Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: атакуют сервер  (Прочитано 2296 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Cynik

  • Автор темы
  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
атакуют сервер
« : 23 Январь 2012, 23:41:23 »
доброго времени всем,такая проблема......имею выделенный сервер на Ubuntu 10.04 и в последнее время его активно атакуют,вот выдержка из письма хостера "......Судя по всему, ваш сервер активно брутфорсят по ssh (подбор shell-аккаунта) и по pop3 (подбор почтовых аккаунтов для рассылки спама). От себя могу порекомендовать либо настроить автоматический анализатор логов с занесением ip-адресов атакующих хостов в список блокировки в iptables, либо периодически проверять логи и блокировать хосты вручную, либо, по крайней мере, перенастроить sshd на порт, отличный от 22...." почтовый сервер у меня на нём не поднят,кто может помочь практическими советами? очень надо.... заранее спс

Оффлайн RustemNur

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 2933
  • умрешь с вами
    • Просмотр профиля
Re: атакуют сервер
« Ответ #1 : 23 Январь 2012, 23:43:36 »
перенастроить sshd на порт, отличный от 22...."

+1
Это надо сделать, и это легко.

Если почтаря нет, то рор3 пофиг, имхо.

Оффлайн Cynik

  • Автор темы
  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Re: атакуют сервер
« Ответ #2 : 23 Январь 2012, 23:45:01 »
перенастроить sshd на порт, отличный от 22...."

+1
Это надо сделать, и это легко.

Если почтаря нет, то рор3 пофиг, имхо.
а поточней можно,как именно?

Оффлайн RustemNur

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 2933
  • умрешь с вами
    • Просмотр профиля
Re: атакуют сервер
« Ответ #3 : 23 Январь 2012, 23:46:41 »
http://help.ubuntu.ru/wiki/ssh

Цитировать
Во-вторых, желательно сменить стандартный порт (22) на котором слушает sshd.
и далее по тексту.
« Последнее редактирование: 23 Январь 2012, 23:48:17 от RustemNur »

Оффлайн Cynik

  • Автор темы
  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Re: атакуют сервер
« Ответ #4 : 23 Январь 2012, 23:58:27 »
http://help.ubuntu.ru/wiki/ssh

Цитировать
Во-вторых, желательно сменить стандартный порт (22) на котором слушает sshd.
и далее по тексту.
т.е. в /etc/ssh/sshd_config сменить порт например на 23 или 24?

Оффлайн RustemNur

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 2933
  • умрешь с вами
    • Просмотр профиля
Re: атакуют сервер
« Ответ #5 : 24 Январь 2012, 00:04:44 »
т.е. в /etc/ssh/sshd_config сменить порт например на 23 или 24?

Да, только советую выбрать порт за пределами 1023.
Иначе вы рискуете пересечься с портами в /etc/services

Оффлайн Cynik

  • Автор темы
  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Re: атакуют сервер
« Ответ #6 : 24 Январь 2012, 00:06:49 »
т.е. в /etc/ssh/sshd_config сменить порт например на 23 или 24?

Да, только советую выбрать порт за пределами 1023.
Иначе вы рискуете пересечься с портами в /etc/services
сорри за глупый вопрос,как выбрать порт и не будет ли у меня проблем потом при входе по ssh,настройки никакие менять ненадо?

Гарри Кашпировский

  • Гость
Re: атакуют сервер
« Ответ #7 : 24 Январь 2012, 00:10:25 »
Авторизация по ключу, и пару правил в iptables избавят от необходимости менять порт.
iptables -N SSH
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j SSH
iptables -A SSH -m recent --set --name ssh_brute --rsource
iptables -A SSH -m recent --update --seconds 600 --hitcount 3 --name ssh_brute --rsource -j REJECT --reject-with icmp-port-unreachable

Оффлайн RustemNur

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 2933
  • умрешь с вами
    • Просмотр профиля
Re: атакуют сервер
« Ответ #8 : 24 Январь 2012, 00:13:26 »
Номер порта - почти какой хотите. Лучше, чтобы хорошо запоминался. Да хоть 2222.
При подключении по ssh теперь его придется явно указывать:
ssh xxx.xxx.xxx.xxx:2222
Но это явно лучше, чем сидеть под обстрелом "хакеров".

Оффлайн Cynik

  • Автор темы
  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Re: атакуют сервер
« Ответ #9 : 24 Январь 2012, 00:15:14 »
Авторизация по ключу, и пару правил в iptables избавят от необходимости менять порт.
iptables -N SSH
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j SSH
iptables -A SSH -m recent --set --name ssh_brute --rsource
iptables -A SSH -m recent --update --seconds 600 --hitcount 3 --name ssh_brute --rsource -j REJECT --reject-with icmp-port-unreachable
тогда ведь нужно ещё ключ создать ведь?

Пользователь решил продолжить мысль 24 Январь 2012, 00:24:23:
Номер порта - почти какой хотите. Лучше, чтобы хорошо запоминался. Да хоть 2222.
При подключении по ssh теперь его придется явно указывать:
ssh xxx.xxx.xxx.xxx:2222
Но это явно лучше, чем сидеть под обстрелом "хакеров".
сменил порт на 2222,сделал restart ssh,теперь пытаюсь зайти root@q-laptop:/home/q# ssh root@ххххххх:2222 и мне пишет "root@q-laptop:/home/q# ssh root@хххххххх:2222
ssh: ххххххх:2222: Name or service not known "
« Последнее редактирование: 24 Январь 2012, 00:57:30 от Cynik »

Гарри Кашпировский

  • Гость
Re: атакуют сервер
« Ответ #10 : 24 Январь 2012, 00:29:30 »
Цитировать
тогда ведь нужно ещё ключ создать ведь?
Это представляет какую-то сложность?
ssh: 85.25.132.11:2222: Name or service not known " man ssh
ssh -l user host -p port
« Последнее редактирование: 24 Январь 2012, 00:32:36 от KT315 »

Оффлайн RustemNur

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 2933
  • умрешь с вами
    • Просмотр профиля
Re: атакуют сервер
« Ответ #11 : 24 Январь 2012, 00:33:25 »
Cynik,
Прошу прощения, синтаксис должен быть такой:
ssh адрес -p2222

Вариант с двоеточием применяется при подключении по ssh в МиднайтКомендере (mc)

Оффлайн Cynik

  • Автор темы
  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Re: атакуют сервер
« Ответ #12 : 24 Январь 2012, 00:39:12 »
Cynik,
Прошу прощения, синтаксис должен быть такой:
ssh адрес -p2222

Вариант с двоеточием применяется при подключении по ssh в МиднайтКомендере (mc)
спс .... с сменой порта получилось,теперь надо с iptables разобраться для полноты счастья )

Оффлайн saymon21root

  • Участник
  • *
  • Сообщений: 166
    • Просмотр профиля
    • https://saymon21-root.pro
Re: атакуют сервер
« Ответ #13 : 24 Январь 2012, 02:42:54 »
Цитировать
настроить автоматический анализатор логов с занесением ip-адресов атакующих хостов в список блокировки в iptables,
Никто не сказал? Хм...
fail2ban же!

Оффлайн Cynik

  • Автор темы
  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Re: атакуют сервер
« Ответ #14 : 24 Январь 2012, 10:41:22 »
Цитировать
настроить автоматический анализатор логов с занесением ip-адресов атакующих хостов в список блокировки в iptables,
Никто не сказал? Хм...
fail2ban же!
это что такое? о_О

 

Страница сгенерирована за 0.062 секунд. Запросов: 24.