X   Сообщение сайта
(Сообщение закроется через 2 секунды)

Здравствуйте, гость ( Вход | Регистрация )

2 страниц Открыть меню   1 2 >  
Ответить в данную темуНачать новую тему
> Защита от взлома сервера, Нужна помощь, советы, рекомендации
Mr-X
сообщение 2011-02-20, 23:25
Сообщение #1
Eleanor temp USER
Иконка группы

Группа: Пользователи
Сообщений: 202
Регистрация: 2009-10-21
Из: Forumz

Репутация:   нет  
Всего: нет


Случайно открыл файл /var/log/messages на сервере и обнаружил попытки входа по фтп с китайского айпишника, нашел инфу как просмотреть логи неудачных попыток входа на сервер, посоветовали /var/log/secure и ужаснулся, теперь ежедневно мой блеклист пополняется кучей IP адресов с которых пытаются попасть на сервер по SSH методом подбора логин/пароля. Вопрос к знающим, (по результатам поисков нашел инфу: "установи hosts.deny. Оно будет автоматом заносить в черный список ип которые не правильно ввели пасс больше чем 3 раза") как настроить, и какие данные должны быть внутри? если у меня в hosts.deny прописано так:
#
# hosts.deny   This file describes the names of the hosts which are
#      *not* allowed to use the local INET services, as decided
#      by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!


Добавлено через 3 минут, 17 секунд:

Да забыл добавить, в данный момент я отключил доступ по SSH всем пользователям и Администратору (root), но это не выход. Я бы техподдержку озадачил хостинга, но у меня в этом месяце закончились 60 минут бесплатной поддержки, меня, 7-го числа кажется, уже взламывали и удалили пакеты апач и пхп, но установили антивирус юные юмористы тире хакеры,

Сообщение отредактировал Mr-X - 2011-02-20, 23:30
Перейти в начало страницы
+Цитировать сообщение
sanes
сообщение 2011-02-20, 23:57
Сообщение #2
Аноним
Иконка группы

Группа: Пользователи
Сообщений: 1 180
Регистрация: 2008-12-29
Из: Волгоград

Репутация:   нет  
Всего: 4


Mr-X, ты бы поделился инфой об установленном софте.
Перейти в начало страницы
+Цитировать сообщение
sanes
сообщение 2011-02-21, 0:09
Сообщение #3
Аноним
Иконка группы

Группа: Пользователи
Сообщений: 1 180
Регистрация: 2008-12-29
Из: Волгоград

Репутация:   нет  
Всего: 4


hosts.deny у тебя пустой. IP по одному в строку пиши
Перейти в начало страницы
+Цитировать сообщение
Screatch
сообщение 2011-02-21, 0:32
Сообщение #4
Опытный
Иконка группы

Группа: Eleanor TEAM
Сообщений: 717
Регистрация: 2008-11-11
Из: Таллинн

Репутация:   нет  
Всего: 20


Это обычная практика, от этого спасёт лишь правильно настроенный firewall на сервере

Вот взгляните:

В этом списке уже 2000 IP.

Не сохраняйте пароли в браузере, не используйте Windows (*), не вводите их на стрёмных сайтах, имейте firewall на сервере с антибрутом и всё будет хорошо :)

Сообщение отредактировал Screatch - 2011-02-21, 0:34
Перейти в начало страницы
+Цитировать сообщение
sanes
сообщение 2011-02-21, 0:42
Сообщение #5
Аноним
Иконка группы

Группа: Пользователи
Сообщений: 1 180
Регистрация: 2008-12-29
Из: Волгоград

Репутация:   нет  
Всего: 4


Screatch, а венда тут при чём? Предохраняйтесь и не лазейте по сомнительным сайтам. Gftp при всём желании не научил пасс хранить :(
Перейти в начало страницы
+Цитировать сообщение
Screatch
сообщение 2011-02-21, 0:44
Сообщение #6
Опытный
Иконка группы

Группа: Eleanor TEAM
Сообщений: 717
Регистрация: 2008-11-11
Из: Таллинн

Репутация:   нет  
Всего: 20


Я этот пункт отметил звёздочкой что значит опционально) Не используйте винду, не подхватите заразу, как то так.
Перейти в начало страницы
+Цитировать сообщение
Mr-X
сообщение 2011-02-21, 13:50
Сообщение #7
Eleanor temp USER
Иконка группы

Группа: Пользователи
Сообщений: 202
Регистрация: 2009-10-21
Из: Forumz

Репутация:   нет  
Всего: нет


Цитата (sanes @ 2011-02-20, 23:57)
Mr-X, ты бы поделился инфой об установленном софте.
Вот данные с yum.log
Feb 07 13:46:02 Installed: kbd-1.12-21.el5.i386
Feb 07 13:46:02 Installed: gamin-0.1.7-8.el5.i386
Feb 07 13:46:02 Installed: libcroco-0.6.1-2.1.i386
Feb 07 13:46:02 Installed: libvolume_id-095-14.21.el5_5.1.i386
Feb 07 13:46:02 Installed: ttmkfdir-3.0.9-23.el5.i386
Feb 07 13:46:03 Installed: libXcursor-1.1.7-1.1.i386
Feb 07 13:46:03 Installed: libXres-1.0.1-3.1.i386
Feb 07 13:46:03 Installed: lcms-1.18-0.1.beta1.el5_3.2.i386
Feb 07 13:46:03 Installed: cryptsetup-luks-1.0.3-5.el5.i386
Feb 07 13:46:04 Installed: libXinerama-1.0.1-2.1.i386
Feb 07 13:46:04 Installed: libxml2-python-2.6.26-2.1.2.8.el5_5.1.i386
Feb 07 13:46:06 Installed: bitstream-vera-fonts-1.10-7.noarch
Feb 07 13:46:06 Installed: hwdata-0.213.18-1.el5.1.noarch
Feb 07 13:46:08 Installed: hicolor-icon-theme-0.9-2.1.noarch
Feb 07 13:46:08 Installed: gnome-mime-data-2.4.2-3.1.i386
Feb 07 13:46:09 Installed: pango-1.14.9-8.el5.centos.i386
Feb 07 13:46:11 Installed: gtk2-2.10.4-21.el5_5.6.i386
Feb 07 13:46:12 Installed: GConf2-2.14.0-9.el5.i386
Feb 07 13:46:12 Installed: libglade2-2.6.0-2.i386
Feb 07 13:46:12 Installed: libgnomecanvas-2.14.0-4.1.i386
Feb 07 13:46:13 Installed: gnome-keyring-0.6.0-1.fc6.i386
Feb 07 13:46:14 Installed: libwnck-2.16.0-4.fc6.i386
Feb 07 13:46:14 Installed: notification-daemon-0.3.5-9.el5.i386
Feb 07 13:46:14 Installed: libnotify-0.4.2-6.el5.i386
Feb 07 13:46:14 Installed: libwmf-0.2.8.4-10.2.i386
Feb 07 13:46:15 Installed: pciutils-2.2.3-8.el5_4.i386
Feb 07 13:46:15 Installed: dbus-python-0.70-9.el5_4.i386
Feb 07 13:46:15 Installed: avahi-0.6.16-9.el5_5.i386
Feb 07 13:46:15 Installed: avahi-glib-0.6.16-9.el5_5.i386
Feb 07 13:46:17 Installed: libgnome-2.16.0-6.el5.i386
Feb 07 13:46:18 Installed: hal-0.5.8.1-59.el5.i386
Feb 07 13:46:19 Installed: gnome-vfs2-2.16.2-6.el5_5.1.i386
Feb 07 13:46:20 Installed: libbonoboui-2.16.0-1.fc6.i386
Feb 07 13:46:20 Installed: chkfontpath-1.10.1-1.1.i386
Feb 07 13:46:21 Installed: gnome-mount-0.5-3.el5.i386
Feb 07 13:46:21 Installed: libgsf-1.14.1-6.1.i386
Feb 07 13:46:21 Installed: librsvg2-2.16.1-1.el5.i386
Feb 07 13:46:25 Installed: libgnomeui-2.16.0-5.el5.i386
Feb 07 13:46:25 Installed: pm-utils-0.99.3-10.el5.centos.i386
Feb 07 13:46:25 Installed: 1:xorg-x11-xfs-1.0.2-4.i386
Feb 07 13:46:29 Installed: urw-fonts-2.3-6.1.1.noarch
Feb 07 13:46:31 Installed: ghostscript-fonts-5.50-13.1.1.noarch
Feb 07 13:46:34 Installed: ghostscript-8.15.2-9.12.el5_5.i386
Feb 07 13:46:37 Installed: ImageMagick-6.2.8.0-4.el5_5.3.i386
Feb 19 14:51:49 Installed: GeoIP-1.4.7-0.1.20090931cvs.el5.i386
Feb 19 14:51:55 Updated: python-2.4.3-27.el5_5.3.i386
Feb 19 14:51:57 Updated: initscripts-8.45.30-3.el5.centos.i386
Feb 19 14:51:59 Updated: phpmyadmin-2.11.11.2-1.el5.rf.noarch
Feb 19 14:51:59 Updated: rpmforge-release-0.5.2-2.el5.rf.i386
Feb 19 14:51:59 Erased: geoip


Цитата (sanes @ 2011-02-21, 0:09)
hosts.deny у тебя пустой. IP по одному в строку пиши
Вписать туда это ручная работа, а автоматизировать нельзя? Как посоветовали что бы hosts.deny сам блокировал (или добавлял в блеклист) ип адреса после трех неудачных попыток

Цитата (Screatch @ 2011-02-21, 0:32)
Это обычная практика, от этого спасёт лишь правильно настроенный firewall на сервере.
Пока не знаю где это :rolleyes: Хотя думаю в ближайшее время с помощью советов и гугл масла в голове прибавится. А самое неприятное, что те кто сами недавно спрашивали советы и просили помощи, чуть набравшись знаний и опыта отказываются помогать (это я про одного из своих партнеров)
Перейти в начало страницы
+Цитировать сообщение
Screatch
сообщение 2011-02-21, 17:48
Сообщение #8
Опытный
Иконка группы

Группа: Eleanor TEAM
Сообщений: 717
Регистрация: 2008-11-11
Из: Таллинн

Репутация:   нет  
Всего: 20


Если ты сам себе хозяин на сервере то рекомендую csf, особенно в связке с cPanel
http://www.configserver.com/cp/csf.html
Перейти в начало страницы
+Цитировать сообщение
Mr-X
сообщение 2011-02-21, 22:11
Сообщение #9
Eleanor temp USER
Иконка группы

Группа: Пользователи
Сообщений: 202
Регистрация: 2009-10-21
Из: Forumz

Репутация:   нет  
Всего: нет


Виталик, меня бы твой список IP из csf.deny очень выручил, что бы забить у себя в hosts.deny
Перейти в начало страницы
+Цитировать сообщение
Screatch
сообщение 2011-02-22, 12:46
Сообщение #10
Опытный
Иконка группы

Группа: Eleanor TEAM
Сообщений: 717
Регистрация: 2008-11-11
Из: Таллинн

Репутация:   нет  
Всего: 20


Не сильно поможет, IP для всех всегда разные.
Просто настрой свой firewall на то что бы блокировал всех кто вводит неправильный пароль больше 3-5 раз.

Сообщение отредактировал Screatch - 2011-02-22, 12:48
Перейти в начало страницы
+Цитировать сообщение
Phoenix84
сообщение 2011-02-22, 13:31
Сообщение #11
Любитель
Иконка группы

Группа: Eleanor user
Сообщений: 231
Регистрация: 2010-03-31
Версия системы: RC5

Репутация:   нет  
Всего: нет


Процитирую свое сообщение с другого сайта пот поводу брута паролей:
На сервере и так висят 2 сайта - которые ведут к IP сервера.
А так будет еще 1 бесполезный домен который будет вести на IP.

Вам показать какой мощный брут шел когда то на мой сервер? (пока не заметил)
Цитата
6411 Jan 12
18331 Jan 13
12367 Jan 14
28950 Jan 15
2590 Jan 16
6139 Jan 17
18822 Jan 18
576 Jan 19
12479 Jan 20
12955 Jan 21
4204 Jan 22
2252 Jan 23
7093 Jan 24
13326 Jan 25
1701 Jan 26
13203 Jan 27
31831 Jan 28
29332 Jan 29
44058 Jan 30
4162 Jan 31
2942 Feb 1

Число слева - кол-во попыток подбора пароля к пользователю root посредством ssh

Следующее сообщение:
Как я сделал:

Перевел SSH на другой порт(четырехзначный)
Ввел нового пользователя
Запретил руту доступ к SSH
Установил sudo
Поставил fail2ban за 2 неверные попытки банит на сутки

Это для системы Debian. Что удивительное - теперь проскакивает всего 4-5 входов за день... Не больше. А то вообще 0
Перейти в начало страницы
+Цитировать сообщение
Screatch
сообщение 2011-02-22, 14:33
Сообщение #12
Опытный
Иконка группы

Группа: Eleanor TEAM
Сообщений: 717
Регистрация: 2008-11-11
Из: Таллинн

Репутация:   нет  
Всего: 20


Есть очень тонкая грань между безопасностью и параноей.

Я думаю у Вас первое..
Перейти в начало страницы
+Цитировать сообщение
Mr-X
сообщение 2011-02-22, 14:39
Сообщение #13
Eleanor temp USER
Иконка группы

Группа: Пользователи
Сообщений: 202
Регистрация: 2009-10-21
Из: Forumz

Репутация:   нет  
Всего: нет


Цитата (Screatch @ 2011-02-22, 12:46)
Не сильно поможет, IP для всех всегда разные.
Просто настрой свой firewall на то что бы блокировал всех кто вводит неправильный пароль больше 3-5 раз.
Не могу найти инфу по настройки файрвола, я про систему что бы блокировал сам при попытках неправильного ввода пасса N-го количества раз.

Цитата (Phoenix84 @ 2011-02-22, 13:31)
Процитирую свое сообщение с другого сайта пот поводу брута паролей:
На сервере и так висят 2 сайта - которые ведут к IP сервера.
А так будет еще 1 бесполезный домен который будет вести на IP.

Вам показать какой мощный брут шел когда то на мой сервер? (пока не заметил)

Число слева - кол-во попыток подбора пароля к пользователю root посредством ssh

Следующее сообщение:
Как я сделал:

Перевел SSH на другой порт(четырехзначный)
Ввел нового пользователя
Запретил руту доступ к SSH
Установил sudo
Поставил fail2ban за 2 неверные попытки банит на сутки

Это для системы Debian. Что удивительное - теперь проскакивает всего 4-5 входов за день... Не больше. А то вообще 0
Про fail2ban почитал, вроде все красиво, может чуть позже перейду на debian 6 и в нем попробую этот пакет, если не смогу решить другими средствами вопрос.
Перейти в начало страницы
+Цитировать сообщение
Screatch
сообщение 2011-02-22, 16:56
Сообщение #14
Опытный
Иконка группы

Группа: Eleanor TEAM
Сообщений: 717
Регистрация: 2008-11-11
Из: Таллинн

Репутация:   нет  
Всего: 20


В csf

LF_SSHD // Отвечает за допустимое количество неверных попыток входа в ssh. По умолчанию 5
LF_FTPD // Отвечает за допустимое количество неверных попыток входа в ftp. По умолчанию 10
LF_CPANEL // Отвечает за допустимое количество неверных попыток входа в cPanel. По умолчанию 5
Перейти в начало страницы
+Цитировать сообщение
Mr-X
сообщение 2011-02-22, 20:29
Сообщение #15
Eleanor temp USER
Иконка группы

Группа: Пользователи
Сообщений: 202
Регистрация: 2009-10-21
Из: Forumz

Репутация:   нет  
Всего: нет


csf платный, поэтому сейчас не смогу установить.

Добавлено через 1 минут, 33 секунд:

Или нет?))) счас в аську стукну
Перейти в начало страницы
+Цитировать сообщение
Mr-X
сообщение 2011-02-22, 21:10
Сообщение #16
Eleanor temp USER
Иконка группы

Группа: Пользователи
Сообщений: 202
Регистрация: 2009-10-21
Из: Forumz

Репутация:   нет  
Всего: нет


:friends: Виталик ты супер))) все работает... точнее сайты работаю и csf стоит, я даже ни чего не поломал, благодаря тебе конечно и твои мудрым советам. БольШОЙ ТЕНКС
Перейти в начало страницы
+Цитировать сообщение
Mr-X
сообщение 2011-02-23, 14:21
Сообщение #17
Eleanor temp USER
Иконка группы

Группа: Пользователи
Сообщений: 202
Регистрация: 2009-10-21
Из: Forumz

Репутация:   нет  
Всего: нет


После установки csf и проверки тестом /etc/csf/csftest.pl выявлено, что нехватает доп.модулей iptables, а именно: ip_tables, ipt_state, ipt_multiport, iptable_filter, ipt_limit, ipt_LOG, ipt_REJECT, ipt_conntrack, ip_conntrack, ip_conntrack_ftp, iptable_mangle, ipt_owner, ipt_recent, iptable_nat, ipt_REDIRECT. Пришлось написать хостеру, но мне отказали
Цитата
Модули которые Вы укзазали не входят в поставку ядер RHEL изза не стабильной работы. Они ставятся только патчем path-o-matic на ядро. Ядро патчить в OVZ нельзя. Используйте стандартный iptables.

Теперь ищу где в iptables есть конфиги для ограничения количества неверных попыток и блокировки ип адресов, плюс максимальное количество открытых соединений для одного айпишника.
Перейти в начало страницы
+Цитировать сообщение
Mr-X
сообщение 2011-02-23, 15:01
Сообщение #18
Eleanor temp USER
Иконка группы

Группа: Пользователи
Сообщений: 202
Регистрация: 2009-10-21
Из: Forumz

Репутация:   нет  
Всего: нет


Вот нашел конфиг от iptables, что то тут все мутно :( перевел в гугл текст, ни помогло. Наверно нужно самому компилировать ( :rolleyes: слова умные теперь знаю))) ?
# Load additional iptables modules (nat helpers)
#   Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES=""

# Unload modules on restart and stop
#   Value: yes|no,  default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"

# Save current firewall rules on stop.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"

# Save current firewall rules on restart.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"

# Save (and restore) rule and chain counter.
#   Value: yes|no,  default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"

# Numeric status output
#   Value: yes|no,  default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"

# Verbose status output
#   Value: yes|no,  default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IPTABLES_STATUS_VERBOSE="no"

# Status output with numbered lines
#   Value: yes|no,  default: yes
# Print a counter/number for every rule in the status output.
IPTABLES_STATUS_LINENUMBERS="yes"
Перейти в начало страницы
+Цитировать сообщение
Screatch
сообщение 2011-02-23, 16:11
Сообщение #19
Опытный
Иконка группы

Группа: Eleanor TEAM
Сообщений: 717
Регистрация: 2008-11-11
Из: Таллинн

Репутация:   нет  
Всего: 20


Говно хостер -_-

Тогда так - http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/

Сообщение отредактировал Screatch - 2011-02-23, 16:13
Перейти в начало страницы
+Цитировать сообщение
Mr-X
сообщение 2011-02-23, 19:24
Сообщение #20
Eleanor temp USER
Иконка группы

Группа: Пользователи
Сообщений: 202
Регистрация: 2009-10-21
Из: Forumz

Репутация:   нет  
Всего: нет


Screatch, Спасибо, завтра займусь этим вопросом :rolleyes:
Перейти в начало страницы
+Цитировать сообщение

2 страниц Открыть меню   1 2 >
Ответить в данную темуНачать новую тему
0 чел. читают эту тему (гостей: 0, скрытых пользователей: 0)
Пользователей: 0

 
RSS Текстовая версия 0.0509 сек.    11 запросов    GZIP включен    Сейчас: 2021-01-17, 2:40