Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: Спасайте, ломают сервант  (Прочитано 2002 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн saber

  • Автор темы
  • Участник
  • *
  • Сообщений: 224
    • Просмотр профиля
    • Блог админа
Спасайте, ломают сервант
« : 24 Марта 2008, 16:01:21 »
В общем последние 2 дня просто жоские.
Подбор паролей и по ssh и по ftp и потоянные сканинги портов. ночью был толи тест на ддос толи ддос 50 000 лишних хитов на сайте.

надо как-то установить удалённо файрволл не теряя функционала сервера и ограничить доступ к серверу рунетом
ипы рунета мне подсказали
http://noc.masterhost.ru/allrunet/runet
+ добавить сюда ещё пару десяток сетей города
порт ссш перенёс на далёкой.
не знаю как ещё защититься
odmin4eg.ru - Мои шпаргалки по ubuntu

Оффлайн saber

  • Автор темы
  • Участник
  • *
  • Сообщений: 224
    • Просмотр профиля
    • Блог админа
Re: Спасайте, ломают сервант
« Ответ #1 : 24 Марта 2008, 16:48:17 »
Код: [Выделить]
Mar 23 04:30:35 krasbid sshd[18290]: reverse mapping checking getaddrinfo for 79-118-206-123.rdsnet.ro [79.118.206.123] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 23 04:30:37 krasbid sshd[18290]: Accepted password for support from 79.118.206.123 port 2859 ssh2
Mar 23 04:30:37 krasbid sshd[18292]: pam_unix(ssh:session): session opened for user support by (uid=0)
Mar 23 04:31:49 krasbid passwd[18339]: pam_unix(passwd:chauthtok): password changed for support
Mar 23 04:32:47 krasbid useradd[18365]: new user: name=system, UID=0, GID=0, home=/home/system, shell=/bin/sh
Mar 23 04:32:53 krasbid passwd[18366]: pam_unix(passwd:chauthtok): password changed for system
Mar 23 04:33:02 krasbid sshd[18367]: reverse mapping checking getaddrinfo for 79-118-206-123.rdsnet.ro [79.118.206.123] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 23 04:33:04 krasbid sshd[18367]: Accepted password for system from 79.118.206.123 port 2862 ssh2
Mar 23 04:33:04 krasbid sshd[18370]: pam_unix(ssh:session): session opened for user system by system(uid=0)
Mar 23 04:41:38 krasbid sshd[18367]: syslogin_perform_logout: logout() returned an error
Как спасаться :)
odmin4eg.ru - Мои шпаргалки по ubuntu

Оффлайн navy

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Re: Спасайте, ломают сервант
« Ответ #2 : 24 Марта 2008, 16:56:55 »
Может быть попробовать denyhosts ?

Оффлайн stranger1231

  • Любитель
  • *
  • Сообщений: 87
    • Просмотр профиля
Re: Спасайте, ломают сервант
« Ответ #3 : 24 Марта 2008, 17:29:37 »
Не знаю... Стоял у меня сервак на работе. Ничего особенного - просто шлюз, плюс сайтик мой )
Так его с первого же дня пытались сломать - с разных хостов подбором паролей по ssh. На самом деле, если пароль на пользователя нормальный, и рутом заходить по ssh нельзя, то, имхо, устанут ломать )
Ну и просто можно разрешить определенные ip-адреса, с которых можно заходить на серв.

Оффлайн dmig

  • Старожил
  • *
  • Сообщений: 1668
    • Просмотр профиля
Re: Спасайте, ломают сервант
« Ответ #4 : 24 Марта 2008, 18:05:25 »
запрети парольную и keyboard-interactive авторизацию по ssh + как уже сказали, запрети вход рутом по ssh

Оффлайн alexxxst

  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Спасайте, ломают сервант
« Ответ #5 : 24 Марта 2008, 18:14:22 »
у меня стоит в кроне простенький скриптик на пхп раз в 10 минут парсит лог ssh и ftp авторизаций, и если было много попыток с одного айпи (более 5 в 10 минут) - заносит айпи в iptables на сутки в DENY - работает как часы :)

сам пользуюсь авторизацией через сертификат :)
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.015 секунд. Запросов: 20.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.