#1 07.04.06 19:29
Атаки на сервер
упал немного сервис амависд(фильтр для почты), съев всю оперативу
и при этом положил весь сервер(впервые вроде как за всю его долгую жизнь)
сервер перезапустил
вроде все пучком
а тут ещё проблемы с электричеством(выбивает автомат)
после некоректного отключения амависд не запускаеться
принудительно его запускаю командо сервис амависд старт
он висит в процессах пол минуты и вываливаеться
требуеться корректная перезагрузка(пока не разобрался почему)
сел изучать логи
почему вдруг амавис сожрал всю оперативу и он ли её сожрал
как была исчерпана оператива так и не разобрался
ничего намекающего на это в логах не нашел
но зато нашел кучу строчек аналогичных данной
Apr 5 21:30:40 ns unix_chkpwd[18234]: check pass; user unknown
Apr 5 21:30:40 ns unix_chkpwd[18234]: password check failed for user (bi)
Apr 5 21:30:40 ns sshd(pam_unix)[18232]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.188.2.148
какой то тип каждый день ломиться по ссш и перебирает пользователей и пароли по словарю
пользователя и пароля ему точно не подобрать
все пароли созданы генератором пароле и включают в себя буквы разного регистра и цифры
вопрос, нормально ли что кто то ломиться на ссш?
как блокировать айпишник после 5 неудачных обращений по ссш?
Offline
#4 08.04.06 10:14
Re: Атаки на сервер
Укроп написал(а):
да это нормально. ко всем у кого есть инет ломятся кетайцы индусы, арабы и прочее ламерье.. где они такие названия для логинов находят млин.
названия для логинов как раз нормальные
щас пошли русские фамилии в транслите
дело в том что за раз он успевает перебрать очень много, больше сотни
с одного айпишника
Исправлено otaku (08.04.06 10:15)
Offline
#6 08.04.06 10:27
Re: Атаки на сервер
Я с вас удивляюсь.
Вы когда из дома уходите - тоже дверь нараспашку оставляете, а потом удивляетесь, а почему это ко мне залезть пытались?
Первое действие после установки ЛЮБОГО сервера - ALL: ALL в /etc/hosts.deny и добавление трастед сетей для используемых сервисов в /etc/hosts.allow. А потом пусть хоть все китайцы по ssh/telnet на него ломятся, удачи им в этом нелегком деле.
Что касается amavisd/SA/SMTP-демонов и прочее - оцените их реальную пропускную способность и ограничьте то, что они переарить не в состоянии. И не будут они после этого убивать весь сервер. А еще лучше - запускайте критичные сервисы в отдеьных контейнерах/зонах.
Offline
#7 08.04.06 13:02
Re: Атаки на сервер
Eugene Karnaukhov написал(а):
Первое действие после установки ЛЮБОГО сервера - ALL: ALL в /etc/hosts.deny и добавление трастед сетей для используемых сервисов в /etc/hosts.allow. А потом пусть хоть все китайцы по ssh/telnet на него ломятся, удачи им в этом нелегком деле.
к сожалению не могу разрешить только отдельные узлы, так как сам захожу очень часто с разных мест, и захожу на сервер не я один!
тут уместнее вопрос как забанить айпишник после 10 неправильных попыток ввода
что емть контейнеры/зоны?
Offline
#10 09.04.06 09:27
Re: Атаки на сервер
Укроп написал(а):
otaku написал(а):
к сожалению не могу разрешить только отдельные узлы, так как сам захожу очень часто с разных мест, и захожу на сервер не я один!
ну и разреши Ип только новосибирских провайдеров в чем проблема?
ограничься конкретными диапзонами, пусть они и будут широкими.. а что делать то)
Это не я бляяя...
Offline
#11 09.04.06 23:51
Re: Атаки на сервер
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --upd
ate --seconds 60 --hitcount 4 -j DROP
делает не больше 4 соединений в минуту
но можешь потом сам не зайти :) если будут настойчиво ломиться.. правда "роботы", после того как их "дропаешь", перестают ломиться
Offline
#12 10.04.06 00:10
Re: Атаки на сервер
не хочешь "попасться" на самоблокировке, почитай про recent
http://www.netfilter.org/documentation/ … tml#ss3.16
Eugene Karnaukhov написал(а):
Первое действие после установки ЛЮБОГО сервера - ALL: ALL в /etc/hosts.deny и добавление трастед сетей для используемых сервисов в /etc/hosts.allow
это параноя прям какая-то
если вы админите сервер только из трастед сетей, то тогда и ssh не нужен, достаточно телнета :-)
а я например не знаю, откуда я на сервак полезу, где сел - оттуда зашел
у меня ноут в котором сетевка, модем, wifi и еще GPRS от двух сотовых провайдеров, и какой у меня будет IP в данный конкретный момент времени я абсолютно не знаю. у нас, знаете ли, век мобильных технологий.
и что прикажете прописывать в hosts.allow ?
Offline
#13 10.04.06 10:11
#14 10.04.06 16:46
#15 10.04.06 22:10
Re: Атаки на сервер
А я юзаю сервак с бывшей работы :) Доступ к ссхд с которого у меня открыт на моих серверах. На нынешней работе, на серверах вообще все по дефолту deny стоит. Открыто только для доступа с ip-адресов офиса. А на рабочую тачку доступ есть отовсюду. Нормально так.
Offline
#16 10.04.06 22:25
#17 10.04.06 23:30
Re: Атаки на сервер
Max написал(а):
или линк не грохнется от тебя до сервака или от сервака до "других серваков"
Армагедец какой-то получается. До работы достучаться получиться...ну или на крайняк недалеко ехать
а так, есть куча хостингов которые дают доступ по ссх. А открыть доступ к ссхд от хостеров вполне нормально и безопасно.
Offline
#18 11.04.06 09:10
#19 11.04.06 12:23
Re: Атаки на сервер
http://anp.ath.cx/sshit/
sshit is a Perl script that blocks IP addresses generating too many failed login attempts within a specified time
Offline
