Jump to content

Уникално силна DDoS атака!


muonplex

Recommended Posts

Ето как е при мен

След 9 дена, може да опита пак. Пробвал съм и със сменяне на портове, ама не ме кефи. Тогава съвсем не се закачат, а паролата си ми е достатъчно дълга.

post-603-0-27671800-1426700296_thumb.png

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

Да, направо си е влязъл с root, а паролите определено не бяха 123 и т.н. Хубаво е, че пак на време хванахме нещата.

Спрях вече външния достъп и толкова. :)

Адрес на коментара
Сподели в други сайтове

Спрях вече външния достъп и толкова. :)

 

Ще се сетиш! Защо изобщо си го позволил? Сега като си направиш една адрес листа, в която да опишеш кои адреси да достъпват рутера ще можеш да спиш спокойно.

Адрес на коментара
Сподели в други сайтове

От атаките се оправихме за момента, но се вижда днес, че дори има успешен вход в ssh от този скапан бот, който е налазил нещата. Спряхме окончателно външния достъп към ssh.

 

@emc1000, основния проблем бяха атаките, а това с ssh го забелязах случайно.

 

Хубав ден на всички. :)

 

@h3ll, кажи приятел ? :)

 

 

 

 

Говорил съм много пъти за временната имплементация на блекхол рут спрямо блокиране на портове или хостове в тейбълс. Просто за момента няма алтернатива като производителност - спестява се от шейпване и рутиране.  Остава проблема с блокирането, когато работим с /32 и тук пак ще потрябват 2 машини за блокиране.

Адрес на коментара
Сподели в други сайтове

Добре де, аз ли съм тъп или да си оставиш отворени портове за ссх достъп, да оставиш руут потребителя със парола която може да се брутфорсне за 2 дни и 3000 опита то не е ли същото като да заключиш къщата си само че да оставиш ключовете на бравата и те да са от онези старите от 1 до 6

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

Единствената причина, заради която оставих външен достъп до ssh беше, за да мога да влизам ако се наложи нещо, когато ме няма на разположение. :)

Адрес на коментара
Сподели в други сайтове

що не смени ключа/ ключаря (руут-пасс) и надписа на вратата (порт) и пак си остави вариант за влизане. Това са елементарни неща за защита които не смятам че който и да е системен администратор не трябва да допуска - ка моли с опит

Редактирано от Mupo neTkoB

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

Ок, приемаме че са придобили достъп.

Направихте ли проверка какво е правено с history и т.н.? 

Проверихте ли системата за злонамерин софтуер ?

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Адрес на коментара
Сподели в други сайтове

Щом е CentOS с едно Livecd е добре да се направи rpm check signature. Да се провери initramfs. Да се преинсталира glibc и sshd :) Може sshd демона да е подменен.

Добре е да си следите машините поне с rkhunter .

Адрес на коментара
Сподели в други сайтове

Еми първото нещо което трябва да се направи след като се пусне ssh сървъра е да се забрани root както и да се смени порта и да се ограничи броят на опитите. Каза уеб сървър има. Там вече ако има флууд по удп проблема е по-сложен.

Ако се сложи и сертификат още по-добре.

Редактирано от bezimenen
Адрес на коментара
Сподели в други сайтове

  • Администратор

Еми първото нещо което трябва да се направи след като се пусне ssh сървъра е да се забрани root както и да се смени порта и да се ограничи броят на опитите. Каза уеб сървър има. Там вече ако има флууд по удп проблема е по-сложен.

Ако се сложи и сертификат още по-добре.

само в редхатоподобията руут е дефаултен потребител

от което и елементарната задача на хакера да търси само паролата

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

само в редхатоподобията руут е дефаултен потребител

от което и елементарната задача на хакера да търси само паролата

В по-новите версии, ако решиш може и да не е root, но това е отделен въпрос.. :)

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.