1. Përshëndetje dhe mirësevini në forumin e Itshqip.com
    Nëse akoma nuk jeni pjesë e IT komunitetit më të madhë Shqiptarë nga fusha e Teknologjisë Informative, ju ftojmë që të bëheni pjesë e këtij komuniteti që tani duke u regjistruar këtu - procedura është shumë e thjeshtë dhe e lehtë. Gjithashtu ju mund të regjistroheni edhe përmes rrjetit social Facebook, Twitter, Google+.

Pyetje Prbleme me sigurin ne web server

Tema tek 'Siguria në Ueb' e hapur nga uniku, 6 Tetor 2017.

  1. uniku

    uniku Anëtar Aktiv

    Postimet:
    433
    Pëlqimet:
    15
    Pikë nga trofetë:
    28
    Pershendetje,
    Antivirusi ka identifikuar nje nderhyrje ne web server, severi aktualish eshte i publikuar ne internet me porten 80 por me pare pervec portes 80 kisha specifikuar dhe porten 12001.
    Sot ip publike i bashkangjitem nje subdomain dhe me duhej ta hiqja porten 12001 se nuk finksiononte lidhja.
    Ne foton me posht eshte dhe mesazhi qe erdhi nga antivirusi.
    https://prnt.sc/gu0pnq
    Normalisht nuk do e le me port 80 por me port 443.
    Ja dhe nje alert tjeter.
    https://prnt.sc/gu0ujd
    Sistemi është windows server 2016.
    Faleminderit.
     
    Last edited: 6 Tetor 2017
  2. Fannol Gashi

    Fannol Gashi SysAdmin Staff Member Administrator

    Postimet:
    3,220
    Pëlqimet:
    1,367
    Pikë nga trofetë:
    343
    1. Beje serverin update gjate gjithe kohes, per ate edhe jane Update, qe te mbrojn nga keto.
    2. Porti 80 nuk eshte problem dhe ne lidhje me kete problem nuk fiton asgje nese e kthen ne 443 (eshte me mire shume) por jo sa i perket ketij problemi.
    3. Gjithashtu beje update web aplikacionin ne versionin e fundit dhe permbaju security hardenings per ate aplikacion.
    4. SMB e ke pas te aktivizuar (filesharing) per ate edhe ke pas sulm.

    Edhe sulme apo tentime per sulme ke cdo sekond. Nese aktivizon logging me pa sakt cka vjen ne ate IP, e sheh qe ka shume skanime ne porte te ndryshme, me se shumti ne portet qe ka exploits te gatshem dhe mundet ndonje script-kiddie me te shkaktu probleme te pa-riparueshme.
     
  3. uniku

    uniku Anëtar Aktiv

    Postimet:
    433
    Pëlqimet:
    15
    Pikë nga trofetë:
    28
    SMB nuk e kam bere disable ne këtë server pasi është version i ri dhe mendova se nuk është e nevojshme.
     
  4. Fannol Gashi

    Fannol Gashi SysAdmin Staff Member Administrator

    Postimet:
    3,220
    Pëlqimet:
    1,367
    Pikë nga trofetë:
    343
    Portet qe nuk perdoren duhet te bllokohen ne ruterin e fundem (edge router) i cili eshte lidhja mes internetit dhe kompanise tuaj.

    Tjetra, duhet qe serviset qe nuk perdoren te largohen nga sistemi operativ, qe te zvogelohet domeni i sulmit (attack surface).

    Me nje fjale: lejoni veq cka eshte e nevojshme dhe asgje me shume.
     
  5. uniku

    uniku Anëtar Aktiv

    Postimet:
    433
    Pëlqimet:
    15
    Pikë nga trofetë:
    28
    1- Parimisht routeri te cilen e kemi dhe firewall by default i ka portat e mbyllura dhe unë kam hapur portën 443 për kominikim me web serverin.
    Gjithashtu i kisha caktuar dhe nje port tjeter psh: supozojm eshte ip 1.2.3.4 pas ip duhej vendosur 1.2.3.4:12000 por duke qene se ip publike i bashkangjitem një subdomain me dilte jashtë funksioni porta 12001.
    2- Duhet ta bej desable smb ne kete server apo nuk eshte e nevojshme pasi qe sitemi opertaiv eshte i ri????
    3- Cilat servise me sugjeroni qe te largoje nga sistemi???
    Faleminderit!
     
  6. Fannol Gashi

    Fannol Gashi SysAdmin Staff Member Administrator

    Postimet:
    3,220
    Pëlqimet:
    1,367
    Pikë nga trofetë:
    343
    1. Dmth e keni bo Nat translation a po? Ne firewall eshte IP-ja publike qe ndegjon ne portin 80 ose 443 dhe pastaj trafiku per keto dy servise ri-drejtohet ne server i cili ka ip private? A eshte keshtu?
    2&3. E ceka me larte qe serviset qe nuk duhen per nje server, preferohet te behen disable.

    Shembull: Nese ky server perdoret vetem si webserver port 80,443. Ateher gjithcka qe te duhet aty eshte nje antivirus, dhe aplikacioni per webserver (IIS, APACHE, etj..) Te gjitha tjerat duhet ti largosh, si psh: File Services (SMB port 139,445,..), DNS, DHCP, SNMP (perderisa nuk e perdor), SMTP nese ke ndonje app per mail te instaluar duhet ta largosh.
     
  7. uniku

    uniku Anëtar Aktiv

    Postimet:
    433
    Pëlqimet:
    15
    Pikë nga trofetë:
    28
    Po kështu si thoni ju është.
    Sa për serviset e tjera do i beje desable pasi përdoret vetëm si web server dhe te tjerat nuk na duhen.
    Ju falenderoje për ndihmën.
     
  8. Fannol Gashi

    Fannol Gashi SysAdmin Staff Member Administrator

    Postimet:
    3,220
    Pëlqimet:
    1,367
    Pikë nga trofetë:
    343
    Nese portet nuk jane te hapura ateher, jane dy mundesi se si ka arrit me ndodh ajo:
    1. Ka ndonje bug ne firewall-in tuaj qe mundet me kalu me ndonje exploit /remote code execution. Kjo rregullohet me update por duhet ta kontrolloni se a ekziston nje gje e tille.
    2. Ndonje kompjuter eshte i infektuar, dhe permes atij ka arrit te ekzekutoj ate sulm, edhe pse nese e ka ndonje kompjuter nen kontroll si duhet, por nuk dmth qe ka full control ne ate kompjuter dhe per ate deshiron te arrij kete. Siq njihet "privilege escalation".
    Andaj shiqoje se cka eshte problemi se prap mundet me tu paraqit me ndonje problem me te madh.
     
  9. uniku

    uniku Anëtar Aktiv

    Postimet:
    433
    Pëlqimet:
    15
    Pikë nga trofetë:
    28
    Sulmet kane ardhur nga këto IP.
    1- 83.149.46.44:54609 Shteti: Rusi
    2- 186.93.109.103:57783 Shteti: Venezuele.
    3- 36.80.246.15:61749 Shteti: Indonesia
    4- 123.252.222.142:31524 Shteti: India
    Faleminderit.
     
  10. Fannol Gashi

    Fannol Gashi SysAdmin Staff Member Administrator

    Postimet:
    3,220
    Pëlqimet:
    1,367
    Pikë nga trofetë:
    343
    Ne cilin port? Porti qe e postove ti eshte source dmth tek ata se cili eshte perdor, ndersa cili eshte porti tek ti?

    Tek kane ardh nga vende te ndryshme ateher eshte diqka ndryshe tek ti qe atyre ju pelqen dhe eshte lehte, per ate thash shiqoje me ne detaje.

    Ka skanime te vazhdueshme, por qe te kane sukses nga disa vende ne te njejten maqine dhe te kapet nga internet security, eshte interesante.
     
  11. uniku

    uniku Anëtar Aktiv

    Postimet:
    433
    Pëlqimet:
    15
    Pikë nga trofetë:
    28
    Tek unë është porta 80.
     
  12. Fannol Gashi

    Fannol Gashi SysAdmin Staff Member Administrator

    Postimet:
    3,220
    Pëlqimet:
    1,367
    Pikë nga trofetë:
    343
    Ateher shiqoje firewall-in. Po supozoj qe ka ndonje bug webservisi qe perdoret nga ai firewall dhe ka nevoj per update.
     
    uniku pëlqen postimin.
  13. uniku

    uniku Anëtar Aktiv

    Postimet:
    433
    Pëlqimet:
    15
    Pikë nga trofetë:
    28
    Përshëndetje,
    Pasi i mbylla portat 139, 445 ne server, sot antivirusi bllokoi disa intrusion te tjera.
    https://prnt.sc/gvxz36
    Aktualisht SSL e kam te krijuar vet dmth thjesht per te bere aktive portën 443 nuk kemi blere akoma SSL.
    Mund te jete ky shkaku i këtij problemi???
    Faleminderit.
     
  14. Fannol Gashi

    Fannol Gashi SysAdmin Staff Member Administrator

    Postimet:
    3,220
    Pëlqimet:
    1,367
    Pikë nga trofetë:
    343
    Cfare web servisi perdor?
     
  15. uniku

    uniku Anëtar Aktiv

    Postimet:
    433
    Pëlqimet:
    15
    Pikë nga trofetë:
    28
    IIS kemi te konfiguruar.
     
  16. Fannol Gashi

    Fannol Gashi SysAdmin Staff Member Administrator

    Postimet:
    3,220
    Pëlqimet:
    1,367
    Pikë nga trofetë:
    343
    Mundet me qene edhe false-positive qe nenkupton se nuk eshte ai problem por veq po lajmeron antivirusi. Mua Symantec nuk me duket qe bene diqka perveq qe i merr paret :D .

    Sidocoft, merre Nessus edicionin pa pagese dhe nga jasht skanoje IP-ne qe e ki web serverin dhe analizoje raportin. Kishte me qene mire me perdor vegla te ndryshme por edhe vetem kjo te jep nje ide se cka mundet me pas dobesi webserveri.
     
    boom3rang dhe uniku pëlqejnë postimin.
  17. uniku

    uniku Anëtar Aktiv

    Postimet:
    433
    Pëlqimet:
    15
    Pikë nga trofetë:
    28
    Pershendetje,
    Pasi e scanova IP publike me Nessus me nxorri nje problem ne router dhe zgjidhja ishte te beja upgrate sitemin e routerit.
    E bera upgrate por perseri ma nxjerre si probleme.
    https://prnt.sc/gzxhq8
    Faleminderit!
     
  18. Fannol Gashi

    Fannol Gashi SysAdmin Staff Member Administrator

    Postimet:
    3,220
    Pëlqimet:
    1,367
    Pikë nga trofetë:
    343
    Ne cilin version e ke bere update?
     
  19. uniku

    uniku Anëtar Aktiv

    Postimet:
    433
    Pëlqimet:
    15
    Pikë nga trofetë:
    28
    Ne versionin 6.40.4
     
  20. Fannol Gashi

    Fannol Gashi SysAdmin Staff Member Administrator

    Postimet:
    3,220
    Pëlqimet:
    1,367
    Pikë nga trofetë:
    343
    Tash problemi a po thot me bo upgrade ne ndonje version me te ri se 40 apo mesazhi i njejt.

    Nese eshte mesazhi i njejte ateher shiqoje mos.ka ndonje cache Nessus dhe po ta paraqet mesazhin e njejte, perndryshe nese eshte versioni me i madh se 40 ne mesazh ateher duhet me bo upgrade ne te fundit.

    Nese nje problem zgjidhet me nje version, mundet qe te shfaqet ndonje tjeter per ate edhe software behet upgrade vazhdimisht, ose dalin update per nje verzion te caktuar.
     

Shpërndaje faqen

Loading...