Портативный Web-сервер для сайта

[BattleFrame]

Собственно, крик о помощи. Хоть я и умею создавать прикольные веб-сервисы вроде WOWS-Flakes и дискорд-ботов, но столкнулся с одной чертовски печальной темой - хакерами.

Сегодня утром зашел на свой сервер и увидел следующее:
 

Скрытый текст

Собственно кто-то через уязвимость в OpenServer создал нового юзера с правами выше чем у меня, влил мимикетс (скрипт для выдергивания паролей из винды в открытом виде) и натворил делов.

Данная картина категорически не устраивает. До этого сидел на TopServer (привет из мезазоя), на XAMPP (бал также взломан), теперь вот OpenServer поломали.

 

Вопрос к знатокам. Какой лучше устанавливать сервер и если есть какие-то советы, то как правильно защищаться от подобных атак? В этом вопросе, к сожалению, я полнейший ноль. 

Линукс не вариант т.к собственные самописные сервер-приложения для винды

[Гость]

Сегодня в 17:32:26 пользователь BattleFrame сказал:

Собственно кто-то через уязвимость в OpenServer создал нового юзера с правами выше чем у меня, влил мимикетс (скрипт для выдергивания паролей из винды в открытом виде) и натворил делов.

Бэкап делали недавно?) А то, обидно будет все потерять :(

[BattleFrame]

Сегодня в 17:40:28 пользователь Fantastic_Approved сказал:

Бэкап делали недавно?) А то, обидно будет все потерять :(

Бекапы то все есть. Обиднее если эта фигня так и будет продолжаться.

[Asm_R]

А зачем именно портативный? В сборках типа XAMPP могут быть собственные баги или ошибки конфигурации (и будут скорее всего). Вы еще Denver поставьте. Почему бы не настроить самостоятельно то, что вам нужно? Ну и что за такие самописные приложения, которые работают на XAMPP,  но не работают на Linux?

[BattleFrame]

Сегодня в 19:25:53 пользователь Asm_R сказал:

Ну и что за такие самописные приложения, которые работают на XAMPP,  но не работают на Linux? 

Центральный мастер-сервер от онлайн игры. Он не зависит от веб сервера вообще, но стоит на том же компе и написан под винду. А запускать из под вайна тот еще кайф

[Asm_R]

В 25.04.2019 в 22:15:45 пользователь BattleFrame сказал:

Центральный мастер-сервер от онлайн игры. Он не зависит от веб сервера вообще, но стоит на том же компе и написан под винду. А запускать из под вайна тот еще кайф

Понятно.

Если вы используете сборки типа XAMPP, то постарайтесь отключить все вам не нужное в них. Всякие PhpMyAdmin, Sypex Dumper и прочее, как минимум закройте их директории дополнительной HTTP-авторизацией. Проверьте версии ПО, на предмет известных в них багов (можно гуглить типа "ПО версия + exploit" или "ПО версия + CVE"). Проверьте, что все директории закрыты от индексации, -Indexes в Apache к примеру.  Везде сложные пароли.

 

Проверьте свое приложение, в первую очередь на уязвимость к SQL-инъекциям и узвимостям типа LFI/RFI. Если у вас используется какая-либо загрузка файлов на сервер, проверьте, что нельзя загрузить исполняемые скрипты, как минимум запретите их исполнение из директории загрузки. Если используется какая-либо CMS и плагины к ней, то тоже погуглите на предмет известных в них багов.

 

Советов можно дать много, но кроме вас, вашу безопасность никто не обеспечит.