атакуют сервер

[Cynik]

доброго времени всем,такая проблема......имею выделенный сервер на Ubuntu 10.04 и в последнее время его активно атакуют,вот выдержка из письма хостера "......Судя по всему, ваш сервер активно брутфорсят по ssh (подбор shell-аккаунта) и по pop3 (подбор почтовых аккаунтов для рассылки спама). От себя могу порекомендовать либо настроить автоматический анализатор логов с занесением ip-адресов атакующих хостов в список блокировки в iptables, либо периодически проверять логи и блокировать хосты вручную, либо, по крайней мере, перенастроить sshd на порт, отличный от 22...." почтовый сервер у меня на нём не поднят,кто может помочь практическими советами? очень надо.... заранее спс

[RustemNur]

перенастроить sshd на порт, отличный от 22...."

+1
Это надо сделать, и это легко.

Если почтаря нет, то рор3 пофиг, имхо.

[Cynik]

перенастроить sshd на порт, отличный от 22...."

+1
Это надо сделать, и это легко.

Если почтаря нет, то рор3 пофиг, имхо.

а поточней можно,как именно?

[RustemNur]

https://help.ubuntu.ru/wiki/ssh

Во-вторых, желательно сменить стандартный порт (22) на котором слушает sshd.

и далее по тексту.

[Cynik]

https://help.ubuntu.ru/wiki/ssh

Во-вторых, желательно сменить стандартный порт (22) на котором слушает sshd.

и далее по тексту.

т.е. в /etc/ssh/sshd_config сменить порт например на 23 или 24?

[RustemNur]

т.е. в /etc/ssh/sshd_config сменить порт например на 23 или 24?

Да, только советую выбрать порт за пределами 1023.
Иначе вы рискуете пересечься с портами в /etc/services

[Cynik]

т.е. в /etc/ssh/sshd_config сменить порт например на 23 или 24?

Да, только советую выбрать порт за пределами 1023.
Иначе вы рискуете пересечься с портами в /etc/services

сорри за глупый вопрос,как выбрать порт и не будет ли у меня проблем потом при входе по ssh,настройки никакие менять ненадо?

[Гарри Кашпировский]

Авторизация по ключу, и пару правил в iptables избавят от необходимости менять порт.

Код: [Выделить]

iptables -N SSH
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j SSH
iptables -A SSH -m recent --set --name ssh_brute --rsource
iptables -A SSH -m recent --update --seconds 600 --hitcount 3 --name ssh_brute --rsource -j REJECT --reject-with icmp-port-unreachable

[RustemNur]

Номер порта - почти какой хотите. Лучше, чтобы хорошо запоминался. Да хоть 2222.
При подключении по ssh теперь его придется явно указывать:
ssh xxx.xxx.xxx.xxx:2222
Но это явно лучше, чем сидеть под обстрелом "хакеров".

[Cynik]

Авторизация по ключу, и пару правил в iptables избавят от необходимости менять порт.

Код: [Выделить]

iptables -N SSH
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j SSH
iptables -A SSH -m recent --set --name ssh_brute --rsource
iptables -A SSH -m recent --update --seconds 600 --hitcount 3 --name ssh_brute --rsource -j REJECT --reject-with icmp-port-unreachable

тогда ведь нужно ещё ключ создать ведь?
Пользователь решил продолжить мысль 24 Января 2012, 00:24:23:

Номер порта - почти какой хотите. Лучше, чтобы хорошо запоминался. Да хоть 2222.
При подключении по ssh теперь его придется явно указывать:
ssh xxx.xxx.xxx.xxx:2222
Но это явно лучше, чем сидеть под обстрелом "хакеров".

сменил порт на 2222,сделал restart ssh,теперь пытаюсь зайти root@q-laptop:/home/q# ssh root@ххххххх:2222 и мне пишет "root@q-laptop:/home/q# ssh root@хххххххх:2222
ssh: ххххххх:2222: Name or service not known "

[Гарри Кашпировский]

тогда ведь нужно ещё ключ создать ведь?

Это представляет какую-то сложность?

Код: [Выделить]

ssh: 85.25.132.11:2222: Name or service not known " man ssh
ssh -l user host -p port

[RustemNur]

Cynik,
Прошу прощения, синтаксис должен быть такой:
ssh адрес -p2222

Вариант с двоеточием применяется при подключении по ssh в МиднайтКомендере (mc)

[Cynik]

Cynik,
Прошу прощения, синтаксис должен быть такой:
ssh адрес -p2222

Вариант с двоеточием применяется при подключении по ssh в МиднайтКомендере (mc)

спс .... с сменой порта получилось,теперь надо с iptables разобраться для полноты счастья )

[saymon21root]

настроить автоматический анализатор логов с занесением ip-адресов атакующих хостов в список блокировки в iptables,

Никто не сказал? Хм...
fail2ban же!

[Cynik]

настроить автоматический анализатор логов с занесением ip-адресов атакующих хостов в список блокировки в iptables,

Никто не сказал? Хм...
fail2ban же!

это что такое? о_О