Comments 22
> А может арабы просто упёртые
А может это ваши конкуренты за стенкой сидят через 10 проксей. В любом случае собственными мерами, отдел «К» уж точно не будет гоняться за мифическими арабскими хакеровирусами. А своих мер предостаточно, как минимум обеспечить безопасность демона, на который идёт атака, обезопасить пароли, и так далее.
А может это ваши конкуренты за стенкой сидят через 10 проксей. В любом случае собственными мерами, отдел «К» уж точно не будет гоняться за мифическими арабскими хакеровирусами. А своих мер предостаточно, как минимум обеспечить безопасность демона, на который идёт атака, обезопасить пароли, и так далее.
0
попробуй пробить инфу тут 2ip.ru/whois/
0
UFO just landed and posted this here
Да ладно вам. Ботов которые тупо подбирают связки логин: пароль по ssh полно. Смените порт на нестандартный или в правила файрволла внесите белые адреса c которых можно удаленно логиниться. Ну а если хочеться большей гибкости, можно поиграться с port knoking и authpf.
+3
Если перебирают по ssh, то sshguard хорошее решение — банит по ip после нескольких неудачных попытках. Другого способа, кроме как банить их наверное нет.
0
Тривиально — перевесить на другой порт.
0
Не успел сверху отписать… В моем случае не ssh, а RDP.
Магией фаервола можно, конечно, его переместить на порт повыше, но по-моему это как-то неверно.
Магией фаервола можно, конечно, его переместить на порт повыше, но по-моему это как-то неверно.
0
да, согласен — это самый простой способ, но иногда, например, когда предоставляешь услуги хостинга, то для удобства клиентов порт лучше оставлять стандартным.
0
Именно. Просто мы недавно сменили провайдера и еще не привыкли к меньшей защите, чем была раньше.
У прошлого хостера мы были за аппаратным фаерволом, где могли прописать все необходимые нам правила. А тут все сервера как в чистом поле. Мы даже и не ожидали, что нас будут пытаться взломать.
Вот и напоролись на нечто…
У прошлого хостера мы были за аппаратным фаерволом, где могли прописать все необходимые нам правила. А тут все сервера как в чистом поле. Мы даже и не ожидали, что нас будут пытаться взломать.
Вот и напоролись на нечто…
0
Попросите сменить IP адрес, даже лучше просите из другой подсети, у провайдера должно быть несколько подсетей. Если опять начнут мучать с тех же адресов, то цель уже вы, а не просто так на абум. Думайте тогда кто и почему.
0
Как правило это делают черви с таких-же зараженных систем
Просто у арабов слабо с безопасностью, вот их и пробили
Просто у арабов слабо с безопасностью, вот их и пробили
0
Я тоже пришел к этому выводу, когда зашёл на удалённую консоль некоторых атаковавших машин через RDP. Часть выглядит обычными домашними станциями, есть еще несколько серверов, которые активней всего и брутфорсят.
Я то от них оградился — всего пара строк в конфиге фаервола, но какое-то внутреннее чувство говорит, что стоит предупредить администраторов удалённых машин о заражении и сделать таким образом доброе дело всем.
Может я слишком правильный? :)
Я то от них оградился — всего пара строк в конфиге фаервола, но какое-то внутреннее чувство говорит, что стоит предупредить администраторов удалённых машин о заражении и сделать таким образом доброе дело всем.
Может я слишком правильный? :)
0
Когда я держал дома сервачёк с белым айпишником и SSH мордой наружу меня тоже брутили по SSH, и всех брутят, никуда не денешься, защищайтесь сами, и чем уникальнее и изощрённее защита тем лучше.
0
Спасибо учту :) Видимо придётся в будущем устроить защиту как на старом хостинге: все сервера за NAT'ом, ssh закрыть везде, а доступ к RDP только через ssh-туннель с одного сервера-гейта.
0
Я когда-то придумывал себе схему защиты, но так и не реализовал. Не требует наличия сервера гейта. Есть группа открытых портов A (около сотни +- по желанию) по которым идет прослушка но сами данные игнорируются, и группа портов B которые по умолчанию закрыты. Реализуем port Knocking, но не простой, а золотой: стучим в определённую последовательность портов из группы A и сервер, задетектив это открывает на одном из портов группы B необходимый сервис на несколько минут. Таблица соответствия сервисов, портов группы B и последовательностей поротов группы A имеется и у сервера и у клиента. Таким образом имеем временно открывающийся по запросу сервис причем на известном только нам порту.
+4
Sign up to leave a comment.
Помощь при атаке на сервер?