Jump to content
muonplex

Уникално силна DDoS атака!

Recommended Posts

emc1000

 

 

Edit: Сменяйте портове и каквото искате, а ето Ви резултата:

 

Last failed login: Wed Mar 18 07:00:24 EET 2015 from 115.239.228.35 on ssh:notty

There were 32 failed login attempts since the last successful login.

Last login: Wed Mar 18 06:20:01 2015 from 211.233.8.36

 

 

 

Уточни, от какво точно се оплакваш.

Защото аз останах с впечатление, че е от опити за логин на даден порт, което е доста различно от ddos атака.

 

Всекидневни опити има и при мен, даже все по-рядко ги забелязвам, дори съм на 2200 порт.

Редактирано от emc1000

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Mupo neTkoB

Всекидневни опити има и при мен, даже все по-рядко ги забелязвам, дори съм на 2200 порт.

Даже вече не логвам заявките дропвани от файеруоу-а

  • Харесай 1

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

От атаките се оправихме за момента, но се вижда днес, че дори има успешен вход в ssh от този скапан бот, който е налазил нещата. Спряхме окончателно външния достъп към ssh.

 

@emc1000, основния проблем бяха атаките, а това с ssh го забелязах случайно.

 

Хубав ден на всички. :)

 

@h3ll, кажи приятел ? :)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
sairos

Колега от чисто любопитство с root ли е успял да се логне ?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
emc1000

Това, което показваш е опит да влизане, не, че бота е влязал във сървъра. ::)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Mihail Peltekov

Бе точно са си влезли ...

 

Last login: Wed Mar 18 06:20:01 2015 from 211.233.8.36

Кратка справка показва

Моля, влезте или се регистрирайте, за да видите този link.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
emc1000

Ако паролите са му 123 или abc, колко му е? :lol:

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
dabadaba

Ето как е при мен

След 9 дена, може да опита пак. Пробвал съм и със сменяне на портове, ама не ме кефи. Тогава съвсем не се закачат, а паролата си ми е достатъчно дълга.

Моля, влезте или се регистрирайте, за да видите този link.

  • Харесай 1

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

Да, направо си е влязъл с root, а паролите определено не бяха 123 и т.н. Хубаво е, че пак на време хванахме нещата.

Спрях вече външния достъп и толкова. :)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Tsunami

Спрях вече външния достъп и толкова. :)

 

Ще се сетиш! Защо изобщо си го позволил? Сега като си направиш една адрес листа, в която да опишеш кои адреси да достъпват рутера ще можеш да спиш спокойно.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
h3ll

От атаките се оправихме за момента, но се вижда днес, че дори има успешен вход в ssh от този скапан бот, който е налазил нещата. Спряхме окончателно външния достъп към ssh.

 

@emc1000, основния проблем бяха атаките, а това с ssh го забелязах случайно.

 

Хубав ден на всички. :)

 

@h3ll, кажи приятел ? :)

 

 

 

 

Говорил съм много пъти за временната имплементация на блекхол рут спрямо блокиране на портове или хостове в тейбълс. Просто за момента няма алтернатива като производителност - спестява се от шейпване и рутиране.  Остава проблема с блокирането, когато работим с /32 и тук пак ще потрябват 2 машини за блокиране.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Mupo neTkoB

Добре де, аз ли съм тъп или да си оставиш отворени портове за ссх достъп, да оставиш руут потребителя със парола която може да се брутфорсне за 2 дни и 3000 опита то не е ли същото като да заключиш къщата си само че да оставиш ключовете на бравата и те да са от онези старите от 1 до 6

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

Единствената причина, заради която оставих външен достъп до ssh беше, за да мога да влизам ако се наложи нещо, когато ме няма на разположение. :)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Mupo neTkoB

що не смени ключа/ ключаря (руут-пасс) и надписа на вратата (порт) и пак си остави вариант за влизане. Това са елементарни неща за защита които не смятам че който и да е системен администратор не трябва да допуска - ка моли с опит

Редактирано от Mupo neTkoB

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
sairos

Ок, приемаме че са придобили достъп.

Направихте ли проверка какво е правено с history и т.н.? 

Проверихте ли системата за злонамерин софтуер ?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Mihail Peltekov

Щом е CentOS с едно Livecd е добре да се направи rpm check signature. Да се провери initramfs. Да се преинсталира glibc и sshd :) Може sshd демона да е подменен.

Добре е да си следите машините поне с rkhunter .

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
bezimenen

Еми първото нещо което трябва да се направи след като се пусне ssh сървъра е да се забрани root както и да се смени порта и да се ограничи броят на опитите. Каза уеб сървър има. Там вече ако има флууд по удп проблема е по-сложен.

Ако се сложи и сертификат още по-добре.

Редактирано от bezimenen

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
111111

Еми първото нещо което трябва да се направи след като се пусне ssh сървъра е да се забрани root както и да се смени порта и да се ограничи броят на опитите. Каза уеб сървър има. Там вече ако има флууд по удп проблема е по-сложен.

Ако се сложи и сертификат още по-добре.

само в редхатоподобията руут е дефаултен потребител

от което и елементарната задача на хакера да търси само паролата

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

само в редхатоподобията руут е дефаултен потребител

от което и елементарната задача на хакера да търси само паролата

В по-новите версии, ако решиш може и да не е root, но това е отделен въпрос.. :)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
h3ll

За ддос ли говорим или за брут форс? Май няма разлика?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

За ддос ли говорим или за брут форс? Май няма разлика?

 

Първо беше за едното но впоследствие започнахме и за двете :)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
toniON

Имам същия проблем и не мога да се отърва от атаки. Обикновено е от 6 сутринта до 13, 30. Логовете на 2

Моля, влезте или се регистрирайте, за да видите този attachment.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Щирлиц

Ама кой още ползва телнет? Блокирай порт 23. И най-добре започни от тук:

Моля, влезте или се регистрирайте, за да видите този link.

Редактирано от Щирлиц
допълнен

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
MiPSus

Преди 1989 година Шкумбата е известен като най-големия имитатор на гласа на Тодор Живков. Дори имал и срещи с него. Навремето бил на сватба в грандхотел “София”. Оказало се, че кум е самият Живков. Гостите били цялото Политбюро.’

Започнал с вицове, но никой не го слушал. Тогава решил да рискува и да имитира Първия: “Скъпи другарки и другари. Да честитим на младото семейство…” Изведнъж залата замръзнала. И Живков застинал с вилица и нож в ръка и започнал неистово да се смее, а след него и цялата зала.

Тогава Тодор Живков го извикал и го попитал: “Вярно ли е, че си инженер?”. Шкумбата кимнал утвърдително. “Отново се доказва, че в България никой не си гледа работата”, казал му Тато!

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

By using this site, you agree to our Terms of Use.