Vesta Control Panel - Forum

Posted: **Sat Jun 25, 2016 9:56 pm**

Брутфорс и целенаправленный взлом из-за проблем безопасности немого разные вещи.
При брутфорсе цель конечно подобрать пароль есть, но при надежном пароле любой брутфорс, сколько бы он не продолжался - бесполезен.

Posted: **Sun Jun 26, 2016 8:27 am**

nebesniy wrote:Прямо сейчас (сегодня и вчера) ломится адский китайский бот, из-за него четыре раза хостинг на openVZ отключал мне сервер и грозил баном. С поддержкой вроде решил. Судорожно увеличиваю качество пароля от рута и на всякий случай админа. Это, господа, какой-то кошмар.

Китайский брутфорсShow

Code: Select all

Jun 25 23:41:15 nebesniy sshd[13711]: message repeated 2 times: [ Failed password for root from 221.194.44.218 port 39147 ssh2]
Jun 25 23:41:15 nebesniy sshd[13711]: Received disconnect from 221.194.44.218: 11:  [preauth]
Jun 25 23:41:15 nebesniy sshd[13711]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.44.218  user=root
Jun 25 23:41:17 nebesniy sshd[13821]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.44.218  user=root
Jun 25 23:41:19 nebesniy sshd[13821]: Failed password for root from 221.194.44.218 port 50076 ssh2
Jun 25 23:41:25 nebesniy sshd[13821]: Received disconnect from 221.194.44.218: 11:  [preauth]
Jun 25 23:41:25 nebesniy sshd[13821]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.44.218  user=root
Jun 25 23:41:27 nebesniy sshd[13823]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.44.218  user=root
Jun 25 23:41:29 nebesniy sshd[13823]: Failed password for root from 221.194.44.218 port 57534 ssh2
Jun 25 23:41:34 nebesniy sshd[13823]: message repeated 2 times: [ Failed password for root from 221.194.44.218 port 57534 ssh2]
Jun 25 23:41:34 nebesniy sshd[13823]: Received disconnect from 221.194.44.218: 11:  [preauth]
Jun 25 23:41:34 nebesniy sshd[13823]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.44.218  user=root

Китайский брутфорс 2Show

Code: Select all

Jun 25 23:30:55 nebesniy sshd[12574]: Failed password for root from 116.31.116.28 port 26295 ssh2
Jun 25 23:31:03 nebesniy sshd[12574]: message repeated 2 times: [ Failed password for root from 116.31.116.28 port 26295 ssh2]
Jun 25 23:31:03 nebesniy sshd[12574]: Received disconnect from 116.31.116.28: 11:  [preauth]
Jun 25 23:31:03 nebesniy sshd[12574]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28  user=root
Jun 25 23:31:12 nebesniy sshd[12576]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28  user=root
Jun 25 23:31:14 nebesniy sshd[12576]: Failed password for root from 116.31.116.28 port 13301 ssh2
Jun 25 23:31:21 nebesniy sshd[12576]: message repeated 2 times: [ Failed password for root from 116.31.116.28 port 13301 ssh2]
Jun 25 23:31:21 nebesniy sshd[12576]: Received disconnect from 116.31.116.28: 11:  [preauth]
Jun 25 23:31:21 nebesniy sshd[12576]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28  user=root
Jun 25 23:31:38 nebesniy sshd[12599]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28  user=root
Jun 25 23:31:40 nebesniy sshd[12599]: Failed password for root from 116.31.116.28 port 41844 ssh2
Jun 25 23:31:40 nebesniy sshd[12578]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28  user=root
Jun 25 23:31:42 nebesniy sshd[12578]: Failed password for root from 116.31.116.28 port 60805 ssh2
Jun 25 23:31:42 nebesniy sshd[12578]: Received disconnect from 116.31.116.28: 11:  [preauth]
Jun 25 23:31:44 nebesniy sshd[12599]: message repeated 2 times: [ Failed password for root from 116.31.116.28 port 41844 ssh2]
Jun 25 23:31:46 nebesniy sshd[12599]: Received disconnect from 116.31.116.28: 11:  [preauth]
Jun 25 23:31:46 nebesniy sshd[12599]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.28  user=root
Jun 25 23:32:56 nebesniy sudo: pam_env(sudo:session): Unable to open env file: /etc/default/locale: No such file or directory
Jun 25 23:32:56 nebesniy sudo: pam_unix(sudo:session): session opened for user root by (uid=0)

Как временное решение, пока защитил так:

Пароль 50 символов на root и admin

Правило iptables на бан IP спустя 4 неудачных попытки логина за один час:

Code: Select all

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP

китайцы брутфорсят постоянно, я на это уже даже внимания не обращаю. file2ban кажись банит при нескольких неудачных попытках на 10мин. тут я думаю нормальный пароль должен помочь. поставьте хороший пароль, и примите брутфорс как данность :)

Posted: **Sun Jun 26, 2016 8:59 am**

Отключить порт или заблокировать ssh временно.

Posted: **Sun Jun 26, 2016 10:31 am**

Я понимаю, что брутфорс и взлом разные вещи, просто подозрительно, что именно сейчас началось это. Fail2Ban начал валить сервер из-за превышения нагрузки и всё такое.

Posted: **Sun Jun 26, 2016 11:09 am**

Поверьте это никак не взаимосвязано

Posted: **Sun Jun 26, 2016 2:05 pm**

imperio wrote:Поверьте это никак не взаимосвязано

imperio, на чистом сервере достаточно остановить (до выхода обновления) саму панель vesta (vesta-nginx/vesta-php), я все правильно понимаю?

Posted: **Sun Jun 26, 2016 5:33 pm**

Я нормально захожу в панель и на сервер через шелл. Как проверить меня взломали или нет ?

Posted: **Sun Jun 26, 2016 11:46 pm**

Чтобы не было никаких брутфорсов первым делом после установки ОС надо менять порт ssh и порт весты тоже, и большинство таких проблем уйдут сами собой.

Меня весьма удивляет наивность людей, которые вывешивают в мир ssh на дефолтном порту, да ещё и панели всякие на всех доменах на севере, и phpmyadmin на всех доменах тоже в топку.

Posted: **Mon Jun 27, 2016 1:35 am**

Это не умения искать или это лень в частности.
Port knocking — это сетевой защитный механизм, действие которого основано на следующем принципе: сетевой порт являются по-умолчанию закрытыми, но до тех пор, пока на него не поступит заранее определённая последовательность пакетов данных, которая «заставит» порт открыться. Например, вы можете сделать «невидимым» для внешнего мира порт SSH, и открытым только для тех, кто знает нужную последовательность.
https://habrahabr.ru/post/194412/
http://anosov.me/2011/08/port-knocking/

Смена порта, закрытие не используемых портов. (22 порт закрыт редко захожу, в основном через панель, * не что не мешает открыть вовремя)
Fail2ban "подкрутить" можно уменьшить число попыток, увеличить бан, время.
Подправить правило в iptables.

Сделать виде плагина и платно втюхивать для кривых рук.

Posted: **Mon Jun 27, 2016 7:57 am**

Mr.Erbutw wrote:Сделать виде плагина и платно втюхивать для кривых рук.

Иди к себе на свой хостинг и там втюхивай, для своих кривых рук. Нашелся умник...

Vesta Control Panel - Forum

случай: взлом сервера, предположения, советы

Re: случай: взлом сервера, предположения, советы

Re: случай: взлом сервера, предположения, советы

Re: случай: взлом сервера, предположения, советы

Re: случай: взлом сервера, предположения, советы

Re: случай: взлом сервера, предположения, советы

Re: случай: взлом сервера, предположения, советы

Re: случай: взлом сервера, предположения, советы

Re: случай: взлом сервера, предположения, советы

Re: случай: взлом сервера, предположения, советы

Re: случай: взлом сервера, предположения, советы