10-08-11, 23:24 | # 1 |
חבר מתקדם
דירוג מסחר: (0)
|
SSHD ו Brute-Force Attack
טוב הסיפור הוא כזה, קניתי VPS קיבלתי IP ולדעתי האיפי הזה שימש פעם למשהו לאתר לא איכותי שכנראה נהגו לפרוץ אליו ואני כל הזמן מקבל הודעות כגון אלה ב DIRECTADMIN שלי...
Brute-Force Attack detected in service log from IP(s) 109.86.24.182 וזה לא מאיזה איפי אחד ספציפי... יש כל מיני לכן אני גם לא רוצה לחסום, מה גם שחסימה נראית לי כמשהו שיאט את השרת הרי אם כל איפי הוא יצטרך לבדוק זה לא יכביד עליו? בכל מקרה, חשבתי שכיון שכל הניסיונות בעיקר עובדות על SSHD האם לדעתכם יהיה חכם כל עוד אני לא עושה שימוש בטלנט ובכלליות ב SSHD לעצור את התהליך דרך ה Service Monitor , ב DIRECT ADMIN .... ללחוץ שם STOP) ואם אני אצטרך להתחבר ללחוץ START ואז להתחבר... השאלה היא האם זה לא פוגע בשרת\ביצועים או באתרים שמאוחסנים על השרת באישהי דרך. ועוד שאלה, ב Process Monitor שב DirectAdmin ניסיתי לבדוק מה זולל לי זיכרון ראיתי שיש לי משהו כמו 30 תהליכים שרשום בהם ב COMMAND : משהו בסגנון הזה: 1065 dovecot 18 0 6664 2288 1848 S 0.0 0.2 0:00.00 dovecot/pop3-login 1066 dovecot 18 0 6664 2296 1848 S 0.0 0.2 0:00.02 dovecot/pop3-login ועוד משהו כמו 15 של משהו בסגנון הזה...IMAP 1083 dovecot 23 0 6668 2292 1848 S 0.0 0.2 0:00.00 dovecot/imap-login 1084 dovecot 23 0 6668 2292 1848 S 0.0 0.2 0:00.01 dovecot/imap-login בקיצור נראה לי שגם זה איזשהו זכר לאתר קודם שיש על האיפי.. או שאולי זה טיבעי אני לא יודע כל כך... כי אני לא משתמש בדואר או משהו בסגנון בשרת הזה, הדבר היחיד שיש על השרת כרגע זה רק אתר בסיסי בלי שליחת\קבלת אימיילים דרך האתר...
__________________
- חייך הכל לטובה . Last edited by gillllll; 10-08-11 at 23:44.. |
11-08-11, 07:10 | # 4 |
חבר מתקדם
דירוג מסחר: (0)
|
תודה על התשובות, מערכתההפעלה שלי היא Redhat CentOS 5.0
יונתן: לכבות את המוניטור זה פשוט לייעץ להתעלם מזה שיש ניסיונות התקפה על השרת? (למה לא פשוט לכבות את ה SSHD וזהו כמו שהצעתי?) KERNEL : שינוי הפורט יהיה מאד יעיל נראה לי שהוא באמת מוגדר כברירת המחדל , - עריכה - הצלחתי לשנות. נראה אם זה יעזור ואף אחד לא התייחס לבעיית הזיכרון שנראה לי לא הגיונית עבור התהליכים הללו שציינתי.
__________________
- חייך הכל לטובה . Last edited by gillllll; 11-08-11 at 07:23.. |
11-08-11, 10:18 | # 5 | |
I am root
דירוג מסחר: (0)
|
ציטוט:
רק לאחרונה כש DIRECTADMIN החליטו להעביר את הלוגים של המערכת לתצוגה גראפית , פתאום אנשים התחילו לשים לב שמנסים לחדור להם לשרת כל הזמן. עד היום התעלמת מהלוגים ( לא ידעת על קיומם ) , עכשיו שהם שולחים לך מייל פתאום זה נהיה חשוב? , מעניינת הגישה הזו. אני לא ממליץ לכבות את SSHD , כי במידה ולא יעבוד לך DIRECTADMIN מסיבה זו או אחרת , אתה תשאר ללא גישה למערכת ( אלא אם כן יש לך KVM ). בכל מקרה ,אל תשים את SSHD על פורט גבוהה מ 1023. |
|
11-08-11, 20:47 | # 7 | |
מ מנ מנה מנהל בהוסטס
עסק רשום [ ? ] דירוג מסחר: (0)
|
ציטוט:
התהליכים האלה זה תהליכים של שרתי האימייל. אתה יכול להנמיך את הכמות של הפרוססים שדלוקים בתור ברירת מחדל אם אני זוכר נכון בשליפה מהמותן זה אמור להיות ב /etc/exim/exim.conf או /etc/exim.conf
__________________
בברכה, פרידמן אסף. אקסייט תקשורת [ נייד: 050-764-0009 ][ טלפון 073-7972444 ][ פקס 073-7972443 ] [ מייל admin@xsc.co.il ]
|
|
12-08-11, 01:51 | # 8 |
חבר מתקדם
דירוג מסחר: (0)
|
סליפי - הדבר היחיד שראיתי בקובץ הזה ואולי קשור...
# SET SOME MEANINGFUL LIMITS # OPTIONAL MODIFICATIONS: # These defaults work for us; you may wish to modify them # for your environment message_size_limit = 20M smtp_receive_timeout = 5m smtp_accept_max = 100 message_body_visible = 3000 print_topbitchars = true deliver_queue_load_max = 5 smtp_connect_backlog = 50 split_spool_directory = yes יכול להיות? ההגדרות הללו טובות? (זה נראה לי הגדרות ברירת מחדל)
__________________
- חייך הכל לטובה . |
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|