форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Шифрование, SSH, SSL)
Изначальное сообщение		[ Отслеживать ]

"Положили сервер, помогите разобраться в причине"	+/–
Сообщение от mikeles on 03-Окт-13, 12:58
Добрый день. лег сервер. Начал разбираться. Оказалось что ктото к нам долбился.   IP китайский))  и так каждую ночь пароль бот подбирает?   можете подсказать что у нас не так и как избавиться? дело в том что сервер в итоге лег, пока не перезагрузил, может быть изза того что к нам долбились? ЛОГИ: Oct  3 06:06:45 vtufass sshd[12081]: Failed password for root from 119.10.114.52 port 64981 ssh2 Oct  3 06:06:46 vtufass sshd[12084]: Received disconnect from 119.10.114.52: 11: Bye Bye Oct  3 06:06:48 vtufass sshd[12099]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.114.52  user=root Oct  3 06:06:50 vtufass sshd[12099]: Failed password for root from 119.10.114.52 port 2852 ssh2 Oct  3 06:06:51 vtufass sshd[12102]: Received disconnect from 119.10.114.52: 11: Bye Bye Oct  3 06:06:53 vtufass sshd[12129]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.114.52  user=root ЕЩЕ логи Oct  3 06:12:39 vtufass pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Oct  3 06:12:39 vtufass pure-ftpd: (?@127.0.0.1) [INFO] Logout. Oct  3 06:17:42 vtufass pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Oct  3 06:17:42 vtufass pure-ftpd: (?@127.0.0.1) [INFO] Logout. Еще логи Oct  3 10:48:32 vtufass sshd[32261]: Did not receive identification string from 110.75.162.238 Oct  3 10:48:32 vtufass sshd[32262]: Bad protocol version identification '' from UNKNOWN Oct  3 10:48:32 vtufass sshd[32283]: Bad protocol version identification 'GET http://www.yahoo.com/ HTTP/1.1' from UNKNOWN Oct  3 10:48:33 vtufass sshd[32292]: Did not receive identification string from 110.75.162.239 Oct  3 10:48:33 vtufass sshd[32299]: Did not receive identification string from 110.75.162.238 Oct  3 10:48:34 vtufass sshd[32308]: Connection closed by 110.75.162.238
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Положили сервер, помогите разобраться в причине"	+/–
Сообщение от vfp7 (ok) on 03-Окт-13, 13:34
Я с битвы экстрасенсов, сейчас я все расскажу :) Всегда сперва указывают как минимум uname -a, указывают как подключен сервер, его функционал, в твоем случае еще актуален sshd.conf, фильтры фаервола ( которых судя по всему вообще нет ). Судя по всему тебя элементарно опрокинули по отказу. По защите sshd полно информации в инете, хороший вариант перейти на аунтефикацию через сертификаты, ограничить доступ к этой службе, и совсем хорошо если замаскировать эту службу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Положили сервер, помогите разобраться в причине"	+/–
Сообщение от PavelR (ok) on 03-Окт-13, 13:39
есть такая полезная софтина - fail2ban.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Положили сервер, помогите разобраться в причине"	+/–
	Сообщение от vfp7 (ok) on 03-Окт-13, 13:51
	> есть такая полезная софтина - fail2ban. Мое мнение, что нужно всегда лечить болезнь, а не симптомы. бан отрабатывает уже по факту, анализируя логи, а нормальную конфигурацию служб, фильтров и системы никто не отменял
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Положили сервер, помогите разобраться в причине"	+/–
	Сообщение от PavelR (ok) on 03-Окт-13, 20:38
	>> есть такая полезная софтина - fail2ban. > Мое мнение, что нужно всегда лечить болезнь, а не симптомы. > бан отрабатывает уже по факту, анализируя логи, а нормальную конфигурацию служб, фильтров > и системы никто не отменял я правильно понимаю, что вы считаете использование fail2ban излишним?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Положили сервер, помогите разобраться в причине"	+/–
	Сообщение от Дядя_Федор on 04-Окт-13, 12:03
	> я правильно понимаю, что вы считаете использование fail2ban излишним? Как мне кажется, имелось в виду, что fail2ban - это лечение последствий, а не причины. :) Лично у меня полезность fail2ban тоже вызывает некоторое сомнение. Через неделю две - получите колбасу правил в файрволле. Проще уж разрешить доступ с определенных портов, или поменять стандартный порт, или соорудить правило, чтобы при тенете не определнный порт делалась "дырка" в iptables. Сосбтвенно - методов масса. Но это так - к слову.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

4. "Положили сервер, помогите разобраться в причине"	+/–
Сообщение от Дядя_Федор on 03-Окт-13, 17:41
>   можете подсказать что у нас не так и как избавиться? У Вас все не так. Если отвечу на вторую часть вопроса - Вам это вряд ли понравится. >  дело в том что сервер в итоге лег, пока не перезагрузил, > может быть изза того что к нам долбились? Надо очень сильно и очень "толсто" "долбиться", чтобы положить сервер подбором пароля по ssh. Перевесьте его на другой порт (7777, 8888, 9999 etc) - и уберет процентов 99.99 атак. Самый простой способ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема