От падений базы данных до кибератак: история о том, как мы обнаружили взлом

[diakin]

FATAL: password authentication failed for user "postgres"

Вообще на такое должен быть настроен ревун и красная лампа моргать.

[goth]

с открытым портом и ненадёжными паролями красная лампа перегорать будет часто...

[x89377]

"с открытым портом и ненадёжными паролями " это дорога на улицу красных фонарей

[Vaniog]

Ну в каком то смысле в логах оно и заморгало этой самой записью)

А так, если пароль хороший, то это и не страшно. А если плохой, то, как уже ответили, ничего не спасёт.

[diakin]

Если идет подбор пароля, то узнавать об этом и принимать меры надо сразу, а не через неделю.

[goth]

Если идёт подбор пароля единственной не фатальной мерой для сервера, который вынужден быть опубликован,лично я знаю только f2ban, и при этом его достаточно держать без уведомлений о подборе.

[sirota]

Не факт что f2b будет полезным если нападает ботнет.

[Vugluskr1]

Да зачем? И так сойдёт. Не убивают же никого.

[v1000]

Причиной взлома стал ненадежный пароль от базы данных, и открытый внешний порт.

Так это был ПРОД или Медовая ловушка? (сарказм)

[Vaniog]

Шутки шутками, а мы и правда не сразу поменяли пароль после того, как разоблачили хакера, чтобы изучить атаку ещё раз)

[goldenhaw]

Спасибо, увлекательно и довольно интересно было читать! Желаю вам поменьше атак, особенно успешных)

[Wuzzy]

Шампиньонам привет!

[Vaniog]

🤗

[censor2005]

А зачем открывать доступ снаружи к Postgresql, причём с пользователем postgres?

[Vaniog]

Ну вот вывод как раз и получается)

Не открывайте порт с пользователем postgres. Хаки не побрезгуют взломать ваш микро vps)

[censor2005]

Так в конфиге же он по-умолчанию бывает закрыт, зачем его меняли на открытый? Или в докере настройки по-умолчанию какие-то другие?

[Vaniog]

Все верно, по умолчанию закрыт. А открыт был, потому что после тестирования взаимодействия контейнеров плохо прибрались. То есть вина определённо наша.

[TyVik]

Мои студенты регулярно поднимают postgres в docker на белом IP. Как результат, раз в месяц или чуть чаще в нём поселяется какой-нибудь майнер. Зато потом на практике можно наглядно показать проблемы ИБ и как делать не надо.