Mam dosyc powazny problem. Ktos caly czas probuje sie wbic na moj serwer. Jesli chodzio zabezpieczenia to router przepuszcza do serwera tylko ssh plus dodatkowo ustawiane mam w ssh zabezpieczenia w postaci allowuser ktore umozliwia zalogowanie sie tylko niektorych uzytkownikow. Codziennie dostaje raporty z logwatch w ktorych ktos nagminie usiluje sie zalogowac na serwer.
Failed logins from these:
adm/password from 83.14.144.210: 15 Time(s)
admin/password from 83.14.144.210: 14 Time(s)
alex/password from 83.14.144.210: 14 Time(s)
apache/password from 83.14.144.210: 15 Time(s)
client/password from 83.14.144.210: 14 Time(s)
dave/password from 83.14.144.210: 14 Time(s)
david/password from 83.14.144.210: 13 Time(s)
davod/password from 83.14.144.210: 1 Time(s)
fax/password from 83.14.144.210: 14 Time(s)
ftp/password from 83.14.144.210: 14 Time(s)
ftpuser/password from 83.14.144.210: 15 Time(s)
guest/password from 83.14.144.210: 14 Time(s)
info/password from 83.14.144.210: 14 Time(s)
james/password from 83.14.144.210: 14 Time(s)
jason/password from 83.14.144.210: 14 Time(s)
john/password from 83.14.144.210: 14 Time(s)
justin/password from 83.14.144.210: 2 Time(s)
kevin/password from 83.14.144.210: 14 Time(s)
linda/password from 83.14.144.210: 14 Time(s)
mail/password from 83.14.144.210: 14 Time(s)
mailtest/password from 83.14.144.210: 12 Time(s)
mark/password from 83.14.144.210: 14 Time(s)
mike/password from 83.14.144.210: 14 Time(s)
mysql/password from 83.14.144.210: 14 Time(s)
....
Pierwsze co zrobilem to dodalem te ip do /etc/hosts.deny no ale to zawiele nie pomoglo bo serwer kazdego dnia jest atakowany z innego ip. Po tygoniu lista zbanowanych ip wzrosla do kilkudziezsieciu i codziennie rosnie. Domyslam sie ze ktos kto uzywa serwera proxy i dzieki temu zmienia co jakis czas swoje ip. Nie mam narazie pomyslu jak wyjsc z tego problemu, jedyne co mi naszlo na mysl to po cichu zmienic swoje ip tak zeby nikt nie wiedzial. Jesli moje rozumowanie jest bledne i ide w zla strone to poprawciemnie albo napiszcie co mozna z tym zrobic. Jak narazie zabezpieczenia ktore sa ustawione to wystarczaja ale chcialbym to jeszcze jakos dopracowac.
To normalne - zrób to co zasugerował loleq, ewentualnie zamiast fail2ban możesz użyć denyhosts. Można również ustawić odpowiednie regułki w iptables, które blokują po 3 nieudanych próbach zalogowania. A po zmianie portu praktycznie nie będzie żadnych ataków.
Nie wiem czy to cos da bo przy skanowaniu portow bedzie widac i tak dziure na tym zmienionym porcie. Caly czas zastanawiam sie w jaki sposob ktos to robi czy sa jakies moze programy do automatycznego logowania bo raczej sam by tego nie pisal?
Jesli chodzi o iptables to prosilbym o podpowiedz z taregula banowania po kilku nieudanych poclaczeniach, postaram sie sam to znalesc ale zawsze taka podpowiedz na forum moze sie komus innemu przydac.
glizda1125 pisze:Nie wiem czy to cos da bo przy skanowaniu portow bedzie widac i tak dziure na tym zmienionym porcie. Caly czas zastanawiam sie w jaki sposob ktos to robi czy sa jakies moze programy do automatycznego logowania bo raczej sam by tego nie pisal?
To są automaty, które skanują całe pule adresów ip w poszukiwaniu otwartego 22. Każdy ma takie ataki.
Jesli chodzi o iptables to prosilbym o podpowiedz z taregula banowania po kilku nieudanych poclaczeniach, postaram sie sam to znalesc ale zawsze taka podpowiedz na forum moze sie komus innemu przydac.
Wielkie dzieki za szybkie info. Zaraz zaczynam dzialac. Moze ktos cos jeszcze napisze bo to calkiem ciekawy temat i wielu osobom zwlaszcza poczatkujacym napewno sie przyda.