Помощник
Здравствуйте, гость ( Вход | Регистрация )
Защита от взлома сервера, Нужна помощь, советы, рекомендации |
Mr-X |
2011-02-20, 23:25
Сообщение
#1
|
|
Eleanor temp USER Группа: Пользователи Сообщений: 202 Регистрация: 2009-10-21 Из: Forumz Репутация: нет Всего: нет |
Случайно открыл файл /var/log/messages на сервере и обнаружил попытки входа по фтп с китайского айпишника, нашел инфу как просмотреть логи неудачных попыток входа на сервер, посоветовали /var/log/secure и ужаснулся, теперь ежедневно мой блеклист пополняется кучей IP адресов с которых пытаются попасть на сервер по SSH методом подбора логин/пароля. Вопрос к знающим, (по результатам поисков нашел инфу: "установи hosts.deny. Оно будет автоматом заносить в черный список ип которые не правильно ввели пасс больше чем 3 раза") как настроить, и какие данные должны быть внутри? если у меня в hosts.deny прописано так:
Добавлено через 3 минут, 17 секунд: Да забыл добавить, в данный момент я отключил доступ по SSH всем пользователям и Администратору (root), но это не выход. Я бы техподдержку озадачил хостинга, но у меня в этом месяце закончились 60 минут бесплатной поддержки, меня, 7-го числа кажется, уже взламывали и удалили пакеты апач и пхп, но установили антивирус юные юмористы тире хакеры, Сообщение отредактировал Mr-X - 2011-02-20, 23:30 |
|
|
||
sanes |
2011-02-20, 23:57
Сообщение
#2
|
|
Аноним Группа: Пользователи Сообщений: 1 180 Регистрация: 2008-12-29 Из: Волгоград Репутация: нет Всего: 4 |
Mr-X, ты бы поделился инфой об установленном софте.
|
|
|
||
sanes |
2011-02-21, 0:09
Сообщение
#3
|
|
Аноним Группа: Пользователи Сообщений: 1 180 Регистрация: 2008-12-29 Из: Волгоград Репутация: нет Всего: 4 |
hosts.deny у тебя пустой. IP по одному в строку пиши
|
|
|
||
Screatch |
2011-02-21, 0:32
Сообщение
#4
|
|
Опытный Группа: Eleanor TEAM Сообщений: 717 Регистрация: 2008-11-11 Из: Таллинн Репутация: нет Всего: 20 |
Это обычная практика, от этого спасёт лишь правильно настроенный firewall на сервере
Вот взгляните: В этом списке уже 2000 IP. Не сохраняйте пароли в браузере, не используйте Windows (*), не вводите их на стрёмных сайтах, имейте firewall на сервере с антибрутом и всё будет хорошо Сообщение отредактировал Screatch - 2011-02-21, 0:34 |
|
|
||
sanes |
2011-02-21, 0:42
Сообщение
#5
|
|
Аноним Группа: Пользователи Сообщений: 1 180 Регистрация: 2008-12-29 Из: Волгоград Репутация: нет Всего: 4 |
Screatch, а венда тут при чём? Предохраняйтесь и не лазейте по сомнительным сайтам. Gftp при всём желании не научил пасс хранить
|
|
|
||
Screatch |
2011-02-21, 0:44
Сообщение
#6
|
|
Опытный Группа: Eleanor TEAM Сообщений: 717 Регистрация: 2008-11-11 Из: Таллинн Репутация: нет Всего: 20 |
Я этот пункт отметил звёздочкой что значит опционально) Не используйте винду, не подхватите заразу, как то так.
|
|
|
||
Mr-X |
2011-02-21, 13:50
Сообщение
#7
|
|
Eleanor temp USER Группа: Пользователи Сообщений: 202 Регистрация: 2009-10-21 Из: Forumz Репутация: нет Всего: нет |
Вот данные с yum.log
Вписать туда это ручная работа, а автоматизировать нельзя? Как посоветовали что бы hosts.deny сам блокировал (или добавлял в блеклист) ип адреса после трех неудачных попыток Пока не знаю где это Хотя думаю в ближайшее время с помощью советов и гугл масла в голове прибавится. А самое неприятное, что те кто сами недавно спрашивали советы и просили помощи, чуть набравшись знаний и опыта отказываются помогать (это я про одного из своих партнеров) |
|
|
||
Screatch |
2011-02-21, 17:48
Сообщение
#8
|
|
Опытный Группа: Eleanor TEAM Сообщений: 717 Регистрация: 2008-11-11 Из: Таллинн Репутация: нет Всего: 20 |
Если ты сам себе хозяин на сервере то рекомендую csf, особенно в связке с cPanel
http://www.configserver.com/cp/csf.html |
|
|
||
Mr-X |
2011-02-21, 22:11
Сообщение
#9
|
|
Eleanor temp USER Группа: Пользователи Сообщений: 202 Регистрация: 2009-10-21 Из: Forumz Репутация: нет Всего: нет |
Виталик, меня бы твой список IP из csf.deny очень выручил, что бы забить у себя в hosts.deny
|
|
|
||
Screatch |
2011-02-22, 12:46
Сообщение
#10
|
|
Опытный Группа: Eleanor TEAM Сообщений: 717 Регистрация: 2008-11-11 Из: Таллинн Репутация: нет Всего: 20 |
Не сильно поможет, IP для всех всегда разные.
Просто настрой свой firewall на то что бы блокировал всех кто вводит неправильный пароль больше 3-5 раз. Сообщение отредактировал Screatch - 2011-02-22, 12:48 |
|
|
||
Phoenix84 |
2011-02-22, 13:31
Сообщение
#11
|
|
Любитель Группа: Eleanor user Сообщений: 231 Регистрация: 2010-03-31 Версия системы: RC5 Репутация: нет Всего: нет |
Процитирую свое сообщение с другого сайта пот поводу брута паролей:
На сервере и так висят 2 сайта - которые ведут к IP сервера. А так будет еще 1 бесполезный домен который будет вести на IP. Вам показать какой мощный брут шел когда то на мой сервер? (пока не заметил) Цитата 6411 Jan 12 18331 Jan 13 12367 Jan 14 28950 Jan 15 2590 Jan 16 6139 Jan 17 18822 Jan 18 576 Jan 19 12479 Jan 20 12955 Jan 21 4204 Jan 22 2252 Jan 23 7093 Jan 24 13326 Jan 25 1701 Jan 26 13203 Jan 27 31831 Jan 28 29332 Jan 29 44058 Jan 30 4162 Jan 31 2942 Feb 1 Число слева - кол-во попыток подбора пароля к пользователю root посредством ssh Следующее сообщение: Как я сделал: Перевел SSH на другой порт(четырехзначный) Ввел нового пользователя Запретил руту доступ к SSH Установил sudo Поставил fail2ban за 2 неверные попытки банит на сутки Это для системы Debian. Что удивительное - теперь проскакивает всего 4-5 входов за день... Не больше. А то вообще 0 |
|
|
||
Screatch |
2011-02-22, 14:33
Сообщение
#12
|
|
Опытный Группа: Eleanor TEAM Сообщений: 717 Регистрация: 2008-11-11 Из: Таллинн Репутация: нет Всего: 20 |
Есть очень тонкая грань между безопасностью и параноей.
Я думаю у Вас первое.. |
|
|
||
Mr-X |
2011-02-22, 14:39
Сообщение
#13
|
|
Eleanor temp USER Группа: Пользователи Сообщений: 202 Регистрация: 2009-10-21 Из: Forumz Репутация: нет Всего: нет |
Не могу найти инфу по настройки файрвола, я про систему что бы блокировал сам при попытках неправильного ввода пасса N-го количества раз. Процитирую свое сообщение с другого сайта пот поводу брута паролей: На сервере и так висят 2 сайта - которые ведут к IP сервера. А так будет еще 1 бесполезный домен который будет вести на IP. Вам показать какой мощный брут шел когда то на мой сервер? (пока не заметил) Число слева - кол-во попыток подбора пароля к пользователю root посредством ssh Следующее сообщение: Как я сделал: Перевел SSH на другой порт(четырехзначный) Ввел нового пользователя Запретил руту доступ к SSH Установил sudo Поставил fail2ban за 2 неверные попытки банит на сутки Это для системы Debian. Что удивительное - теперь проскакивает всего 4-5 входов за день... Не больше. А то вообще 0 |
|
|
||
Screatch |
2011-02-22, 16:56
Сообщение
#14
|
|
Опытный Группа: Eleanor TEAM Сообщений: 717 Регистрация: 2008-11-11 Из: Таллинн Репутация: нет Всего: 20 |
В csf
LF_SSHD // Отвечает за допустимое количество неверных попыток входа в ssh. По умолчанию 5 LF_FTPD // Отвечает за допустимое количество неверных попыток входа в ftp. По умолчанию 10 LF_CPANEL // Отвечает за допустимое количество неверных попыток входа в cPanel. По умолчанию 5 |
|
|
||
Mr-X |
2011-02-22, 20:29
Сообщение
#15
|
|
Eleanor temp USER Группа: Пользователи Сообщений: 202 Регистрация: 2009-10-21 Из: Forumz Репутация: нет Всего: нет |
csf платный, поэтому сейчас не смогу установить.
Добавлено через 1 минут, 33 секунд: Или нет?))) счас в аську стукну |
|
|
||
Mr-X |
2011-02-22, 21:10
Сообщение
#16
|
|
Eleanor temp USER Группа: Пользователи Сообщений: 202 Регистрация: 2009-10-21 Из: Forumz Репутация: нет Всего: нет |
Виталик ты супер))) все работает... точнее сайты работаю и csf стоит, я даже ни чего не поломал, благодаря тебе конечно и твои мудрым советам. БольШОЙ ТЕНКС
|
|
|
||
Mr-X |
2011-02-23, 14:21
Сообщение
#17
|
|
Eleanor temp USER Группа: Пользователи Сообщений: 202 Регистрация: 2009-10-21 Из: Forumz Репутация: нет Всего: нет |
После установки csf и проверки тестом /etc/csf/csftest.pl выявлено, что нехватает доп.модулей iptables, а именно: ip_tables, ipt_state, ipt_multiport, iptable_filter, ipt_limit, ipt_LOG, ipt_REJECT, ipt_conntrack, ip_conntrack, ip_conntrack_ftp, iptable_mangle, ipt_owner, ipt_recent, iptable_nat, ipt_REDIRECT. Пришлось написать хостеру, но мне отказали
Цитата Модули которые Вы укзазали не входят в поставку ядер RHEL изза не стабильной работы. Они ставятся только патчем path-o-matic на ядро. Ядро патчить в OVZ нельзя. Используйте стандартный iptables. Теперь ищу где в iptables есть конфиги для ограничения количества неверных попыток и блокировки ип адресов, плюс максимальное количество открытых соединений для одного айпишника. |
|
|
||
Mr-X |
2011-02-23, 15:01
Сообщение
#18
|
|
Eleanor temp USER Группа: Пользователи Сообщений: 202 Регистрация: 2009-10-21 Из: Forumz Репутация: нет Всего: нет |
Вот нашел конфиг от iptables, что то тут все мутно перевел в гугл текст, ни помогло. Наверно нужно самому компилировать ( слова умные теперь знаю))) ?
|
|
|
||
Screatch |
2011-02-23, 16:11
Сообщение
#19
|
|
Опытный Группа: Eleanor TEAM Сообщений: 717 Регистрация: 2008-11-11 Из: Таллинн Репутация: нет Всего: 20 |
Говно хостер
Тогда так - http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/ Сообщение отредактировал Screatch - 2011-02-23, 16:13 |
|
|
||
Текстовая версия | 0.0358 сек. 11 запросов GZIP включен Сейчас: 2024-04-24, 14:07 |