DDOS атака с моего сервера.

[Отражение луны]

Крон от рута это же нормально? 

[xeon_greg]

1) для ssh настроить аутентификацию по ключу, по паролю убрать
2) поставить https://help.ubuntu.ru/wiki/fail2ban
3) показать

Код: [Выделить]

sudo iptables-save

и еще в ssh запретить логин для рута, если он включен.

[shame]

и порт для шела не помешает сменить

[ii343hbka]

а я бы еще webmin выкинул
Пользователь решил продолжить мысль 08 Октября 2012, 20:18:31:ну а для PF пользователя с ограниченными правами
Пользователь решил продолжить мысль 08 Октября 2012, 20:19:05:и подбор по ssh - поищите защита от ssh брутфорса средствами ipt

[censor]

и подбор по ssh - поищите защита от ssh брутфорса средствами ipt

вешаем на нестандартный порт и отваливается 99% ботов.

[ii343hbka]

ну это понятно) я вот вешал, а потом так лень стало ключ дополнительный указывать
причем везде( и ssh, и scp, и gitolite, да и много еще, понятно, что есть алиасы, но все-таки

[RustemNur]

вешаем на нестандартный порт и отваливается 99% ботов.

по-моему, все 100% отваливаются

[tork]

и порт для шела не помешает сменить

Порт шела, это ssh который 22-й?
Если да, то в правилах iptables стояло ограничение с определенного айпи.

[Sly_tom_cat]

Что гадать - логи смотреть надо.

[tork]

Что гадать - логи смотреть надо.

Логи не посмотреть, ДЦ заблокировал сервер без возможности восстановления. К щастью бэкапы успел сохранить себе на компютер.
Теперь вопрос в другом, надо быстро арендовать сервер с оперативной памятью до 24 гб. В пределах 4к рублей желательно в Украине, может быть кто посоветует?
И соответственно нормальные правила iptables надо сделать. А есть ли здесь люди которые могут их грамотно написать? Готов заплатить денюжку, часть правил имееться уже, ну или на крайняк нужна консультация по этим правилам, мб что где не так, или что то надо добавить. (по этому поводу в ПМ)

[shame]

А сам игровой сервер случайно не с дыркой?

[Отражение луны]

Так что насчет рутовых сессий для крона в логе? Они должны отображаться, или это какой-то "левый" крон?
Гугл выдаёт... спорную информацию.

[ArcFi]

Так что насчет рутовых сессий для крона в логе?

Sep 30 23:57:38 AccountingDev sshd[28483]: Failed password for root from 200.111.148.221 port 37260 ssh2

Если ip левый, вывод очевиден.

[Отражение луны]

Я про

Код: [Выделить]

Oct  9 13:17:01 AccountingDev CRON[9160]: pam_unix(cron:session): session opened for user root by (uid=0)
Oct  9 13:17:01 AccountingDev CRON[9160]: pam_unix(cron:session): session closed for user root
И так далее. С левых айпи ко мне все еще ломятся, пролистал логи, меры предосторожности принял, все работает, левых процессов нет, всем спасибо. Вот остался только вопрос по поводу крона. Мне кажется странным, что он в логе скачет.
Вроде как на моей бунте тоже в логе он есть, но вроде как напоролся на пару тем, что данные записи свидетельствуют о взломе)

[ArcFi]

Вот остался только вопрос по поводу крона. Мне кажется странным, что он в логе скачет.

Не, нормально. У мну на шляпе похожий лог.

type=CRED_ACQ msg=audit(1349780461.042:4849): pid=23875 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='op=PAM:setcred acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'