[Comm] Странные сервисы

[Alexey Morsov]

Igor Tertishny wrote:

>Понедельник 06 Декабрь 2004 12:15, Michael Isachenkov написал:
>  
>
>>netstat -nlp
>>    
>>
>tcp        0      0 0.0.0.0:8888            0.0.0.0:*               LISTEN      
>6159/httpd
>
>К веб-серверу, значит... Сейчас посмотрю на /etc/httpd/conf/httpd.conf/ Понял, 
>отключил. Модуль midgard. Значит, все в порядке здесь. Извиняюсь, но после 
>взлома я сам не свой...
>
>tcp        0      0 0.0.0.0:32769           0.0.0.0:*               LISTEN      
>4712/rpc.statd
>tcp        0      0 0.0.0.0:32770           0.0.0.0:*               LISTEN      
>-
>
>По поводу второго вообще неясно. Что-то связанное с rpc. Но что? После взлома 
>форума я лихорадочно пытаюсь выстроить более защищенную систему, но пока 
>что-то не очень получается...
>
>Может кто подскажет, как закрывать в iptables конкретные порты от доступа из 
>интернета? Наглухо, чтобы только пользователи локальной сети до них 
>  
>
iptables -P INPUT DROP
iptables -A INPUT <правила для доступа к 80, 443 портам извне>
iptables -A INPUT <правила для доступа ко всему из своей сетки>

>дотянуться могли? Но опять же, вряд ли поможет. Взломали-то через веб-сервер, 
>а 80 порт все равно придется держать открытым... Но хотя бы базы данных 
>  
>
И что 80? Апач тут не причем - у него в системе самые низкие права - как 
у nobody...
Вопрос к настройкам безопасности вашей БД (например неплохо бы запретить 
конекты отовсюду кроме localhost и всем кроме nobody и root ессесно) и 
соответственно ваших скриптов что на web-крутятся (имеют ли они 
возможности что-либо загружать на сервер, делать что-то с БД)
Апач он что - он передал процесс другому и ушел курить ;)


-- 
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai на jabber.pibhe.com
http://www.ricom.ru
http://www.fondmarket.ru