Może jakiś bot próbował się dobić. Nie pytaj nas, sprawdź w logach
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Skąd ten ruch http://forum.freesco.pl/viewtopic.php?f=24&t=17648 |
Strona 1 z 1 |
| Autor: | lukas_xplowd [ poniedziałek, 27 kwietnia 2009, 10:22 ] |
| Tytuł: | Skąd ten ruch |
Dzisiaj w godz 5:00-8:00 miałem dziwne zdarzenie. Mimo tego, że nie było żadnych użytkowników serwer generował ruch na łączu rzędu ok 50-60kb/s na wyjściu (upload). W tym samym czasie obciążenie procesora wzrosło o około 25%. Co się mogło wtedy dziać i skąd ten ruch? |
|
| Autor: | JakubC [ poniedziałek, 27 kwietnia 2009, 14:29 ] |
| Tytuł: | |
Może jakiś bot próbował się dobić. Nie pytaj nas, sprawdź w logach
|
|
| Autor: | lukas_xplowd [ poniedziałek, 27 kwietnia 2009, 19:24 ] |
| Tytuł: | |
Dzięki czasem trzeba takich podpowiedzi żeby człowiek się odnalazł
Faktycznie w tym czasie z adresu 212.47.6.54 było ponad 30 tys. prób logowania po ssh 
Najpierw na roota a później na różnych wymyślonych userów. Przy okazji odkryłem, że było kilkanaście innych prób włamów np. po ftp ale to już z innych adresów i w ilości kilku prób max - też tak macie? Jak się bronić przed czymś takim? |
|
| Autor: | Kimas [ poniedziałek, 27 kwietnia 2009, 19:53 ] |
| Tytuł: | |
myślę że zmiana standardowego portu ssh da zadowalające wyniki ;] |
|
| Autor: | lukas_xplowd [ poniedziałek, 27 kwietnia 2009, 20:42 ] |
| Tytuł: | |
Chyba nie do końca bo odpytuje serwer również na różnych losowych portach
No a chodzi jeszcze o to, że nawet jeśli się nie włamie to maszynę mi męczy. A nie można jakoś w firewallu określić, że przy zapytaniu z danego adresu ma w ogóle nie odpowiadać? |
|
| Autor: | Maciek [ poniedziałek, 27 kwietnia 2009, 21:10 ] |
| Tytuł: | |
Skanery portów można ładnie zablokować używając fail2ban. |
|
| Autor: | lukas_xplowd [ poniedziałek, 27 kwietnia 2009, 21:37 ] |
| Tytuł: | |
Dzięki za info. Postaram się w najbliższym czasie wypróbować. |
|
| Autor: | GHY [ wtorek, 28 kwietnia 2009, 08:03 ] |
| Tytuł: | |
host.allow i po ptakach 
|
|
| Autor: | Maciek [ wtorek, 28 kwietnia 2009, 10:50 ] |
| Tytuł: | |
To mało sensowna rada, jeśłi ktoś np. podróżuje i chce mieć dostęp do swojego serwera z różnych miejsc. Może wówczas przeżyć nieprzyjemną niespodziankę. |
|
| Autor: | lukas_xplowd [ wtorek, 28 kwietnia 2009, 23:26 ] |
| Tytuł: | |
Zainstalowałem fail2ban. Dzisiaj dopiero pierwszy dzień działa ale widać, że jest mniej wpisów o nieudanej próbie logowania. Zobaczymy przez kilka dni jak to się będzie spisywać
|
|
| Autor: | Kimas [ wtorek, 28 kwietnia 2009, 23:33 ] |
| Tytuł: | |
dodatkowo możesz doinstalować portsentry, u mnie po niecałym roku od instalacji, plik host.deny zawiera ponad 900 linii ;D |
|
| Autor: | JakubC [ środa, 29 kwietnia 2009, 01:22 ] |
| Tytuł: | |
Kimas pisze: dodatkowo możesz doinstalować portsentry, u mnie po niecałym roku od instalacji, plik host.deny zawiera ponad 900 linii ;D
Ile z nich to zmienne ip, jaki jest sens przechowywania tej części i co zrobisz, jak to ip dostanie akurat komputer z którego osobiście chciałbyś się zalogować?
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|