Jak sprawdzić czy mój serwer jest atakowany, atakami dos i ddos?
Bo ostatnio często są problemy z połączeniem, nigdy nie było problemów z dostępnością.
Czy coś co można zainstalować co będzie monitorowało pokazywało tego typu ataki?
Mam zainstalowane mod_evasive, co jeszcze mogę zainstalować?
Jak wykry
Buszując po sieci znalazłem coś takiego http://nfsec.pl/security/1324?utm_sourc ... ecurity%29
może Cię troszkę zainteresuje. Ewentualnie odpal TCPDUMPa i loguj
może Cię troszkę zainteresuje. Ewentualnie odpal TCPDUMPa i loguj
Sprawdzasz tcpdumpem oraz np. iptrafem ruch na eth i patrzysz jakiego rodzaju to ataki (skąd, na jaki port, jaka ilość). Sprawdź potem netstatem, ntop bądz lsof czy ruchu nie generuje jakiś złośliwy kod na twoim serwerze. Jeśli nie to pomyśl nad firewallem. Jeśli tak, to tez pomyśl nad firewallem ale już niestety objawowym. Jeśli to trojan to rkhunter bądź chrootkit i próbuj usunąć
ale najlepiej wcześniej kopia zapasowa danych.
ale najlepiej wcześniej kopia zapasowa danych.
Zabezpieczenie serwera przed trojanami szkodliwym oprogramowaniem
Dostały się do mnie na serwer jakieś szkodniki.
oraz wynik:
Ostatnio dostałem, e-maila od firmy ze z mojego serwera dedykowanego są wychodzące ataki typu ddos, czy może to przez te zainfekowane pliki nie mogę się ich pozbyć.
Kod: Zaznacz cały
h1765292:~# chkrootkit -q
Checking `ls'... INFECTED
Checking `netstat'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
The following suspicious files and directories were found:
/usr/lib/jvm/.java-6-sun.jinfo /usr/lib/jvm/java-6-sun-1.6.0.22/lib/visualvm/profiler3/.lastModified /usr/lib/jvm/java-6-sun-1.6.0.22/lib/visualvm/visualvm/.lastModified /usr/lib/jvm/java-6-sun-1.6.0.22/lib/visualvm/platform11/.lastModified /usr/lib/jvm/java-6-sun-1.6.0.22/.systemPrefs /usr/lib/jvm/.java-gcj.jinfo /usr/lib/xulrunner-1.9/.autoreg /lib/init/rw/.mdadm /lib/init/rw/.ramfs
/lib/init/rw/.mdadm
You have 26 process hidden for readdir command
You have 26 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
h1765292:~#Kod: Zaznacz cały
rkhunter -c
System checks summary
=====================
File properties checks...
Required commands check failed
Files checked: 139
Suspect files: 3
Rootkit checks...
Rootkits checked : 243
Possible rootkits: 0
Applications checks...
Applications checked: 6
Suspect applications: 2
The system checks took: 3 minutes and 10 seconds
All results have been written to the log file (/var/log/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Może to ci pomoże http://www.linuxquestions.org/questions ... an-242318/
Wzmocni, ale obecnie to polityka objawowa. Masz zainfekowany system i musisz o tym pamiętać.
Używane to te, których używają usługi, które hostujesz na serwerze. Porty, których nie używają zainstalowane usługi łączące się z inetem, przynajmniej w teorii nie powinny być w ogole używane, a więc można je blokować.
Generalnie, to instalujesz tylko i wyłącznie usługi, których potrzebujesz. Wszystko inne nie powinno być zainstalowane, co zmiejsza ryzyko wykorzystania tych usług do włamań. Jeżeli nic nie słucha na danym porcie to nie można się przez niego dostać. Oczywiscie, z wyłączeniem zlosliwego kodu, które może otwierać/zacząć nasłuchiwać na danym porcie, żeby zrobić drogę dostępu dla potencjalnego włamywacza. (Trojan) Dlatego powinno się blokować wszystko co niepotrzebne na firewallu
Używane to te, których używają usługi, które hostujesz na serwerze. Porty, których nie używają zainstalowane usługi łączące się z inetem, przynajmniej w teorii nie powinny być w ogole używane, a więc można je blokować.
Generalnie, to instalujesz tylko i wyłącznie usługi, których potrzebujesz. Wszystko inne nie powinno być zainstalowane, co zmiejsza ryzyko wykorzystania tych usług do włamań. Jeżeli nic nie słucha na danym porcie to nie można się przez niego dostać. Oczywiscie, z wyłączeniem zlosliwego kodu, które może otwierać/zacząć nasłuchiwać na danym porcie, żeby zrobić drogę dostępu dla potencjalnego włamywacza. (Trojan) Dlatego powinno się blokować wszystko co niepotrzebne na firewallu
Dostęp do proftpd z konkretnych adresów ip
Chcianym ustawić sobie żeby dostęp do proftpd był tylko i wyłącznie z konkretnych ip. Czyli np żebym mógł się logować na ftp tylko ja z mojego adresu ip
Ustawiłem takie coś
Odblokowuje port podczas logowania.
Czy mógł by mi ktoś ułożyć regułke? bo już próbowałem i nie wychodzi.
Ustawiłem takie coś
Kod: Zaznacz cały
iptables -A INPUT -i eth0 -p tcp -j ACCEPT -m state --state NEW -d ipmojegoserwera --destination-port 21
Czy mógł by mi ktoś ułożyć regułke? bo już próbowałem i nie wychodzi.
Otwarte porty po restarcie serwera
Po blokowałem sobie nie które porty.
Czyli dałem regułkę:
Ale po restarcie serwera, porty które po blokowałem są ponownie otwarte.
Co tu jest nie tak?
Oraz miałem zablokowane pingowanie serwera, po restarcie ponownie można pingować.
Czyli dałem regułkę:
Kod: Zaznacz cały
iptables -A INPUT -p TCP --dport 445 -j DROPCo tu jest nie tak?
Oraz miałem zablokowane pingowanie serwera, po restarcie ponownie można pingować.