Medidas de seguridad, las que me estan funcionando ahora mismo [2018-10-13]:Lo

1. Medidas de seguridad, las que me estan funcionando ahora mismo [2018-10-13]:
2. Localizar fichero modificados en bash: $ find /home/xxx/ -name "*.php" -ctime 0 -print
3.  
4. En php habilitar la directiva de subida de fichero: file_upload = off (este para los joomla funciona muuuy bien, es prefible que los ficheros sean subidos a un una ruta externa, por ejemplo un subdomonio))
5.  
6. Script (ejecutado con *) que me hice para tratar de cazar una rata: Si detecto un cambio, cambio el .htaccess por uno prefabricado (así el log del apache estará más limpio para poder analizar).
7.  
8. #!/bin/bash
9. #
10. # junter3 Cazador de juanquers que modifican ficheros
11. #
12. # Author: Mercenario <joseabel@xxxxxxxx.net>.
13. #
14.  
15. echo "Cazador de Juanquers modificadores de ficheros"
16.  
17. # Directorio a seguir los cambios
18. dir=/home/conservatoriopc/public_html/
19.  
20. # Fichero de volcado
21. log=/root/junter/junter3.txt
22.  
23. echo "Let's go Junter"
24.  
25. # Compruebo cambios cada x segundos
26. while sleep 1800;
27. do
28. sDir=`find /home/conservatoriopc/ -name "*.php" -mmin -90 -print`
29.  
30. if [ "${sDir}" != "" ]; then
31. #echo $sDir
32.  
33. /usr/sbin/sendmail -i joseabel@xxxxx.com <<END
34.  
35. Subject: hacks
36.  
37. Archivos modificados:
38. $sDir
39. END
40.  
41. rm /home/conservatoriopc/public_html/.htaccess >> null
42. cp /home/conservatoriopc/public_html/htaccess /home/conservatoriopc/public_html/.htaccess
43.  
44. else
45. echo "Vacio" >> null
46. echo "null"
47. fi
48. done
49. exit 0
50.  
51. También otro del que estoy orgulloso que es para ver los visitantes reales que están conectados en una fuente de video RTMP (vamos, quien estaba chupando video en un retransmisión online).
52.  
53. 3 cosas sobre seguridad de servidores (BASE):
54. 1- fail2ban (implementado lista de seguridad con listas de seguridad como abuseipdb)
55. 2- Bloquear bloques de IPs directamente (según https://github.com/vlcty/Blocklist.de-Sync/blob/master/blocklist-update.sh)
56. 3 - Script propio* para meter en iptables las ips que detectas que te estan atacando.
57.  
58. *El script manual que más uso (mentira, solo agrego ips que me tocan los eggs)
59. root@lenny [~]# cat ipblock
60. #!/bin/bash
61. iptables -A INPUT -s 163.172.43.208 -j DROP
62.  
63. Para agregar una usar el echo >>
64.  
65. Por último, quizás mi mejor mantenimiento (se llama vaider):
66. top - 15:51:54 up 1539 days, 1:35, 1 user, load average: 1.72, 1.83, 1.99
67. Tasks: 248 total, 1 running, 247 sleeping, 0 stopped, 0 zombie
68.  
69. Tengo pendiente lo de las copias de seguridad de servidor "onfly", duplicar el servidor es lo suyo, pero a mi no me ha hecho falta aún, aunque también lo realizo.
70.  
71. Para copias de seguridad he usado duplicity (https://github.com/jabelr/duplicityBackup), copia incremental pura y dura de todo lo que quieras totalmente cifrado, lo que no he probado ha sido a recuperarlo por partes (es lo que tiene no tener tiempo para hacer pruebas).
72.  
73. Ale, este es PARTE de mi CV en sistemas GNU/linux, también tengo otras* :)
74.  
75. * Me acuerdo la de establecer a espacio 0 la cuenta para evitar cambios que me comento el galleguiño.