi volio to srediti da nešto i naučim. Nisam neki advanced user, pa tapkam po netu i tražim moguća rješenja. :slight_smile:

SSH-uješ sa root-om (nemoj nikad) ili tamo može proći običan user?

Root Sam blokirao na SSH. Ide drugi user, pa po potrebi uradim su root

Ok, drugi/običan user može na ssh ali ne može na ftp.
Ne znam je l’ do ovako nečeg, možda si već prob’o:

1 Like

Da, tako je. Može na ssh Ali ne i na ftp.

Sutra isprobam ova moguća rješenja. Thanks