We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
случай: взлом сервера, предположения, советы
Re: случай: взлом сервера, предположения, советы
Брутфорс и целенаправленный взлом из-за проблем безопасности немого разные вещи.
При брутфорсе цель конечно подобрать пароль есть, но при надежном пароле любой брутфорс, сколько бы он не продолжался - бесполезен.
При брутфорсе цель конечно подобрать пароль есть, но при надежном пароле любой брутфорс, сколько бы он не продолжался - бесполезен.
Re: случай: взлом сервера, предположения, советы
китайцы брутфорсят постоянно, я на это уже даже внимания не обращаю. file2ban кажись банит при нескольких неудачных попытках на 10мин. тут я думаю нормальный пароль должен помочь. поставьте хороший пароль, и примите брутфорс как данность :)nebesniy wrote:Прямо сейчас (сегодня и вчера) ломится адский китайский бот, из-за него четыре раза хостинг на openVZ отключал мне сервер и грозил баном. С поддержкой вроде решил. Судорожно увеличиваю качество пароля от рута и на всякий случай админа. Это, господа, какой-то кошмар.
Китайский брутфорсShowCode: Select all
Jun 25 23:41:15 nebesniy sshd[13711]: message repeated 2 times: [ Failed password for root from 221.194.44.218 port 39147 ssh2] Jun 25 23:41:15 nebesniy sshd[13711]: Received disconnect from 221.194.44.218: 11: [preauth] Jun 25 23:41:15 nebesniy sshd[13711]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.44.218 user=root Jun 25 23:41:17 nebesniy sshd[13821]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.44.218 user=root Jun 25 23:41:19 nebesniy sshd[13821]: Failed password for root from 221.194.44.218 port 50076 ssh2 Jun 25 23:41:25 nebesniy sshd[13821]: Received disconnect from 221.194.44.218: 11: [preauth] Jun 25 23:41:25 nebesniy sshd[13821]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.44.218 user=root Jun 25 23:41:27 nebesniy sshd[13823]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.44.218 user=root Jun 25 23:41:29 nebesniy sshd[13823]: Failed password for root from 221.194.44.218 port 57534 ssh2 Jun 25 23:41:34 nebesniy sshd[13823]: message repeated 2 times: [ Failed password for root from 221.194.44.218 port 57534 ssh2] Jun 25 23:41:34 nebesniy sshd[13823]: Received disconnect from 221.194.44.218: 11: [preauth] Jun 25 23:41:34 nebesniy sshd[13823]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.44.218 user=root
Как временное решение, пока защитил так:Китайский брутфорс 2ShowCode: Select all
Jun 25 23:30:55 nebesniy sshd[12574]: Failed password for root from 116.31.116.28 port 26295 ssh2 Jun 25 23:31:03 nebesniy sshd[12574]: message repeated 2 times: [ Failed password for root from 116.31.116.28 port 26295 ssh2] Jun 25 23:31:03 nebesniy sshd[12574]: Received disconnect from 116.31.116.28: 11: [preauth] Jun 25 23:31:03 nebesniy sshd[12574]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28 user=root Jun 25 23:31:12 nebesniy sshd[12576]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28 user=root Jun 25 23:31:14 nebesniy sshd[12576]: Failed password for root from 116.31.116.28 port 13301 ssh2 Jun 25 23:31:21 nebesniy sshd[12576]: message repeated 2 times: [ Failed password for root from 116.31.116.28 port 13301 ssh2] Jun 25 23:31:21 nebesniy sshd[12576]: Received disconnect from 116.31.116.28: 11: [preauth] Jun 25 23:31:21 nebesniy sshd[12576]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28 user=root Jun 25 23:31:38 nebesniy sshd[12599]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28 user=root Jun 25 23:31:40 nebesniy sshd[12599]: Failed password for root from 116.31.116.28 port 41844 ssh2 Jun 25 23:31:40 nebesniy sshd[12578]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28 user=root Jun 25 23:31:42 nebesniy sshd[12578]: Failed password for root from 116.31.116.28 port 60805 ssh2 Jun 25 23:31:42 nebesniy sshd[12578]: Received disconnect from 116.31.116.28: 11: [preauth] Jun 25 23:31:44 nebesniy sshd[12599]: message repeated 2 times: [ Failed password for root from 116.31.116.28 port 41844 ssh2] Jun 25 23:31:46 nebesniy sshd[12599]: Received disconnect from 116.31.116.28: 11: [preauth] Jun 25 23:31:46 nebesniy sshd[12599]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28 user=root Jun 25 23:32:56 nebesniy sudo: pam_env(sudo:session): Unable to open env file: /etc/default/locale: No such file or directory Jun 25 23:32:56 nebesniy sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
- Пароль 50 символов на root и admin
- Правило iptables на бан IP спустя 4 неудачных попытки логина за один час:
Code: Select all
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP
Re: случай: взлом сервера, предположения, советы
Отключить порт или заблокировать ssh временно.
Re: случай: взлом сервера, предположения, советы
Я понимаю, что брутфорс и взлом разные вещи, просто подозрительно, что именно сейчас началось это. Fail2Ban начал валить сервер из-за превышения нагрузки и всё такое.
Re: случай: взлом сервера, предположения, советы
Поверьте это никак не взаимосвязано
Re: случай: взлом сервера, предположения, советы
imperio, на чистом сервере достаточно остановить (до выхода обновления) саму панель vesta (vesta-nginx/vesta-php), я все правильно понимаю?imperio wrote:Поверьте это никак не взаимосвязано
Re: случай: взлом сервера, предположения, советы
Я нормально захожу в панель и на сервер через шелл. Как проверить меня взломали или нет ?
Re: случай: взлом сервера, предположения, советы
Чтобы не было никаких брутфорсов первым делом после установки ОС надо менять порт ssh и порт весты тоже, и большинство таких проблем уйдут сами собой.
Меня весьма удивляет наивность людей, которые вывешивают в мир ssh на дефолтном порту, да ещё и панели всякие на всех доменах на севере, и phpmyadmin на всех доменах тоже в топку.
Меня весьма удивляет наивность людей, которые вывешивают в мир ssh на дефолтном порту, да ещё и панели всякие на всех доменах на севере, и phpmyadmin на всех доменах тоже в топку.
Re: случай: взлом сервера, предположения, советы
Это не умения искать или это лень в частности.
Port knocking — это сетевой защитный механизм, действие которого основано на следующем принципе: сетевой порт являются по-умолчанию закрытыми, но до тех пор, пока на него не поступит заранее определённая последовательность пакетов данных, которая «заставит» порт открыться. Например, вы можете сделать «невидимым» для внешнего мира порт SSH, и открытым только для тех, кто знает нужную последовательность.
https://habrahabr.ru/post/194412/
http://anosov.me/2011/08/port-knocking/
Смена порта, закрытие не используемых портов. (22 порт закрыт редко захожу, в основном через панель, * не что не мешает открыть вовремя)
Fail2ban "подкрутить" можно уменьшить число попыток, увеличить бан, время.
Подправить правило в iptables.
Сделать виде плагина и платно втюхивать для кривых рук.
Port knocking — это сетевой защитный механизм, действие которого основано на следующем принципе: сетевой порт являются по-умолчанию закрытыми, но до тех пор, пока на него не поступит заранее определённая последовательность пакетов данных, которая «заставит» порт открыться. Например, вы можете сделать «невидимым» для внешнего мира порт SSH, и открытым только для тех, кто знает нужную последовательность.
https://habrahabr.ru/post/194412/
http://anosov.me/2011/08/port-knocking/
Смена порта, закрытие не используемых портов. (22 порт закрыт редко захожу, в основном через панель, * не что не мешает открыть вовремя)
Fail2ban "подкрутить" можно уменьшить число попыток, увеличить бан, время.
Подправить правило в iptables.
Сделать виде плагина и платно втюхивать для кривых рук.
Re: случай: взлом сервера, предположения, советы
Иди к себе на свой хостинг и там втюхивай, для своих кривых рук. Нашелся умник...Mr.Erbutw wrote:Сделать виде плагина и платно втюхивать для кривых рук.