Страница 3 из 7

Re: Хак моего MajorDomo или проблемы с системой

Добавлено: Пт мар 30, 2018 9:43 pm
skysilver
Alex писал(а):система должна поставляться с максимальными настройками безопасности и с заблокированными всеми внешними соединении. А уж пользователь сам, и чётко понимая что делает, открывал бы соединения с внешним миром.
Как вы себе это представляете? Как это можно реализовать на уровне исходников репозитория на гитхабе? MajorDoMo - это сайт, а безопасность сайт в первую очередь определяется конфигурацией веб-сервера, т.е. конфиги apache (nginx), php, mysql, а также доп. сервисами типа fail2ban и прочими.
Alex писал(а):«внутренние механизмы» на самом деле являющиеся управлением и сливом непонятно чего с моего сервера умного дома совсем не нужны
Что-то тут какая-то подмена понятий идет. Топик-стартер назвал этим термином штатные api-запросы MajorDoMo (вызов сценариев, методов, запрос свойств объектов через get-запросы), и это как раз видно в логах. Какой еще "слив непонятно чего"?!

Re: Хак моего MajorDomo или проблемы с системой

Добавлено: Пт мар 30, 2018 9:46 pm
fandaymon
Alex писал(а):Отлично. А теперь давайте спросим, что делали остальные 1000 пользователей MajorDoMo, кроме инсталляции (и последующих воплей, что кнопки и объекты из системы сами-собой пропадают).
Остальные 1000 либо понимают, что именно они делают, когда открывают свою внутреннюю сеть наружу, либо не делают этого.

Не факт. Мне, например, «внутренние механизмы» на самом деле являющиеся управлением и сливом непонятно чего с моего сервера умного дома совсем не нужны. Или по крайней мере я бы хотел иметь документ, где расписано всё, что делается на моём сервере умного дома без моего ведома.
Хозяин - барин. Вам не нужны, другим без них никак - чтобы всякие ардуинки могли по сети общаться с сервером без особых заморочек. Такова жизнь - либо выстраивается многоуровневая оборона от всех, через которую не смогут пробиться и ваши устройства или делаете систему открытой, чтобы любой начинающий мог к ней подключить свою поделку. Что касается хотелок - берёт код Мажордомо и вперёд - документируете всё что делается, проверяете на наличие уязвимостей, закрываете их, отправляете Сергею исправления и думаю что он с удовольствием включит всё это в код системы...

Re: Хак моего MajorDomo или проблемы с системой

Добавлено: Пт мар 30, 2018 9:47 pm
Vovix
Alex писал(а):
Так же в логе видны какие то внутренние механизмы обращений самой системы MD.
через какое-то время понеслось :), начали долбиться пауки Яндекса.
это не боты яндекса, так легко могут маскироваться "стучалки".
В общем, MajoDoMo это по факту прходной двор, где шарятся все кому не лень - «внутренние механизмы», пауки Яндекса, «стучалки» (классное название), а заодно с ними всевозможная нечисть со всего интернета и хакеры всех квалификаций и намерений.

Здравый смысл подсказывает, что система должна поставляться с максимальными настройками безопасности и с заблокированными всеми внешними соединении. А уж пользователь сам, и чётко понимая что делает, открывал бы соединения с внешним миром.

Должна быть ясная политика безопасности и конфиденциальности и должно быть четко расписано что и как делают в системе «внутренние механизмы», что, как и когда сливается из системы на сервера smartliving.

Также должен быть как-то формализован механизм установки заплаток безопасности для Апача, PHP и прочих компонентов системы.

Пока не будут приняты хотябы эти элементарные меры — открывать доступ MajoDoMo в интернет — это чистое рафинированное безумие (особенно учитывая чем он управляет).
во первых: ни кто и ни чего здесь вам не должен!!!
А вот вы должны сказать спасибо Сергею или проходить мимо...

Re: Хак моего MajorDomo или проблемы с системой

Добавлено: Пт мар 30, 2018 10:02 pm
Alex
во первых: ни кто и ни чего здесь вам не должен!!!
А вот вы должны сказать спасибо Сергею или проходить мимо...
Друзья, у меня то как раз проблем нет и к MajorDoMo я отношусь крайне положительно, если не сказать с любовью. Просто я высказал своё личное мнение по поводу безопасности MajorDoMo — прислушиваться к нему или нет — это уже дело сообщества.

А спасибо за MajorDoMo я сказал Сергею ещё 6 лет назад в 2012 году

viewtopic.php?f=4&t=14#p75

И с системой знаком не понаслышке, так что примерно представляю, о чём говорю.

viewtopic.php?f=4&t=2377

Re: Хак моего MajorDomo или проблемы с системой

Добавлено: Пт мар 30, 2018 11:55 pm
voronrom
Уважаемые форумчане, не ожидал таких яростных баталий в ответах. Я уважаю мажордомо и автора, признателен ему, что создал и поделился такой системой. Но почему то после Ваших ответов у меня начинаются смешенные чувства вины, что я свою лабу систему выставил в инет без защиты, а возможно без вашего одобрения и благословения. еще раз повторю, что делал это осознано и о последствиях осознавал, к вам обратился лишь за помощью доказательств т.к. Я не являюсь экспертом в веб технологиях и в мажордомо. У меня пока нет каких то серьезных управлений и настроек в системе, я пока играюсь изучаю и присматриваюсь. Для меня совсем не критичны потери данных на этом этапе интересен опыт. В данном конкретном случае меня заинтересовал случай, в котором я стал разбираться и попросил помощи у Вас. Но я уже слышал 100500 раз ай-яй-яй как так выставлять голый сервер в Интернет и прочие. Я не собираюсь не перед кем оправдываться зачем и почему так сделал. Спасибо ребятам, которые по существу ответили на мои вопросы. Считаю для себя данную ветку форума закрытой и не интересной, а то уже напоминает анекдот про мужика в лодке гребущего ложками, каждый из кустов крикнул ты бы ещё вилку взял.

Re: Хак моего MajorDomo или проблемы с системой

Добавлено: Сб мар 31, 2018 12:50 am
dioxin
это да.. :)
эко вас понесло))

Защита строится на самом сервере, а не в MD.
Не пускайте никого на сервер, кроме своих ip вот и всё. Сами ходите через ssh, только порт по умолчанию не забудьте поменять и доступ к root не открывайте по нему.
Для более легкого управления можно накатить webmin и тоже порт поменять. А так конечно, голый зад в инет торчит, мимо мало кто пройдет, каждому пнуть нужно))

Я когда свой первый LAMP ставил, так ко мне на vps столько "народу" ломилось, по всем "нужным" портам стучались. Поменял порты, поставил fail2ban и настроил iptables. Сайты которые там висели, работали только по России, поэтому запретил все иностранные ip кроме пары буржуйских поисковиков.

Так что настраиваем правильно LAMP и ставим MD и будет счастье!

У меня сейчас MD стоит на домашнем серваке, тот в свою очередь смотрит в инет через nat мобильного оператора. Сервер vpn стоит на VPS, по запросу из telegramm bot, MD соединяется с vpn и всё, у меня есть доступ хоть с мобилки, хоть с удаленного компа из любой точки мира. Даже если сломают vpn, доступа к MD через мобильный nat все равно не будет.
vpn всегда отключен! Если нужен доступ к MD, я сперва отправляю команду через telegramm bot, он включает vpn и я уже могу коннектиться.

Запутано конечно, но это только с первого разу)) потом привыкаешь.. Главное все настроить, а уж логика работы проста.

p.s. Кстати, никто еще не заморачивался с отправкой запросов на MD по https? Создал темку, тишина.. Я vps и все сайты на нем перевел на ssl, теперь проблемки есть по запросам https.

Re: Хак моего MajorDomo или проблемы с системой

Добавлено: Сб мар 31, 2018 1:10 am
olehs
Я с https в апаче не стал заморачиваться, а накидал на NodeJS https->http proxy и его выставил наружу.

Re: Хак моего MajorDomo или проблемы с системой

Добавлено: Сб мар 31, 2018 7:15 am
Alex
Считаю для себя данную ветку форума закрытой
Тут дело не в вас, эта тема уже наболела и вы не первый, кто поднимает вопрос о том, что его MajorDoMo хакнули.

У меня конкретные вопросы по безопасности:

1. MajorDoMo это многокомпонентная система. Есть ли какой-то механизм, который отслеживает выход заплаток безопасности к компонентам системы и устанавливает их (или хотя бы оповещает о них)? Очевидно, что, если в течение нескольких часов не установить вышедшую заплатку, то ваш сервер может быть хакнут любым хакером или просто автоматическим скриптом-сканером. Если этого механизма нет — то все разговоры о безопасности можно прекращать — её просто нет.

2. Управление и обмен с серверами smartliving идёт по какому протоколу и по защищённому или по незащищённому соединению? Если этот обмен идёт по незашифрованному соединению, то это просто несерьёзно и ни о какой безопасности речь вообще не может идти.

3. Есть ли какая-нибудь возможность (для хакера) сопоставить нерофессиональный код PHP, выставленный на всеобщее обозрение в Коннект с IP рельных систем на MajorDoMo? Потому, что если такая возможность есть, то это как приглашение «хакни меня».

И последний сакраментальный вопрос: кто-нибудь когда-нибудь проводил профессиональный аудит безопасности MajorDoMo? :)

Re: Хак моего MajorDomo или проблемы с системой

Добавлено: Сб мар 31, 2018 9:33 am
nick7zmail
Alex писал(а): У меня конкретные вопросы по безопасности:

1. MajorDoMo это многокомпонентная система. Есть ли какой-то механизм, который отслеживает выход заплаток безопасности к компонентам системы и устанавливает их (или хотя бы оповещает о них)? Очевидно, что, если в течение нескольких часов не установить вышедшую заплатку, то ваш сервер может быть хакнут любым хакером или просто автоматическим скриптом-сканером. Если этого механизма нет — то все разговоры о безопасности можно прекращать — её просто нет.
Механизм тот же, что и для других обновлений - комиты на гитхабе, к каждому комиту описание есть. Я думаю можно Сергея попросить выносить обновления по безопасности в отдельные комиты с меткой security fix к примеру. Только толку...как уже сказано безопасность МД - на 95% это настройки сервера (даже больше), и только на 5 - то что может быть исправлено в обновлениях...ведь МД просто набор php скриптов, html страниц и базы. Доступ ко всему описывает апач, который не является частью МД.
Alex писал(а): 2. Управление и обмен с серверами smartliving идёт по какому протоколу и по защищённому или по незащищённому соединению? Если этот обмен идёт по незашифрованному соединению, то это просто несерьёзно и ни о какой безопасности речь вообще не может идти.
"Управления" серверами smartliving точно нету)) А обмен идёт только если включен модуль connect. Протокол не смотрел, если честно...надо смотреть исходники...
Alex писал(а): 3. Есть ли какая-нибудь возможность (для хакера) сопоставить нерофессиональный код PHP, выставленный на всеобщее обозрение в Коннект с IP рельных систем на MajorDoMo? Потому, что если такая возможность есть, то это как приглашение «хакни меня».
Я уже говорил что все IP-шники ваши давно выложены на открытых ресурсах (сканеры не дремлют))...так что даже не зная что такое коннект, что там выкладывают и т.п. можно зайти в любую систему...и если там нет хотя бы пароля - что нить "потыкать"...Если делают "непрофессиональный" код в котором вбиты логины/пароли для обращения к каким-либо сервисам (в том числе к локальному МД) - могут посредствам этих данных не только МД взломать, но и почту к примеру, другие учетки. Но это уже приглашение вида не "хакни меня" а "добро пожаловать".

Кстати в начале темы хотел ещё сказать...меняйте стандартные пароли...серьезно...половина систем с незащищённой базой к примеру...
На вскидку
chibis - база вообще без пароля
msergeev06 - стандартный пароль на базе
Ещё 4 системы у которых в пользователях только "admin", не знаю кто владельцы - стандартный пароль
(я кстати только зашел в базу, и глянул на таблицу users...больше не делал ничего)
и это только 1ая страница поиска где отображается только 10 результатов.

Знающий человек обадая таким доступом сможет отслеживать ваши перемещения, будет знать когда вас нет дома...и воспользоваться этой информацией, или даже продать её злоумышленникам. Тьфу тьфу конечно...
Alex писал(а): И последний сакраментальный вопрос: кто-нибудь когда-нибудь проводил профессиональный аудит безопасности MajorDoMo? :)
Встречный вопрос - а на АМС проводили такой аудит?)) (просто интересно, но догадываюсь, что скорее всего, ответ "нет").
Сомневаюсь что его проводили и на МД. Ибо, как выше сказал, МД это всего лишь набор скриптов, страниц и записей в базе...а аудит проводить надо на апаче, движке sql, и самом php. Так же организация самой сети и настройки роутера тоже нехило влияют. И если его даже проведут на какой-либо комбинации php+sql+apache с определёнными настройками, не факт что оно так же будет работать с другими версиями...

Re: Хак моего MajorDomo или проблемы с системой

Добавлено: Сб мар 31, 2018 10:09 am
voronrom
Защита - это пожалуй комплекс мер по эшелонированной защите нашей Системы. Под Системой можно понимать в целом наш комплекс и ПО MD, а так же СПО, СУБД и ОС. В каждых из этих сущностей есть свои дыры в безопасности и особенности работы, которые могут являться как каждая в отдельности, так и в совокупе точкой НЕ безопасности :). На мой взгляд при построении системы необходимо этого придерживаться. Но есть подход такой, что достаточно выстроить грамотную защиту периметра, а что внутри там пофиг. Все это на самом деле справедливо ведь сложность и дороговизну (дороговизна складывается не только в затраченных деньгах, а еще в затраченных силах, времени и прочего не материального) системы безопасности в целом определяет ЦЕННОСТЬ ИНФОРМАЦИИ. Нет смысла возводить кучу преград и сложных систем авторизации и доступа перед мусорным баком, хотя и он стоит денег, наверное никто не поспорит. По этому я считаю, что все форумчане по своему правы, кто-то считает, что ценность его системы очень огромна и естественно он будет требовать и хотеть более сложную и совершенную систему безопасности, а кому то в принципе сильно не парит данный вопрос и он выстаивает просто безопасность периметра. Каждый прав по своему, но это уже пожалуй не совсем формат моей темы, скорее надо начинать новую под жирными буквами БЕЗОПАСНОСТЬ системы в MajorDomo и именно Системы т.к. MajorDomo является лишь 1 кирпичиком в этой большой стене.