DDOS атака с моего сервера.

[tork]

Систему переустанавливали 2-го числа.
После чего я залил файлы игрового сервера.
Он работал с 2-го числа вчера вечером в раене 20-00 по киеву начал куралесить.....

[Sly_tom_cat]

т.е. это уже второй раз, а грабли те же?

[tork]

В том то и дело.... Я подозреваю что возможно проблема с моими файлами игрвого сервера... Но до этого сервер работал почти месяц, и таких трабл небыло.

[Sly_tom_cat]

Ну какбы надо было в прошлый раз разобраться...

[Отражение луны]

Это же то, о чем я думаю? (auth.log)

(Нажмите, чтобы показать/скрыть)

Sep 30 23:57:34 AccountingDev sshd[28481]: Failed password for root from 200.111.148.221 port 36782 ssh2
Sep 30 23:57:34 AccountingDev sshd[28481]: Received disconnect from 200.111.148.221: 11: Bye Bye [preauth]
Sep 30 23:57:37 AccountingDev sshd[28483]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2$
Sep 30 23:57:37 AccountingDev sshd[28483]: pam_winbind(sshd:auth): getting password (0x00000388)
Sep 30 23:57:37 AccountingDev sshd[28483]: pam_winbind(sshd:auth): pam_get_item returned a password
Sep 30 23:57:37 AccountingDev sshd[28483]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_U$
Sep 30 23:57:38 AccountingDev sshd[28483]: Failed password for root from 200.111.148.221 port 37260 ssh2
Sep 30 23:57:39 AccountingDev sshd[28483]: Received disconnect from 200.111.148.221: 11: Bye Bye [preauth]
Sep 30 23:57:41 AccountingDev sshd[28485]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2$
Sep 30 23:57:41 AccountingDev sshd[28485]: pam_winbind(sshd:auth): getting password (0x00000388)
Sep 30 23:57:41 AccountingDev sshd[28485]: pam_winbind(sshd:auth): pam_get_item returned a password
Sep 30 23:57:41 AccountingDev sshd[28485]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_U$
Sep 30 23:57:43 AccountingDev sshd[28485]: Failed password for root from 200.111.148.221 port 37638 ssh2
Sep 30 23:57:43 AccountingDev sshd[28485]: Received disconnect from 200.111.148.221: 11: Bye Bye [preauth]
Sep 30 23:57:46 AccountingDev sshd[28487]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2$
Sep 30 23:57:46 AccountingDev sshd[28487]: pam_winbind(sshd:auth): getting password (0x00000388)
Sep 30 23:57:46 AccountingDev sshd[28487]: pam_winbind(sshd:auth): pam_get_item returned a password
Sep 30 23:57:46 AccountingDev sshd[28487]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_U$
Sep 30 23:57:48 AccountingDev sshd[28487]: Failed password for root from 200.111.148.221 port 38060 ssh2
Sep 30 23:57:49 AccountingDev sshd[28487]: Received disconnect from 200.111.148.221: 11: Bye Bye [preauth]
Sep 30 23:57:51 AccountingDev sshd[28489]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2$
Sep 30 23:57:51 AccountingDev sshd[28489]: pam_winbind(sshd:auth): getting password (0x00000388)
Sep 30 23:57:51 AccountingDev sshd[28489]: pam_winbind(sshd:auth): pam_get_item returned a password
Sep 30 23:57:51 AccountingDev sshd[28489]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_U$
Sep 30 23:57:53 AccountingDev sshd[28489]: Failed password for root from 200.111.148.221 port 38523 ssh2
Sep 30 23:57:53 AccountingDev sshd[28489]: Received disconnect from 200.111.148.221: 11: Bye Bye [preauth]
Sep 30 23:57:56 AccountingDev sshd[28491]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2$
Sep 30 23:57:56 AccountingDev sshd[28491]: pam_winbind(sshd:auth): getting password (0x00000388)
Sep 30 23:57:56 AccountingDev sshd[28491]: pam_winbind(sshd:auth): pam_get_item returned a password
Sep 30 23:57:56 AccountingDev sshd[28491]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_U$
Sep 30 23:57:57 AccountingDev sshd[28491]: Failed password for root from 200.111.148.221 port 38945 ssh2

[tork]

Это же то, о чем я думаю? (auth.log)

(Нажмите, чтобы показать/скрыть)

Sep 30 23:57:34 AccountingDev sshd[28481]: Failed password for root from 200.111.148.221 port 36782 ssh2
Sep 30 23:57:34 AccountingDev sshd[28481]: Received disconnect from 200.111.148.221: 11: Bye Bye [preauth]
Sep 30 23:57:37 AccountingDev sshd[28483]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2$
Sep 30 23:57:37 AccountingDev sshd[28483]: pam_winbind(sshd:auth): getting password (0x00000388)
Sep 30 23:57:37 AccountingDev sshd[28483]: pam_winbind(sshd:auth): pam_get_item returned a password
Sep 30 23:57:37 AccountingDev sshd[28483]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_U$
Sep 30 23:57:38 AccountingDev sshd[28483]: Failed password for root from 200.111.148.221 port 37260 ssh2
Sep 30 23:57:39 AccountingDev sshd[28483]: Received disconnect from 200.111.148.221: 11: Bye Bye [preauth]
Sep 30 23:57:41 AccountingDev sshd[28485]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2$
Sep 30 23:57:41 AccountingDev sshd[28485]: pam_winbind(sshd:auth): getting password (0x00000388)
Sep 30 23:57:41 AccountingDev sshd[28485]: pam_winbind(sshd:auth): pam_get_item returned a password
Sep 30 23:57:41 AccountingDev sshd[28485]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_U$
Sep 30 23:57:43 AccountingDev sshd[28485]: Failed password for root from 200.111.148.221 port 37638 ssh2
Sep 30 23:57:43 AccountingDev sshd[28485]: Received disconnect from 200.111.148.221: 11: Bye Bye [preauth]
Sep 30 23:57:46 AccountingDev sshd[28487]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2$
Sep 30 23:57:46 AccountingDev sshd[28487]: pam_winbind(sshd:auth): getting password (0x00000388)
Sep 30 23:57:46 AccountingDev sshd[28487]: pam_winbind(sshd:auth): pam_get_item returned a password
Sep 30 23:57:46 AccountingDev sshd[28487]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_U$
Sep 30 23:57:48 AccountingDev sshd[28487]: Failed password for root from 200.111.148.221 port 38060 ssh2
Sep 30 23:57:49 AccountingDev sshd[28487]: Received disconnect from 200.111.148.221: 11: Bye Bye [preauth]
Sep 30 23:57:51 AccountingDev sshd[28489]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2$
Sep 30 23:57:51 AccountingDev sshd[28489]: pam_winbind(sshd:auth): getting password (0x00000388)
Sep 30 23:57:51 AccountingDev sshd[28489]: pam_winbind(sshd:auth): pam_get_item returned a password
Sep 30 23:57:51 AccountingDev sshd[28489]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_U$
Sep 30 23:57:53 AccountingDev sshd[28489]: Failed password for root from 200.111.148.221 port 38523 ssh2
Sep 30 23:57:53 AccountingDev sshd[28489]: Received disconnect from 200.111.148.221: 11: Bye Bye [preauth]
Sep 30 23:57:56 AccountingDev sshd[28491]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2$
Sep 30 23:57:56 AccountingDev sshd[28491]: pam_winbind(sshd:auth): getting password (0x00000388)
Sep 30 23:57:56 AccountingDev sshd[28491]: pam_winbind(sshd:auth): pam_get_item returned a password
Sep 30 23:57:56 AccountingDev sshd[28491]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_U$
Sep 30 23:57:57 AccountingDev sshd[28491]: Failed password for root from 200.111.148.221 port 38945 ssh2

без понятия о чем Вы думаете, что бы это не значило.
Но выслушаю любые мнения и советы.

[Sly_tom_cat]

tork, такие записи в логе авторизации - тупой подбор пароля к root акаунту по ssh.

[tork]

tork, такие записи в логе авторизации - тупой подбор пароля к root акаунту по ssh.

Увы сервер сейчас отключили, посмотреть логи немогу.
на порт ssh стоял доступ только с одного ip.

[Отражение луны]

Я сам раньше особо логи не смотрел, сервак у меня относительно недавно, но так уж вышло, что у меня тоже сервак на бунту x64 и решил залезть проверить, все ли в порядке.
Вот что увидел в логе авторизации, по сути, он утыкан попытками авториации через ssh с левых ip под рутом, если я ничего не путаю, конечно. А в этой теме пишу потому, что дата лога по времени совпадает с временем взлома вашего сервера.
Пора менять пароль на 80тисимвольный  и копать iptables.

[tork]

Я сам раньше особо логи не смотрел, сервак у меня относительно недавно, но так уж вышло, что у меня тоже сервак на бунту x64 и решил залезть проверить, все ли в порядке.
Вот что увидел в логе авторизации, по сути, он утыкан попытками авториации через ssh с левых ip под рутом, если я ничего не путаю, конечно. А в этой теме пишу потому, что дата лога по времени совпадает с временем взлома вашего сервера.
Пора менять пароль на 80тисимвольный  и копать iptables.

разве возможно обойти ограничение iptables по ip?

[MEXAHOTABOP]

я бы хотел узнать
вы себя проверили на вирусы?(если осн система Windows)
сервер какой игры вы держите и грешите ли вы? (запускаете его от рута или от юзера)

[tork]

я бы хотел узнать
вы себя проверили на вирусы?(если осн система Windows)
сервер какой игры вы держите и грешите ли вы? (запускаете его от рута или от юзера)

Свой компютер проверил каспером. вроде чист.
Сервер игры Perfect World, запускаю от рута через ssh.

[ArcFi]

1) для ssh настроить аутентификацию по ключу, по паролю убрать
2) поставить https://help.ubuntu.ru/wiki/fail2ban
3) показать

Код: [Выделить]

sudo iptables-save

[MEXAHOTABOP]

зря работать под рутом опасно возможно что через этот сервер тебя и ломают
создай юзера с минимальными правами переходи под него su user и запускай

[tork]

зря работать под рутом опасно возможно что через этот сервер тебя и ломают
создай юзера с минимальными правами переходи под него su user и запускай

В то время как сервер был перезгружен, на нем ничего не запускалось. Сервер после перезагрузки просто был включен. Доступа небыло примерно 8 часов, тобишь подключиться было не реально, как будто канал был забит. Но час назад как подлкючился обнаружил что исходящего трафика за это время было 150 гб, а входящего всего 1 мб. Вот в чем гемор...