¿Cómo evitar que los hackers accedan a las áreas protegidas .htpasswd y ssl? [cerrado]

2

A pesar de las precauciones, los hackers obtuvieron mis archivos.

Tengo un área protegida por contraseña en mi servidor. Estoy usando

AuthType Basic
AuthName "Title"
AuthUserFile /var/www/vhosts.../.htpasswd
Require valid-user

Y en ese .htpasswd tengo

username:$apr1......

Estoy usando SSL/TLS con self-signed certificate para cifrar pw- & transmisión de archivos.

Pero en mis registros de acceso encontré varios ips, por ejemplo, 31.55.57.141, no solo tratando de acceder sino que me conecté a mis archivos (200), aunque cambié el pw solo el 1 de febrero.

31.55.57.141 -0 username [12/Feb/2017:20:36:52 +0100] GET /IMG_20170212_202924800~3.jpg HTTP/1.1 200 802973 android-app://com.google.android.gm Mozilla/5.0 (Linux; Android 6.0; ALE-L21 Build/HuaweiALE-L21) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.91 Mobile Safari/537.36

Solo envío enlaces por correo electrónico y nunca los publico en foros en Internet.

¿Qué métodos recomienda para evitar que esto suceda en el futuro?

    
pregunta Zurechtweiser 15.01.2018 - 00:11
fuente

1 respuesta

0
  

¿Qué métodos recomienda para evitar que esto suceda en el futuro?

  • Si tiene problemas de seguridad desconocidos, revise la seguridad de sus servidores de arriba a abajo.
    • Todos sus servidores
    • Valide todos los usuarios y todos los accesos
      • En particular, quién tiene acceso a los archivos en cuestión
    • Si puedes bloquear razonablemente los rangos de direcciones IP, como los extranjeros, hazlo. Vea quién se queja: si el usuario cree que es legítimo el acceso a Gran Bretaña, se quejarán. Tal vez después de que el compañero de cuarto de su hermano / hermana / primo haya sido retirado tres veces, se quejan de ellos.
    • Cambie todas las contraseñas a cadenas largas y aleatorias, tal vez utilizando KeePass para generarlas y protegerlas con una contraseña maestra larga y segura, DESPUÉS de cambiar la el recuento de iteraciones (base de datos, configuración) será AL MENOS 1 segundo de tiempo, preferiblemente más.
    • Asegúrate de que HTTP no esté permitido en absoluto
  • Valide la seguridad de su firewall
    • Mismo tratamiento
  • Suba los registros a un nivel superior para que pueda ver más
    • Comience a ver quién está iniciando sesión en esos enlaces para obtener las contraseñas
  • Dado que usa SSL / TLS para mover las contraseñas, use SSLLabs para validar su configuración de TLS.

    • Aumente la seguridad si es posible esta respuesta todavía tiene listas y razonamientos de conjuntos de cifrado válidos.
  • Veo que está usando el algoritmo $ apr1 $ hash de contraseña de Apache; eso es iterado MD5. Deténgalo y use BCrypt a través de htpasswd $ 2y $ o su La versión iterada SHA-256 / SHA-512 del sistema operativo, con un alto factor de trabajo / cuenta de iteraciones.

    • BCrypt se debe usar en general, pero si insiste, puede usar - en Debian - algo como lo siguiente después de apt-get install whois
    • mkpasswd -m sha-512 -R 500000 -S RandomSalt
      • Asegúrese de generar una sal aleatoria por nombre de usuario + contraseña
  • Si puede, comience a dar a cada usuario válido su propio nombre de usuario / par de contraseñas largas generadas aleatoriamente, y luego mire en sus registros para ver qué nombre de usuario proviene de lugares extraños.
  • Si está realmente paranoico con respecto a esto, investigue el hecho de tener un nombre de usuario / IP / enlaces de interés muy mínimo que vaya directamente a la impresora, lo que es muy difícil para un atacante alterar los registros en papel.
  • Si desea ver aún más, use Wireshark para descifrar el TLS para que pueda ver qué contraseña están enviando. , en el caso increíblemente improbable de que haya algún tipo de contraseña maestra oculta en juego.
respondido por el Anti-weakpasswords 15.01.2018 - 08:55
fuente

Lea otras preguntas en las etiquetas