Come impedire agli hacker di accedere alle aree protette .htpasswd e ssl? [chiuso]

2

Nonostante le precauzioni, gli hacker hanno ottenuto dei miei file.

Ho un'area protetta da password sul mio server. Sto usando

AuthType Basic
AuthName "Title"
AuthUserFile /var/www/vhosts.../.htpasswd
Require valid-user

E in quel .htpasswd ho

username:$apr1......

Sto usando SSL/TLS con self-signed certificate per crittografare pw- & trasmissione di file.

Ma nei miei log di accesso ho trovato diversi IP, ad esempio 31.55.57.141 non solo tentando di accedere ma passando ai miei file (200), anche se ho modificato la pw solo il 1 febbraio.

31.55.57.141 -0 username [12/Feb/2017:20:36:52 +0100] GET /IMG_20170212_202924800~3.jpg HTTP/1.1 200 802973 android-app://com.google.android.gm Mozilla/5.0 (Linux; Android 6.0; ALE-L21 Build/HuaweiALE-L21) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.91 Mobile Safari/537.36

Invio solo link via email e non li pubblico mai nei forum su Internet.

Quali metodi consigli di evitare che ciò accada in futuro?

    
posta Zurechtweiser 15.01.2018 - 00:11
fonte

1 risposta

0

What methods do you recommend to avoid this from happening in the future?

  • Se hai problemi di sicurezza sconosciuti, controlla la sicurezza dei tuoi server da cima a fondo
    • Tutti i tuoi server
    • Convalidare tutti gli utenti e tutti gli accessi
      • In particolare, chi ha accesso ai file in questione
    • Se riesci a bloccare ragionevolmente gli intervalli di indirizzi IP, come quelli stranieri, prova a farlo. Vedi chi si lamenta - se l'utente ritiene che sia legittimo l'accesso alla Gran Bretagna, si lamenterà. Forse dopo che il loro compagno di stanza fratello / sorella / cugino tre volte rimosso si lamenta con loro.
    • Cambia tutte le password in stringhe casuali e lunghe, magari usando KeePass per generarle e proteggerle con una password master lunga e potente, DOPO aver cambiato la password numero di iterazioni (database, impostazioni) da ALMENO 1 secondo, preferibilmente di più.
    • Assicurati che HTTP non sia consentito affatto
  • Convalida la sicurezza del tuo firewall
    • stesso trattamento
  • Trasforma i registri a un livello superiore in modo da poterne visualizzare altri
    • Inizia a guardare l'OMS che sta effettuando l'accesso a quei link per ottenere le password
  • Poiché utilizzi SSL / TLS per spostare le password in giro, utilizza SSLLabs per convalidare le tue impostazioni TLS.

    • Aumenta la sicurezza se possibile questa risposta ha ancora ragionamenti e elenchi di suite di crittografia validi.
  • Vedo che stai usando l'algoritmo $ apr1 $ hashing di Apache di Apache; è MD5 iterato. Interrompilo e utilizza BCrypt tramite htpasswd $ 2y $ o il tuo versione SHA-256 / SHA-512 iterata del sistema operativo, con un elevato fattore di lavoro / conteggio dell'iterazione.

    • BCrypt dovrebbe essere usato in generale, ma se insisti, potresti usare - su Debian - qualcosa come il seguente dopo apt-get install whois
    • mkpasswd -m sha-512 -R 500000 -S RandomSalt
      • Assicurati di generare un salt salt per username e password
  • Se puoi, inizia a dare ad ogni utente valido il proprio nome utente / coppia lunga password generata a caso, anche, e poi guarda nei tuoi registri per vedere quale nome utente proviene da luoghi strani.
  • Se sei veramente paranoico su questo, cerca di avere un nome utente / IP / link di interesse molto minimale che va direttamente a una stampante - terribilmente difficile per un utente malintenzionato modificare i registri cartacei.
  • Se vuoi vedere ancora di più, utilizza Wireshark per decrittografare il TLS in modo da poter vedere quale password stanno inviando , nel caso fantasticamente improbabile che ci sia una sorta di password master nascosta in gioco.
risposta data 15.01.2018 - 08:55
fonte

Leggi altre domande sui tag