הוסטס - פורום אחסון האתרים הגדול בישראל
עמוד 1 מתוך 2 1 2
הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   תחזוק שרתים ושירותי רשת נוספים (https://hosts.co.il/forums/forumdisplay.php?f=29)
-   -   התקפות Brute force (https://hosts.co.il/forums/showthread.php?t=108541)

Jonathan Zeierman 13-03-15 09:21
התקפות Brute force
 
אהלן
לאחרונה אני חווה התקפות brute force על השרת שלי.
התקנתי פירוול ל-DA (http://help.directadmin.com/item.php?id=380)
וחסמתי את כל האייפים שמנסים לגשת מצורפת תמונה ----> http://srv2.jpg.co.il/2/550291ca5f248.jpg
אבל אני עדיין מקבל הודעות של ניסיונות תקיפה.
השאלה שלי היא כזאת:
1. איך אני יודע שהפירוול בעצם באמת חוסם את הIP האלה?
2. במידה והפירוול חוסם האם אני אמור להמשיך לקבל הודעות על ניסיונות תקיפה או לא?
תודה.

Kernel 13-03-15 10:26
רובוטים תמיד סרקו/סורקים/יסרקו כתובות אייפי מישראל,
תחסום את הגישות הרלוונטיות לכתובות אייפי מורשות וזהו.

Jonathan Zeierman 13-03-15 11:39
תודה על התגובה.
אגב השרת לא ממוקם בארץ.
אני מקווה שאני מבין נכון אני צריך לחסום את הגישות ssh שלי ל-IP מסוים שממנו אני רוצה להיכנס?
טוב אז נגיד ככה:
עורך קובץ - /etc/hosts.allow
ומכניס בו לדוגמא:
קוד:
sshd: 10.1.1.10
sshd: 10.1.1.11
עורך קובץ - /etc/hosts.deny
ומכניס בו:
קוד:
sshd: all
ואז מכניס חוקים ל-iptables?
לדוגמא:
קוד:
iptables -A INPUT -p tcp -s 10.1.1.10 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --destination 10.1.1.10 -j ACCEPT
iptables -A INPUT -p tcp -s 10.1.1.11 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --destination 10.1.1.11 -j ACCEPT
האם הדרך שלי נכונה?

Tomer 13-03-15 12:30
במידה ואתה מפעיל פיירוואל, אפשר לוותר על ה hosts.allow/deny.

Jonathan Zeierman 13-03-15 17:57
אז איך אני בעצם יודע שהפירוול חסם אותם? כי הוא ממשיך לשלוח לי הודעות על ניסיונות.
קוד:
A brute force attack has been detected in one of your service logs.

User root has 57342 failed login attempts: pure-ftpd1=1 & sshd5=57341

Check 'Admin Level -> Brute Force Monitor' for more information
http://help.directadmin.com/item.php?id=404
קוד:
A brute force attack has been detected in one of your service logs.

IP 221.203.3.18 has 1044 failed login attempts: sshd5=1044

Check 'Admin Level -> Brute Force Monitor' for more information
http://help.directadmin.com/item.php?id=404
למרות שה-IP כאן חסום עדיין מקבל התראה לניסיונות..

Tomer 13-03-15 18:57
הכנסת את החוק כ- DROP, נכון?

בדוגמה רשמת ACCEPT.

Jonathan Zeierman 13-03-15 20:05
לא עשיתי כמו שבדוגמה למעלה.
רשמתי ככה:
קוד:
iptables -A INPUT -s 221.203.3.18 -j DROP
ואז שמרתי service iptables save

Tomer 13-03-15 20:37
תבדוק שהחוק קיים. אם כן, לדעתי הפאנל פרסר באיחור את הלוגים ושלח את ההודעה, לא בהכרח שהניסיונות ממשיכים.

קוד:
iptables -L -v -n

Jonathan Zeierman 14-03-15 16:37
החוק קיים.
אבל לצערי אני מקבל עוד התראות מ-IP שונים.
איך אפשר להמנע מזה בצורה יעילה יותר מאשר להוסיף כל הזמן IP לחסימה?

Tomer 14-03-15 18:33
ללכת הפוך. אתה יכול לחסום את ה- SSH (לצורך העניין) לכתובות מורשות בלבד ולחסום את היתר.


כל הזמנים הם GMT +2. הזמן כעת הוא 16:20.
עמוד 1 מתוך 2 1 2
הצג 40 הודעות באשכול על דף אחד

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ