The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Положили сервер, помогите разобраться в причине, !*! mikeles, 03-Окт-13, 12:58  [смотреть все]
Добрый день. лег сервер. Начал разбираться. Оказалось что ктото к нам долбился.
  IP китайский))  и так каждую ночь
пароль бот подбирает?
  можете подсказать что у нас не так и как избавиться?
дело в том что сервер в итоге лег, пока не перезагрузил, может быть изза того что к нам долбились?

ЛОГИ:


Oct  3 06:06:45 vtufass sshd[12081]: Failed password for root from 119.10.114.52 port 64981 ssh2
Oct  3 06:06:46 vtufass sshd[12084]: Received disconnect from 119.10.114.52: 11: Bye Bye
Oct  3 06:06:48 vtufass sshd[12099]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.114.52  user=root
Oct  3 06:06:50 vtufass sshd[12099]: Failed password for root from 119.10.114.52 port 2852 ssh2
Oct  3 06:06:51 vtufass sshd[12102]: Received disconnect from 119.10.114.52: 11: Bye Bye
Oct  3 06:06:53 vtufass sshd[12129]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.114.52  user=root

ЕЩЕ логи

Oct  3 06:12:39 vtufass pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Oct  3 06:12:39 vtufass pure-ftpd: (?@127.0.0.1) [INFO] Logout.
Oct  3 06:17:42 vtufass pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
Oct  3 06:17:42 vtufass pure-ftpd: (?@127.0.0.1) [INFO] Logout.

Еще логи

Oct  3 10:48:32 vtufass sshd[32261]: Did not receive identification string from 110.75.162.238
Oct  3 10:48:32 vtufass sshd[32262]: Bad protocol version identification '' from UNKNOWN
Oct  3 10:48:32 vtufass sshd[32283]: Bad protocol version identification 'GET http://www.yahoo.com/ HTTP/1.1' from UNKNOWN
Oct  3 10:48:33 vtufass sshd[32292]: Did not receive identification string from 110.75.162.239
Oct  3 10:48:33 vtufass sshd[32299]: Did not receive identification string from 110.75.162.238
Oct  3 10:48:34 vtufass sshd[32308]: Connection closed by 110.75.162.238

Ответить | Сообщить модератору
  • Положили сервер, помогите разобраться в причине, !*! vfp7, 13:34 , 03-Окт-13 (1)
    Я с битвы экстрасенсов, сейчас я все расскажу :)

    Всегда сперва указывают как минимум uname -a, указывают как подключен сервер, его функционал, в твоем случае еще актуален sshd.conf, фильтры фаервола ( которых судя по всему вообще нет ).
    Судя по всему тебя элементарно опрокинули по отказу.
    По защите sshd полно информации в инете, хороший вариант перейти на аунтефикацию через сертификаты, ограничить доступ к этой службе, и совсем хорошо если замаскировать эту службу.

    Ответить | Сообщить модератору
  • Положили сервер, помогите разобраться в причине, !*! PavelR, 13:39 , 03-Окт-13 (2)
    есть такая полезная софтина - fail2ban.
    Ответить | Сообщить модератору
    • Положили сервер, помогите разобраться в причине, !*! vfp7, 13:51 , 03-Окт-13 (3)
      > есть такая полезная софтина - fail2ban.

      Мое мнение, что нужно всегда лечить болезнь, а не симптомы.
      бан отрабатывает уже по факту, анализируя логи, а нормальную конфигурацию служб, фильтров и системы никто не отменял

      Ответить | Сообщить модератору
      • Положили сервер, помогите разобраться в причине, !*! PavelR, 20:38 , 03-Окт-13 (5)
        >> есть такая полезная софтина - fail2ban.
        > Мое мнение, что нужно всегда лечить болезнь, а не симптомы.
        > бан отрабатывает уже по факту, анализируя логи, а нормальную конфигурацию служб, фильтров
        > и системы никто не отменял

        я правильно понимаю, что вы считаете использование fail2ban излишним?

        Ответить | Сообщить модератору
        • Положили сервер, помогите разобраться в причине, !*! Дядя_Федор, 12:03 , 04-Окт-13 (6)
          > я правильно понимаю, что вы считаете использование fail2ban излишним?

          Как мне кажется, имелось в виду, что fail2ban - это лечение последствий, а не причины. :) Лично у меня полезность fail2ban тоже вызывает некоторое сомнение. Через неделю две - получите колбасу правил в файрволле. Проще уж разрешить доступ с определенных портов, или поменять стандартный порт, или соорудить правило, чтобы при тенете не определнный порт делалась "дырка" в iptables. Сосбтвенно - методов масса. Но это так - к слову.


          Ответить | Сообщить модератору
  • Положили сервер, помогите разобраться в причине, !*! Дядя_Федор, 17:41 , 03-Окт-13 (4)
    >   можете подсказать что у нас не так и как избавиться?

    У Вас все не так. Если отвечу на вторую часть вопроса - Вам это вряд ли понравится.

    >  дело в том что сервер в итоге лег, пока не перезагрузил,
    > может быть изза того что к нам долбились?

    Надо очень сильно и очень "толсто" "долбиться", чтобы положить сервер подбором пароля по ssh. Перевесьте его на другой порт (7777, 8888, 9999 etc) - и уберет процентов 99.99 атак. Самый простой способ.

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру