[Защита] Где можно проверить VDS на взлом.

[PROTECT]

Здарова работяги! Где можно проверить VDS на наличие взлома phpmyadmin и получения доступа к SSH и sFTP.
Либо не могли бы поделится какие утилиты использовать т.к хочу защитить свой проект от взлома и получения прав.

К чему я это, в ноябре 2019 году взломали доступ к SSH и sFTP при это всё что было в sFTP на просто украли, от куда я узнал? Так потому что в sFTP стояла игровая сборка и позже игроки проекта начали писать про то что "Вы открыли новый сервер?". С ноября 2019, я ищу способ защитить сервер от взлома т.к те люди на готовое взяли всё и поставили себе, а данная сборка делалась целых 3 месяца.

Не могли бы вы написать какие утилиты стоит поставить, но при том без изменения iptables.
И кстати, тогда нам создали нового пользователя и можно ли запретить создания пользователей, аа крч параноя.   

Что сейчас для этого я предпринял:
1. Сделал более сложный пароль для ROOT
2. Сделал нового пользователя.
3. Сделал чтоб доступ к дедику был с определенного IP-адреса.

Заранее всем спасибо, надеюсь вы поможете.

[ogost]

Где можно проверить VDS на наличие взлома phpmyadmin и получения доступа к SSH и sFTP.

На вскидку:
- Просмотр логов на наличие подозрительной активности, в частности /var/log/auth.log и командой last. Хотя если событие было в ноябре, то логи скорее всего уже не сохранились, да и злоумышленники обычно чистят логи.
- Проверка всякими антируткитами/антивирусами на наличие всяких шеллов и зловредов.
- Проверка процессов, слушающих сеть и создающих сетевые соединения.
Тема обширная и нетривиальная.

Не могли бы вы написать какие утилиты стоит поставить, но при том без изменения iptables.

fail2ban - против брутфорса

Что сейчас для этого я предпринял:
1. Сделал более сложный пароль для ROOT
2. Сделал нового пользователя.
3. Сделал чтоб доступ к дедику был с определенного IP-адреса.

Недостаточно. Нужно как минимум:
1. Отказаться от phpmyadmin. Может содержать уязвимости. Подключаться к базе извне можно разными безопасными способами, например через ssh-тунель.
2. Запретить доступ root-у через ssh. На сервер ходить только через обычного пользователя и уже подключившись логиниться через su - root. Не пользоваться sudo, а ещё лучше его удалить, если установлен.
3. Запретить доступ пользователю через пароли. Только ssh-ключи. Но учтите, если вы потеряете ключи, то не сможете залогиниться через ssh.
4. настроить fail2ban.
5. Само собой проверить все процессы, слушающие сеть. Прибить ненужное. Не пользоваться всякими vnc/remote desktop без туннелирования через ssh, а лучше вообще от графики на сервере отказаться, нахрен она там не нужна.
6. Постоянно ставить обновления безопасности.
Многие ещё советуют менять порты ssh/http/vnc/другой_сервис на нестандартные, но имхо это бесполезное занятие, ибо сервисы на нестандартных портах идентифицируются на раз-два и каждый первый скрипт-кидди умеет это делать. То есть защита никакая, и самому неудобно.
В общем, тема тоже обширная и многое зависит от конкретной ситуации и набора софта.

[dsdsda]

Где можно проверить VDS на наличие взлома phpmyadmin и получения доступа к SSH и sFTP.

На вскидку:
- Просмотр логов на наличие подозрительной активности, в частности /var/log/auth.log и командой last. Хотя если событие было в ноябре, то логи скорее всего уже не сохранились, да и злоумышленники обычно чистят логи.
- Проверка всякими антируткитами/антивирусами на наличие всяких шеллов и зловредов.
- Проверка процессов, слушающих сеть и создающих сетевые соединения.
Тема обширная и нетривиальная.

Не могли бы вы написать какие утилиты стоит поставить, но при том без изменения iptables.

fail2ban - против брутфорса

Что сейчас для этого я предпринял:
1. Сделал более сложный пароль для ROOT
2. Сделал нового пользователя.
3. Сделал чтоб доступ к дедику был с определенного IP-адреса.

Недостаточно. Нужно как минимум:
1. Отказаться от phpmyadmin. Может содержать уязвимости. Подключаться к базе извне можно разными безопасными способами, например через ssh-тунель.
2. Запретить доступ root-у через ssh. На сервер ходить только через обычного пользователя и уже подключившись логиниться через su - root. Не пользоваться sudo, а ещё лучше его удалить, если установлен.
3. Запретить доступ пользователю через пароли. Только ssh-ключи. Но учтите, если вы потеряете ключи, то не сможете залогиниться через ssh.
4. настроить fail2ban.
5. Само собой проверить все процессы, слушающие сеть. Прибить ненужное. Не пользоваться всякими vnc/remote desktop без туннелирования через ssh, а лучше вообще от графики на сервере отказаться, нахрен она там не нужна.
6. Постоянно ставить обновления безопасности.
Многие ещё советуют менять порты ssh/http/vnc/другой_сервис на нестандартные, но имхо это бесполезное занятие, ибо сервисы на нестандартных портах идентифицируются на раз-два и каждый первый скрипт-кидди умеет это делать. То есть защита никакая, и самому неудобно.
В общем, тема тоже обширная и многое зависит от конкретной ситуации и набора софта.

Здорово. Но причём тут phpmyadmin? Для него просто необходима кроме штатной авторизации по mysql, авторизация по apache2, имхо, безопасней, и закроет уязвимости? Не всегда удобно использовать консоль.

[ogost]

Но причём тут phpmyadmin?

Логика простая: чем меньше программ смотрит в сеть, тем лучше. ТС хотел режим паранои, поэтому я это и предложил.
Кроме консоли и phpmyadmin у mysql есть куча других разных клиентов. Которые можно завернуть в ssh туннель и безопасно подключаться к базе.
Обычно серъезные конторы на продакшене phpmyadmin не держат. Но у них и сеть своя (не нужно изгаляться с туннелем), и админы есть, которые за прод отвечают.