Положили сервер, помогите разобраться в причине, mikeles, 03-Окт-13, 12:58 [смотреть все]Добрый день. лег сервер. Начал разбираться. Оказалось что ктото к нам долбился. IP китайский)) и так каждую ночь пароль бот подбирает? можете подсказать что у нас не так и как избавиться? дело в том что сервер в итоге лег, пока не перезагрузил, может быть изза того что к нам долбились?ЛОГИ: Oct 3 06:06:45 vtufass sshd[12081]: Failed password for root from 119.10.114.52 port 64981 ssh2 Oct 3 06:06:46 vtufass sshd[12084]: Received disconnect from 119.10.114.52: 11: Bye Bye Oct 3 06:06:48 vtufass sshd[12099]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.114.52 user=root Oct 3 06:06:50 vtufass sshd[12099]: Failed password for root from 119.10.114.52 port 2852 ssh2 Oct 3 06:06:51 vtufass sshd[12102]: Received disconnect from 119.10.114.52: 11: Bye Bye Oct 3 06:06:53 vtufass sshd[12129]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.114.52 user=root
ЕЩЕ логи Oct 3 06:12:39 vtufass pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Oct 3 06:12:39 vtufass pure-ftpd: (?@127.0.0.1) [INFO] Logout. Oct 3 06:17:42 vtufass pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Oct 3 06:17:42 vtufass pure-ftpd: (?@127.0.0.1) [INFO] Logout. Еще логи Oct 3 10:48:32 vtufass sshd[32261]: Did not receive identification string from 110.75.162.238 Oct 3 10:48:32 vtufass sshd[32262]: Bad protocol version identification '' from UNKNOWN Oct 3 10:48:32 vtufass sshd[32283]: Bad protocol version identification 'GET http://www.yahoo.com/ HTTP/1.1' from UNKNOWN Oct 3 10:48:33 vtufass sshd[32292]: Did not receive identification string from 110.75.162.239 Oct 3 10:48:33 vtufass sshd[32299]: Did not receive identification string from 110.75.162.238 Oct 3 10:48:34 vtufass sshd[32308]: Connection closed by 110.75.162.238
|
- Положили сервер, помогите разобраться в причине, vfp7, 13:34 , 03-Окт-13 (1)
Я с битвы экстрасенсов, сейчас я все расскажу :)Всегда сперва указывают как минимум uname -a, указывают как подключен сервер, его функционал, в твоем случае еще актуален sshd.conf, фильтры фаервола ( которых судя по всему вообще нет ). Судя по всему тебя элементарно опрокинули по отказу. По защите sshd полно информации в инете, хороший вариант перейти на аунтефикацию через сертификаты, ограничить доступ к этой службе, и совсем хорошо если замаскировать эту службу.
- Положили сервер, помогите разобраться в причине, PavelR, 13:39 , 03-Окт-13 (2)
есть такая полезная софтина - fail2ban.
- Положили сервер, помогите разобраться в причине, vfp7, 13:51 , 03-Окт-13 (3)
> есть такая полезная софтина - fail2ban.Мое мнение, что нужно всегда лечить болезнь, а не симптомы. бан отрабатывает уже по факту, анализируя логи, а нормальную конфигурацию служб, фильтров и системы никто не отменял
- Положили сервер, помогите разобраться в причине, PavelR, 20:38 , 03-Окт-13 (5)
>> есть такая полезная софтина - fail2ban. > Мое мнение, что нужно всегда лечить болезнь, а не симптомы. > бан отрабатывает уже по факту, анализируя логи, а нормальную конфигурацию служб, фильтров > и системы никто не отменял я правильно понимаю, что вы считаете использование fail2ban излишним?
- Положили сервер, помогите разобраться в причине, Дядя_Федор, 12:03 , 04-Окт-13 (6)
> я правильно понимаю, что вы считаете использование fail2ban излишним? Как мне кажется, имелось в виду, что fail2ban - это лечение последствий, а не причины. :) Лично у меня полезность fail2ban тоже вызывает некоторое сомнение. Через неделю две - получите колбасу правил в файрволле. Проще уж разрешить доступ с определенных портов, или поменять стандартный порт, или соорудить правило, чтобы при тенете не определнный порт делалась "дырка" в iptables. Сосбтвенно - методов масса. Но это так - к слову.
- Положили сервер, помогите разобраться в причине, Дядя_Федор, 17:41 , 03-Окт-13 (4)
> можете подсказать что у нас не так и как избавиться? У Вас все не так. Если отвечу на вторую часть вопроса - Вам это вряд ли понравится. > дело в том что сервер в итоге лег, пока не перезагрузил, > может быть изза того что к нам долбились? Надо очень сильно и очень "толсто" "долбиться", чтобы положить сервер подбором пароля по ssh. Перевесьте его на другой порт (7777, 8888, 9999 etc) - и уберет процентов 99.99 атак. Самый простой способ.
|