[討論]防火牆問題討論和MySQL被攻擊

[夜楓]

您們架站都會用防火牆吧!!

我想請教

軟體防火牆跟硬體的防火牆是差在哪裡~

很多人說硬體的防火牆比較好~是真的嗎??

我個人是用是些~沒有用硬體防火牆~
Kaspersky Anti-Virus Personal
Kaspersky Anti-HackerBuild
基本漏洞掃描
區域網路端掃描
連階埠掃描

因為我看到\r

---------------------------------------------------------------------------------
隨意論壇 iOptional Forum的MySQL被攻擊

伺服器 MySQL 受到攻擊，令到 MySQL 負荷過重，而且沒有備份，所有資料遺失。事件與竹貓星球一樣 (http://www.phpbb-tw.net)，MySQL 修復後餘下 phpbb_disallow 的資料庫，而且不能 Drop Database，相信是同一人所謂，而攻擊方式是使用外掛程式攻擊，事件將交由警方處理，而外掛方面會跟 phpBB 官方網站 (http://www.phpbb.com) 回報。對於網上的 phpBB 攻擊方法，將會向 phpBB 官方網站 (http://www.phpbb.com) 反映，希望大家可以私下給我程式 (以免公開令其他人使用) 或直接提供給 phpBB 官方網站 (http://www.phpbb.com)。

如果任何人有同樣的事件發生，請向我回報，如果是攻擊者請給我一個攻擊的理由，否則只會惹人笑柄。

出現安全性問題的檔案有 (SQL 灌入):
viewtopic.php
search.php
login.php

---------------------------------------------------------------------------------

這個問題已經解決了嗎??

您們架站都是用哪些防護措施呢?

分享一下吧!!

[問題狂]

沒有說.....!!
照樣可以過的好好的..>"<

[hpo14]

架站環境
Xp Pro + Apache + MySQL

軟體防火牆
Kaspersky Anti-Hacker 1.5.119.0

加上 IP分享器的內建防火牆
IP分享器→ D-Link DI-604 (Ethernet Broadband Router)

我想這樣應該就夠了~~

[aiken]

硬體防火牆 VIGOR 2900 Broadband Security Router

[夜楓]

迷有人知道
軟體防火牆和
硬體的防火牆
是差在哪裡唷= =+

順便推薦一款IP分享器~.~

[hpo14]

IP 分享器 我推薦 我目前使用的D-link這款~~

你也可以找更新款的型號！

小弟最愛他的 防禦DDOS的攻擊 這個功能~~~

[大佬]

很多的防火墻都有防Dos攻擊

[hpo14]

很多的防火墻都有防Dos攻擊

似乎只要擋住某一個port就可以封ddos~~←小弟的記憶！

不過我忘了是哪個port~~

[大佬]

他們也可以更換port繼續進行攻擊

[hpo14]

會換嗎？
因為我之前有用google找過資料~~有寫出port的資料的網頁
上面沒提過ddos會換port~~

[hollowaysxp]

MySQL是用3306至於攻擊與防護沒研究!
只少我知道我沒開3306這個Port。

[shukae]

主機被攻擊大多是直接暴露在網際網路下
把主機藏在NAT後面是非常好的方法
NAT的主機的防火牆預設 INPUT DROP
就可以擋下很多攻擊了
如果主機真要直接對網際網路連線
防火牆的預設INPUT一定要DROP
然後再 ACCEPT 自己要的規則

DoS 攻擊很麻煩, 很多病毒也都會這招
而且目前並無真正的解決方式
我是乾脆直接自己寫程式偵測非法連線\r
把該IP位址直接擋住76小時
就可以防範 DoS 了
三天大概可以擋住接近 7700 個IP
而且不重複喔

[gibson]

一般都攻擊人氣較旺的站
我也是\r
資料庫檔案都不見
然後mysql也被關閉

已經好幾次了

還好我有備份\r

不過該怎麼防止他再攻擊ㄋ?

[shukae]

我的主機沒有被攻陷過, 我的方法給大家參考一下

如果駭客是透過phpBB的漏洞讓資料庫毀損的
那真的沒藥醫, 只能補漏洞
我自己是有寫自動備份程式, 自動把檔案打包起來
每天半夜備份一次\r

網路架設
NAT主機-----HUB------www伺服器\r
　　　　　　　+--------我的電曩\r
　　　　　　　+--------檔案伺服器\r
　　　　　　　+--------其它電腦\r
我簡單說一下我NAT主機的防火牆設定, 系統是 Linux
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
預設的 INPUT Policy 是DROP, 也就是 "丟棄"
而 Forward(NAT用的)和OUTPUT預設 "允許"
NAT Table 全部設定 "允許"

iptables -P INPUT DROP 這是關鍵\r
因為 NAT主機是以實際的網際網路IP對外連線
由網際網路來的攻擊幾乎99%都會在這台主機上面\r
所以預設一定是 DROP, 然後再一一設定要打開的功能\r
例如我的www伺服器需要port 80由 tcp 來連線
故設定 80 port 可以被允許連線
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

由於 www 主機在區網裡面, 故要再設定 Port Forward
iptables -A PREROUTING -t nat -p tcp -d 實際IP --dport 80 -j DNAT --to wwwIP:80

又為了能讓區網內能以網域名稱的方式存取www伺服器\r
故在打開NAT功能後即設定
iptables -t nat -A POSTROUTING -d wwwIP -s 網域IP/24 -p tcp --dport 80 -j SNAT --to NAT主機IP

當然eMule等P2P軟體, 也需要透過Port Forward設定才能順利使用\r

不過, 因為 DoS 攻擊是透過標準的三向交握的動作達到的
所以基本上防火牆只能透過一些消極的設定減輕, 但無法杜絕
DoS叫做阻斷服務攻擊, 基本上有四種型態
TCP DoS, UDP Flood DoS, DDoS, ICMP DoS
現在幾乎都是 TCP SYNC 型態的 TCP DoS攻擊
會讓httpd大量產生, 最後讓系統過載當機, 不然就是極度緩慢\r
目前唯一的做法是減少 ACK 旗標的等待時間......
另外 DDoS 叫做分散式阻斷服務攻擊
通常DoS多是同一台主機, DDoS 會有好幾十個甚至上千個IP一起攻擊
就算防火牆再強也沒用, 照死............

另外還有一種攻擊是完成三向交握的手續
跟www伺服器要資料, 不論是不是有資料喔
然後就不做斷線的四向交握程序, 就讓httpd程序停在記憶體裡面\r
造成記憶體吃光 =.="
這兩種攻擊都很討厭\r
我曾經一天擋下三萬多個IP位址........ 不知道哪個白目搞我
但我的主機沒當機 ^O^

DDoS攻擊真的很恐怖, 會看到一瞬間湧進大量的http連線
httpd大量暴增到數百個 (我只是小站台), 記憶體幾乎被吃光, 網路停擺(很慢)
實在不堪其擾, 花了一段時間自己寫程式分析 httpd 的 log 和 netstat 的訊息\r
每一分鐘檢查一次連線的情況和httpd的log訊息\r
把那些不合法連線或要求錯誤資料的IP位址全部 DROP 才解決這問題

[小竹子]

嘿嘿～所以要放在大型機房裡面比較安全，因為 ROUTER 會先擋掉