SSHD ו Brute-Force Attack - הוסטס

gillllll · 10-08-11, 23:24

טוב הסיפור הוא כזה, קניתי VPS קיבלתי IP ולדעתי האיפי הזה שימש פעם למשהו לאתר לא איכותי שכנראה נהגו לפרוץ אליו ואני כל הזמן מקבל הודעות כגון אלה ב DIRECTADMIN שלי...
Brute-Force Attack detected in service log from IP(s) 109.86.24.182
וזה לא מאיזה איפי אחד ספציפי... יש כל מיני לכן אני גם לא רוצה לחסום, מה גם שחסימה נראית לי כמשהו שיאט את השרת הרי אם כל איפי הוא יצטרך לבדוק זה לא יכביד עליו?

בכל מקרה, חשבתי שכיון שכל הניסיונות בעיקר עובדות על SSHD האם לדעתכם יהיה חכם כל עוד אני לא עושה שימוש בטלנט ובכלליות ב SSHD לעצור את התהליך דרך ה Service Monitor , ב DIRECT ADMIN .... ללחוץ שם STOP) ואם אני אצטרך להתחבר ללחוץ START ואז להתחבר...
השאלה היא האם זה לא פוגע בשרת\ביצועים או באתרים שמאוחסנים על השרת באישהי דרך.

ועוד שאלה,
ב Process Monitor שב DirectAdmin ניסיתי לבדוק מה זולל לי זיכרון ראיתי שיש לי משהו כמו 30 תהליכים שרשום בהם ב COMMAND : משהו בסגנון הזה:
1065 dovecot 18 0 6664 2288 1848 S 0.0 0.2 0:00.00 dovecot/pop3-login
1066 dovecot 18 0 6664 2296 1848 S 0.0 0.2 0:00.02 dovecot/pop3-login

ועוד משהו כמו 15 של משהו בסגנון הזה...IMAP
1083 dovecot 23 0 6668 2292 1848 S 0.0 0.2 0:00.00 dovecot/imap-login
1084 dovecot 23 0 6668 2292 1848 S 0.0 0.2 0:00.01 dovecot/imap-login

בקיצור נראה לי שגם זה איזשהו זכר לאתר קודם שיש על האיפי.. או שאולי זה טיבעי אני לא יודע כל כך...

כי אני לא משתמש בדואר או משהו בסגנון בשרת הזה, הדבר היחיד שיש על השרת כרגע זה רק אתר בסיסי בלי שליחת\קבלת אימיילים דרך האתר...

**yonatan** · 11-08-11, 00:32

תכבה את המוניטור והוא לא יציק לך...

Kernel · 11-08-11, 04:48

תכבה את המוניטור.
תתקין CSF.
תבטל את האפשרות ש-ROOT יכול להתחבר ל-SSH.
תשנה את הפורט של ה-SSH.

gillllll · 11-08-11, 07:10

תודה על התשובות, מערכתההפעלה שלי היא Redhat CentOS 5.0

יונתן: לכבות את המוניטור זה פשוט לייעץ להתעלם מזה שיש ניסיונות התקפה על השרת? (למה לא פשוט לכבות את ה SSHD וזהו כמו שהצעתי?)
KERNEL : שינוי הפורט יהיה מאד יעיל נראה לי שהוא באמת מוגדר כברירת המחדל , - עריכה - הצלחתי לשנות.

נראה אם זה יעזור

ואף אחד לא התייחס לבעיית הזיכרון שנראה לי לא הגיונית עבור התהליכים הללו שציינתי.

**yonatan** · 11-08-11, 10:18

ציטוט:

נכתב במקור על ידי gillllll

תודה על התשובות, מערכתההפעלה שלי היא Redhat CentOS 5.0

יונתן: לכבות את המוניטור זה פשוט לייעץ להתעלם מזה שיש ניסיונות התקפה על השרת? (למה לא פשוט לכבות את ה SSHD וזהו כמו שהצעתי?)
KERNEL : שינוי הפורט יהיה מאד יעיל נראה לי שהוא באמת מוגדר כברירת המחדל , - עריכה - הצלחתי לשנות.

נראה אם זה יעזור

ואף אחד לא התייחס לבעיית הזיכרון שנראה לי לא הגיונית עבור התהליכים הללו שציינתי.

מאז ומעולם היו נסיונות התקפה על כל השרתים של כולם,
רק לאחרונה כש DIRECTADMIN החליטו להעביר את הלוגים של המערכת לתצוגה גראפית , פתאום אנשים התחילו לשים לב שמנסים לחדור להם לשרת כל הזמן.

עד היום התעלמת מהלוגים ( לא ידעת על קיומם ) , עכשיו שהם שולחים לך מייל פתאום זה נהיה חשוב? , מעניינת הגישה הזו.

אני לא ממליץ לכבות את SSHD , כי במידה ולא יעבוד לך DIRECTADMIN מסיבה זו או אחרת , אתה תשאר ללא גישה למערכת ( אלא אם כן יש לך KVM ).

בכל מקרה ,אל תשים את SSHD על פורט גבוהה מ 1023.

gillllll · 11-08-11, 16:44

תודה על ההסבר יונתן.
מזל שלא כיביתי אותו

אבל שינוי הפורט כן עזר לי כך לכל המתעניינים.

SlipY · 11-08-11, 20:47

ציטוט:

נכתב במקור על ידי gillllll

תודה על ההסבר יונתן.
מזל שלא כיביתי אותו

אבל שינוי הפורט כן עזר לי כך לכל המתעניינים.

היי גיל,
התהליכים האלה זה תהליכים של שרתי האימייל.
אתה יכול להנמיך את הכמות של הפרוססים שדלוקים בתור ברירת מחדל
אם אני זוכר נכון בשליפה מהמותן זה אמור להיות ב
/etc/exim/exim.conf
או
/etc/exim.conf

gillllll · 12-08-11, 01:51

סליפי - הדבר היחיד שראיתי בקובץ הזה ואולי קשור...

# SET SOME MEANINGFUL LIMITS
# OPTIONAL MODIFICATIONS:
# These defaults work for us; you may wish to modify them
# for your environment

message_size_limit = 20M
smtp_receive_timeout = 5m
smtp_accept_max = 100
message_body_visible = 3000
print_topbitchars = true
deliver_queue_load_max = 5
smtp_connect_backlog = 50
split_spool_directory = yes

יכול להיות? ההגדרות הללו טובות? (זה נראה לי הגדרות ברירת מחדל)

10-08-11, 23:24	# 1
gillllll חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Nov 2005 הודעות: 363	SSHD ו Brute-Force Attack טוב הסיפור הוא כזה, קניתי VPS קיבלתי IP ולדעתי האיפי הזה שימש פעם למשהו לאתר לא איכותי שכנראה נהגו לפרוץ אליו ואני כל הזמן מקבל הודעות כגון אלה ב DIRECTADMIN שלי... Brute-Force Attack detected in service log from IP(s) 109.86.24.182 וזה לא מאיזה איפי אחד ספציפי... יש כל מיני לכן אני גם לא רוצה לחסום, מה גם שחסימה נראית לי כמשהו שיאט את השרת הרי אם כל איפי הוא יצטרך לבדוק זה לא יכביד עליו? בכל מקרה, חשבתי שכיון שכל הניסיונות בעיקר עובדות על SSHD האם לדעתכם יהיה חכם כל עוד אני לא עושה שימוש בטלנט ובכלליות ב SSHD לעצור את התהליך דרך ה Service Monitor , ב DIRECT ADMIN .... ללחוץ שם STOP) ואם אני אצטרך להתחבר ללחוץ START ואז להתחבר... השאלה היא האם זה לא פוגע בשרת\ביצועים או באתרים שמאוחסנים על השרת באישהי דרך. ועוד שאלה, ב Process Monitor שב DirectAdmin ניסיתי לבדוק מה זולל לי זיכרון ראיתי שיש לי משהו כמו 30 תהליכים שרשום בהם ב COMMAND : משהו בסגנון הזה: 1065 dovecot 18 0 6664 2288 1848 S 0.0 0.2 0:00.00 dovecot/pop3-login 1066 dovecot 18 0 6664 2296 1848 S 0.0 0.2 0:00.02 dovecot/pop3-login ועוד משהו כמו 15 של משהו בסגנון הזה...IMAP 1083 dovecot 23 0 6668 2292 1848 S 0.0 0.2 0:00.00 dovecot/imap-login 1084 dovecot 23 0 6668 2292 1848 S 0.0 0.2 0:00.01 dovecot/imap-login בקיצור נראה לי שגם זה איזשהו זכר לאתר קודם שיש על האיפי.. או שאולי זה טיבעי אני לא יודע כל כך... כי אני לא משתמש בדואר או משהו בסגנון בשרת הזה, הדבר היחיד שיש על השרת כרגע זה רק אתר בסיסי בלי שליחת\קבלת אימיילים דרך האתר... __________________ - חייך הכל לטובה . Last edited by gillllll; 10-08-11 at 23:44..

11-08-11, 00:32	# 2
yonatan I am root דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אשדוד גיל: 38 הודעות: 3,910	תכבה את המוניטור והוא לא יציק לך... __________________ אחסון אתרים - Red Hat Certified עקבו אחרינו בטוויטר!

11-08-11, 04:48	# 3
Kernel אושיית הוסטינג דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בקעת אונו הודעות: 2,429	תכבה את המוניטור. תתקין CSF. תבטל את האפשרות ש-ROOT יכול להתחבר ל-SSH. תשנה את הפורט של ה-SSH. __________________ אבי

11-08-11, 07:10	# 4
gillllll חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Nov 2005 הודעות: 363	תודה על התשובות, מערכתההפעלה שלי היא Redhat CentOS 5.0 יונתן: לכבות את המוניטור זה פשוט לייעץ להתעלם מזה שיש ניסיונות התקפה על השרת? (למה לא פשוט לכבות את ה SSHD וזהו כמו שהצעתי?) KERNEL : שינוי הפורט יהיה מאד יעיל נראה לי שהוא באמת מוגדר כברירת המחדל , - עריכה - הצלחתי לשנות. נראה אם זה יעזור ואף אחד לא התייחס לבעיית הזיכרון שנראה לי לא הגיונית עבור התהליכים הללו שציינתי. __________________ - חייך הכל לטובה . Last edited by gillllll; 11-08-11 at 07:23..

11-08-11, 16:44	# 6
gillllll חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Nov 2005 הודעות: 363	תודה על ההסבר יונתן. מזל שלא כיביתי אותו אבל שינוי הפורט כן עזר לי כך לכל המתעניינים. __________________ - חייך הכל לטובה .


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

12-08-11, 01:51	# 8
gillllll חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Nov 2005 הודעות: 363	סליפי - הדבר היחיד שראיתי בקובץ הזה ואולי קשור... # SET SOME MEANINGFUL LIMITS # OPTIONAL MODIFICATIONS: # These defaults work for us; you may wish to modify them # for your environment message_size_limit = 20M smtp_receive_timeout = 5m smtp_accept_max = 100 message_body_visible = 3000 print_topbitchars = true deliver_queue_load_max = 5 smtp_connect_backlog = 50 split_spool_directory = yes יכול להיות? ההגדרות הללו טובות? (זה נראה לי הגדרות ברירת מחדל) __________________ - חייך הכל לטובה .

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)