Уникално силна DDoS атака!

[emc1000]

Това, което показваш е опит да влизане, не, че бота е влязал във сървъра.

[Mihail Peltekov]

Бе точно са си влезли ...

 

Last login: Wed Mar 18 06:20:01 2015 from 211.233.8.36

Кратка справка показва това

[emc1000]

Ако паролите са му 123 или abc, колко му е?

[dabadaba]

Ето как е при мен

След 9 дена, може да опита пак. Пробвал съм и със сменяне на портове, ама не ме кефи. Тогава съвсем не се закачат, а паролата си ми е достатъчно дълга.

[muonplex]

Да, направо си е влязъл с root, а паролите определено не бяха 123 и т.н. Хубаво е, че пак на време хванахме нещата.

Спрях вече външния достъп и толкова.

[Tsunami]

Спрях вече външния достъп и толкова.

 

Ще се сетиш! Защо изобщо си го позволил? Сега като си направиш една адрес листа, в която да опишеш кои адреси да достъпват рутера ще можеш да спиш спокойно.

[h3ll]

От атаките се оправихме за момента, но се вижда днес, че дори има успешен вход в ssh от този скапан бот, който е налазил нещата. Спряхме окончателно външния достъп към ssh.

 

@emc1000, основния проблем бяха атаките, а това с ssh го забелязах случайно.

 

Хубав ден на всички.

 

@h3ll, кажи приятел ?

 

 

 

 

Говорил съм много пъти за временната имплементация на блекхол рут спрямо блокиране на портове или хостове в тейбълс. Просто за момента няма алтернатива като производителност - спестява се от шейпване и рутиране.  Остава проблема с блокирането, когато работим с /32 и тук пак ще потрябват 2 машини за блокиране.

[Mupo neTkoB]

Добре де, аз ли съм тъп или да си оставиш отворени портове за ссх достъп, да оставиш руут потребителя със парола която може да се брутфорсне за 2 дни и 3000 опита то не е ли същото като да заключиш къщата си само че да оставиш ключовете на бравата и те да са от онези старите от 1 до 6

[muonplex]

Единствената причина, заради която оставих външен достъп до ssh беше, за да мога да влизам ако се наложи нещо, когато ме няма на разположение.

[Mupo neTkoB]

що не смени ключа/ ключаря (руут-пасс) и надписа на вратата (порт) и пак си остави вариант за влизане. Това са елементарни неща за защита които не смятам че който и да е системен администратор не трябва да допуска - ка моли с опит

Редактирано 18 Март, 2015 от Mupo neTkoB

[vv1]

Ок, приемаме че са придобили достъп.

Направихте ли проверка какво е правено с history и т.н.? 

Проверихте ли системата за злонамерин софтуер ?

[Mihail Peltekov]

Щом е CentOS с едно Livecd е добре да се направи rpm check signature. Да се провери initramfs. Да се преинсталира glibc и sshd Може sshd демона да е подменен.

Добре е да си следите машините поне с rkhunter .

[bezimenen]

Еми първото нещо което трябва да се направи след като се пусне ssh сървъра е да се забрани root както и да се смени порта и да се ограничи броят на опитите. Каза уеб сървър има. Там вече ако има флууд по удп проблема е по-сложен.

Ако се сложи и сертификат още по-добре.

Редактирано 19 Март, 2015 от bezimenen

[111111]

Еми първото нещо което трябва да се направи след като се пусне ssh сървъра е да се забрани root както и да се смени порта и да се ограничи броят на опитите. Каза уеб сървър има. Там вече ако има флууд по удп проблема е по-сложен.

Ако се сложи и сертификат още по-добре.

само в редхатоподобията руут е дефаултен потребител

от което и елементарната задача на хакера да търси само паролата

[muonplex]

само в редхатоподобията руут е дефаултен потребител

от което и елементарната задача на хакера да търси само паролата

В по-новите версии, ако решиш може и да не е root, но това е отделен въпрос..