Помощь при атаке на сервер?

[khizhaster]

> А может арабы просто упёртые
А может это ваши конкуренты за стенкой сидят через 10 проксей. В любом случае собственными мерами, отдел «К» уж точно не будет гоняться за мифическими арабскими хакеровирусами. А своих мер предостаточно, как минимум обеспечить безопасность демона, на который идёт атака, обезопасить пароли, и так далее.

[deleburth]

Нет, что Вы. Это не мифические конкуренты за стенкой. У нас ниша маленькая и специфичная для моего региона. Да и конкурентов нет в общем-то

[zlobin]

попробуй пробить инфу тут 2ip.ru/whois/

[deleburth]

Спасибо, проверил.
Действительно Саудовская Аравия. Даже контакты есть…

[deleburth]

Спасибо.
Данные совпали с теми, что я смог полчить по ссылке от khizhaster'а.
Буду писать жалобу или, так сказать, предупреждение что из в их сетях плодяться хакеры/вирусы. Вдруг из этого выйдет доброе дело и несколькими хостами из ботнета станет меньше.

[ipfw]

Да ладно вам. Ботов которые тупо подбирают связки логин: пароль по ssh полно. Смените порт на нестандартный или в правила файрволла внесите белые адреса c которых можно удаленно логиниться. Ну а если хочеться большей гибкости, можно поиграться с port knoking и authpf.

[niro]

Если перебирают по ssh, то sshguard хорошее решение — банит по ip после нескольких неудачных попытках. Другого способа, кроме как банить их наверное нет.

[UUSER]

Тривиально — перевесить на другой порт.

[deleburth]

Не успел сверху отписать… В моем случае не ssh, а RDP.
Магией фаервола можно, конечно, его переместить на порт повыше, но по-моему это как-то неверно.

[niro]

да, согласен — это самый простой способ, но иногда, например, когда предоставляешь услуги хостинга, то для удобства клиентов порт лучше оставлять стандартным.

[deleburth]

Именно. Просто мы недавно сменили провайдера и еще не привыкли к меньшей защите, чем была раньше.
У прошлого хостера мы были за аппаратным фаерволом, где могли прописать все необходимые нам правила. А тут все сервера как в чистом поле. Мы даже и не ожидали, что нас будут пытаться взломать.
Вот и напоролись на нечто…

[uncia]

Попросите сменить IP адрес, даже лучше просите из другой подсети, у провайдера должно быть несколько подсетей. Если опять начнут мучать с тех же адресов, то цель уже вы, а не просто так на абум. Думайте тогда кто и почему.

[deleburth]

Сменить адрес без последствий уже не выйдет. На него довольно большое число клиентов завязано. Уж не знаю почему, но они предпочитают IP доменным именам наших серверов.
А к желаниям клиентов я предпочитаю относиться с вниманием и пониманием.

[justlest]

Для защиты от брутфорса ssh есть отличная вещь под названием DenyHosts.

[deleburth]

Спасибо. Когда будут брутфорсить линукс-хосты поизучаю. Выглядит интересно.

[Andrey_Rogovsky]

Как правило это делают черви с таких-же зараженных систем
Просто у арабов слабо с безопасностью, вот их и пробили

[deleburth]

Я тоже пришел к этому выводу, когда зашёл на удалённую консоль некоторых атаковавших машин через RDP. Часть выглядит обычными домашними станциями, есть еще несколько серверов, которые активней всего и брутфорсят.
Я то от них оградился — всего пара строк в конфиге фаервола, но какое-то внутреннее чувство говорит, что стоит предупредить администраторов удалённых машин о заражении и сделать таким образом доброе дело всем.
Может я слишком правильный? :)

[Aquahawk]

Когда я держал дома сервачёк с белым айпишником и SSH мордой наружу меня тоже брутили по SSH, и всех брутят, никуда не денешься, защищайтесь сами, и чем уникальнее и изощрённее защита тем лучше.

[deleburth]

Спасибо учту :) Видимо придётся в будущем устроить защиту как на старом хостинге: все сервера за NAT'ом, ssh закрыть везде, а доступ к RDP только через ssh-туннель с одного сервера-гейта.

[Aquahawk]

Я когда-то придумывал себе схему защиты, но так и не реализовал. Не требует наличия сервера гейта. Есть группа открытых портов A (около сотни +- по желанию) по которым идет прослушка но сами данные игнорируются, и группа портов B которые по умолчанию закрыты. Реализуем port Knocking, но не простой, а золотой: стучим в определённую последовательность портов из группы A и сервер, задетектив это открывает на одном из портов группы B необходимый сервис на несколько минут. Таблица соответствия сервисов, портов группы B и последовательностей поротов группы A имеется и у сервера и у клиента. Таким образом имеем временно открывающийся по запросу сервис причем на известном только нам порту.

[deleburth]

Интересная идея! Надо будет попробовать как-нибудь на досуге. Самое то для сервисов, которые не требуют постоянной работы. Попробовать это реализовать в среде windows :)