توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : مشکل خسته کننده ی A brute force attack
asrhosting
January 24th, 2014, 19:21
سلام .
مشکلی که راه های مختلفی براش رفتم ولی بی فایده بوده ...
A brute force attack has been detected in one of your service logs.
IP 127.0.0.1 has 7752 failed login attempts: dovecot1=556&pure-ftpd1=7196
IP 87.138.136.183 has 294 failed login attempts: exim2=294
User iman has 2923 failed login attempts: pure-ftpd1=2923
Check 'Admin Level -> Brute Force Monitor' for more information
Detecting and preventing brute force login attacks (http://help.directadmin.com/item.php?id=404)
و هنوز نمی دونم چی کار کنم .
یکی یوزر iman که اصلا وجود نداره .
یکی آی پی 127.0.0.1 . و دیگری آی پی هایی از کشور های متفاوت !
دوستان راه حلی ندارن ؟
iNicz.Com
January 24th, 2014, 19:51
سلام .
مشکلی که راه های مختلفی براش رفتم ولی بی فایده بوده ...
و هنوز نمی دونم چی کار کنم .
یکی یوزر iman که اصلا وجود نداره .
یکی آی پی 127.0.0.1 . و دیگری آی پی هایی از کشور های متفاوت !
دوستان راه حلی ندارن ؟
با کانفیگ های درست امنیتی فایروال لینوکس قابل حل هستش . محتمل پنلتون هم دایرکت ادمین هستش
asrhosting
January 24th, 2014, 21:13
با کانفیگ های درست امنیتی فایروال لینوکس قابل حل هستش . محتمل پنلتون هم دایرکت ادمین هستش
بله .. دایرکت ادمینه ....
ولی راه حل ؟
( فایروال خود لینوکس و csf رو تست کردم مشکل حل نشد )
mhiizadi
January 24th, 2014, 21:40
پورت ssh رو عوض کنید.
اگرمیخاید کلا این چنین پیام هایی دریافت نکنید :
غیرفعال کردن دریافت پیغام های brute force | ServerSetup (http://www.serversetup.ir/directadmin/2013/12/%d8%ba%db%8c%d8%b1%d9%81%d8%b9%d8%a7%d9%84-%da%a9%d8%b1%d8%af%d9%86-%d8%af%d8%b1%db%8c%d8%a7%d9%81%d8%aa-%d9%be%db%8c%d8%ba%d8%a7%d9%85-%d9%87%d8%a7%db%8c-brute-force/)
asrhosting
January 24th, 2014, 21:42
پورت ssh رو عوض کنید.
اگرمیخاید کلا این چنین پیام هایی دریافت نکنید :
غیرفعال کردن دریافت پیغام های brute force | ServerSetup (http://www.serversetup.ir/directadmin/2013/12/%d8%ba%db%8c%d8%b1%d9%81%d8%b9%d8%a7%d9%84-%da%a9%d8%b1%d8%af%d9%86-%d8%af%d8%b1%db%8c%d8%a7%d9%81%d8%aa-%d9%be%db%8c%d8%ba%d8%a7%d9%85-%d9%87%d8%a7%db%8c-brute-force/)
این راه حل نیست ... فقط عوض کردن صورت مسئله هست .
iNicz.Com
January 24th, 2014, 21:45
این راه حل نیست ... فقط عوض کردن صورت مسئله هست .
دقیقا .
در صورت تمایل کانفیگ کامل سرور انجام میشه
asrhosting
January 24th, 2014, 21:51
دقیقا .
در صورت تمایل کانفیگ کامل سرور انجام میشه
آقا هادی این کانفینگ هست جلوخیلی موارد گرفته میشه به غیر این یه مورد ...
نیاز به راهنمایی دارم نه اینکه کسی کانفینگ کنه ...
iNicz.Com
January 24th, 2014, 23:11
آقا هادی این کانفینگ هست جلوخیلی موارد گرفته میشه به غیر این یه مورد ...
نیاز به راهنمایی دارم نه اینکه کسی کانفینگ کنه ...
عزیز میدونم شما چی میگی متاسفانه به همین راحتی نمیشه با جند تا راهنمایی بتونید جلوی این ها و امثال این رو گرفت .سرور شما زیاد مانفیگ از لحاظ امنیتی نشده و کار داره.
secure_host
January 25th, 2014, 01:04
با سلام
برای جلوگیری از این مشکل
۱-باید قابلیت logrotation در apache و dovecot و roundcube و ftp و یا هر سرویسی که bruteforce در آن انجام میگیرد - فعال باشد.
۲-حل این مشکل فقط با خواندن لاگ فایل ها میسر می گردد. با خواندن لاگ ها می توانید آی پی شخص خاطی را پیدا کنید و block نمایید.
۳- ویا در فایروال اگر csf دارد قابلیت syslog_check را فعال نمایید.
۴- همچنین بهتر است برای سرویس dovecot در فایروال رول مناسبی تعریف نمایید . زیرا به صورت پیش فرض این سرویس در فایروال monitor نمی شود.
با تشکر
dertgtr
January 25th, 2014, 02:10
بله .. دایرکت ادمینه ....
ولی راه حل ؟
( فایروال خود لینوکس و csf رو تست کردم مشکل حل نشد )
آقا علیرضا فکر کنم یکی از دوستان همین انجمن داره اتک میکنه به سرور شما . تاجاییکه یادم هست شما با این مشکل اتک به احتمال زیاد از دوستان همین انجمن شاکی بودید درسته ؟
nimait70
January 25th, 2014, 09:16
دوست عزیز پورت ssh رو اگه تغییر بدید تا حد زیادی از این attack ها جلوگیری میکنید...وقتی هم که تک و توک یکی از این اتک ها هر چند هفته یک بار انجام شد ip اون رو بلاک کنید...
namesis R
January 25th, 2014, 09:31
دوست عزیز پورت ssh رو اگه تغییر بدید تا حد زیادی از این attack ها جلوگیری میکنید...وقتی هم که تک و توک یکی از این اتک ها هر چند هفته یک بار انجام شد ip اون رو بلاک کنید...
تا حدودی میگیره ولی قابل حل به صورت کامل نیست ، منتظر راه حل های دوستان هستیم..
asrhosting
January 30th, 2014, 20:50
سلام دوستان
در رابطه با مشکل Brute Force در کنترل پنل دایرکت ادمین من نکات زیر را پیشنهاد میکنم :
۱.پورت ورود دایرکت ادمین و ssh را تغییر بدید.
۲.تعداد دفعات خیلی کمی برای بلاک شدن هر آیپی تعیین کنید مثلا اگه ۳ بار اشتباه زد بلاک بشه.
۳.اگر از یه رنج آیپی که برای ایران هم نیست خیلی حمله دارید دسترسی اون رنج آیپی را به صفحه ورود ببندید.
۴.هرگز کل فایل لیست آیپی های بلاک شده را به دلیل اینکه آیپی خودتون هم اشتباهی بلاک شد پاک نکنید.
در آخر هم پیشنهاد میکنم از یه کپچا یا کد امنیتی حتی شده خیلی ساده هم در صفحه لاگین دایرکت ادمین استفاده کنید.
من خودم یه سوال امنیتی برای صفحه ورود دایرکت ادمین با دو تم پیش فرض و کپری نوشتم آپلود کردم دوستانی که خواستن استفاده کنن.
فقط دو نکته درباره این سوال امنیتی نوشته شده من :
۱.تفریق کوچکتر به بزرگتر را باید با منفی جواب داد.
۲.تقسیم های غیر منطقی که باقی مانده میارن هم باید خارج از قسمت را بدون باقی مانده بنویسید برای مثال ۸ تقسیم بر ۵ که خارج از قسمت میشه ۱ و باقی مانده ۳ اما در فیلد سوال امنیتی فقط می نویسیم ۱.
این دو نکته هم از عمد برای افزایش امنیت بهش اضافه کردم.یکی از اعداد هم هر دفعه به صورت تصادفی متنی می نویسه اون یکی را عددی.
نکته دیگه اینکه فایل zip ضمیمه شده حاوی دو پوشه Default و Capri است که خب از اسمش معلومه چیه اما داخل هر کدوم دو فایل loginFull.html و loginMinfy.html هست که خب اینم از اسمش معلومه اما اگر کسی نمی دونه باید بگم که چون سوال امنیتی نوشته شده بنده با جاوا اسکریپت کار میکنه برای شما یه نسخه کامل با کد جاوا اسکریپت کاملش در فایل loginFull.html و یه نسخه Minify شده که هم باعث لود سریعتر و هم حجم کمتر صفحه میشه برای قرار دادن مستقیم در سرور در فایل loginMinify.html گذاشتم.
آموزش نصب این فایل لاگین هم اینطوریه که فقط با نرم افزاری مثل WinSCP به ssh وصل میشید بعد این فایل را در آدرس /usr/local/directadmin/data/templates/login.html جایگزین فایل login.html اصلی میکنید.
می تونید قبلش از فایل اصلی هم یه بکاپ بگیرید که اگر خواستید داشته باشید چون اگر خوشتون نیامد وظیفه من نیست که بیام فایل اصلی را به شما بدم.
اگر خوشتون هم آمد که امیدوارم حداقل با یه کلیک روی دکمه تشکر ما را هم خوشحال کنید.
18219
سلام .
با تشکر از شما .
پورت ها عوض شدن ولی مشکل همچنان پا بر جاست ...
از کد امنیتی استفاده کردم روی صفحات لوگین
asrhosting
January 30th, 2014, 20:52
آقا علیرضا فکر کنم یکی از دوستان همین انجمن داره اتک میکنه به سرور شما . تاجاییکه یادم هست شما با این مشکل اتک به احتمال زیاد از دوستان همین انجمن شاکی بودید درسته ؟
کاری ندارم کی داره همچین کاری می کنه .
می خوام فقط بشه جلوشو رو گرفت !.
p0lice
January 31st, 2014, 09:28
کاری ندارم کی داره همچین کاری می کنه .
می خوام فقط بشه جلوشو رو گرفت !.
اقا رضا من دو ساله دونبالتون میگردم مشکلمو اینجا مطرح کنم یا چجوری میتونم باهاتون ارتباط بر قرار کنم بگید :)
asrhosting
February 7th, 2014, 12:59
اقا رضا من دو ساله دونبالتون میگردم مشکلمو اینجا مطرح کنم یا چجوری میتونم باهاتون ارتباط بر قرار کنم بگید :)
سلام .
سربازم عزیز . یهتون پیام خصوصی دادم .
موفق باشید .
-------------------->
دوستان نظر دیگه ای برا رفع مشکل ندارن ؟
reza21biologist
March 9th, 2015, 15:48
لینک های زیر می تواند مفید باشد:
http://help.directadmin.com/item.php?id=404
https://www.plugins-da.net/info/how-to-block-ips-with-csf-directadmin-bfm
arazit
March 10th, 2015, 20:57
سلام
ما به دایرکت ادمین اطلاع دادیم و آنها برای این مورد امکانات جدید و خوبی را در آخر صفحه Massage system و Administrator Settings قرار داده است.
می توانید چک نمایید.
موفق باشید
p30pdf
March 20th, 2015, 14:03
به شخصه پدرم در اومده بود از کانال همین بروت فورس همش ایمیل می اومد واسم همه پورت ها رو تغییر دادم بازم می اومد ! و فقط گیر داشتم روی تغییر پورت پیشفرض ftp که وقتی اونم تغییر دادم بروت فورسم 0 شد ! شما هم پورت ftp رو تغییر بدین ممکنه مشکلتون حل بشه و اینکه میگید تغییر پورت یعنی تغییر صورت مسئله ... همین تغییرات تو پورت ها و یه سری ریزه کاری دیگه میشه کانفیگ دیگه پس کانفیگ به چی میگن فکر می کنید ؟ البته پیش اساتید فن جسارت نباشه گستاخی نمی کنم با تشکر
ارادتمند : مسلم فلاح نیت
jahromweb
March 20th, 2015, 14:12
به شخصه پدرم در اومده بود از کانال همین بروت فورس همش ایمیل می اومد واسم همه پورت ها رو تغییر دادم بازم می اومد ! و فقط گیر داشتم روی تغییر پورت پیشفرض ftp که وقتی اونم تغییر دادم بروت فورسم 0 شد ! شما هم پورت ftp رو تغییر بدین ممکنه مشکلتون حل بشه و اینکه میگید تغییر پورت یعنی تغییر صورت مسئله ... همین تغییرات تو پورت ها و یه سری ریزه کاری دیگه میشه کانفیگ دیگه پس کانفیگ به چی میگن فکر می کنید ؟ البته پیش اساتید فن جسارت نباشه گستاخی نمی کنم با تشکر
ارادتمند : مسلم فلاح نیت
سلام
این کار شاید برای شما پایان مشکلات بوده ولی برای ما شروع مشکلات هست
شما سرورت تک سایت هست
ولی همکارا این طور نیستن
موفق باشید
p30pdf
March 20th, 2015, 23:26
خب عزیز دلم مهدی جان این مورد که اصلا خللی در سرور و سایت های روی سرور ایجاد نمی کنه ! کافیه یه اطلاعیه داده بشه یک هفته قبل از تغییر پورت اف تی پی یه اطلاعیه داده بشه که فولان روز فولان ساعت داریم پورت اف تی پی رو به فولان پورت تغییر میدیم در ضمن چیزی که الان نا خودآگاه به ذهنم میرسه اینه که فکر می کنم منظور شما اینه که در سرور های اشتراکی تعداد بالا باز هم امکان بروت فورس هست چون بالاخره شما باید پورت اف تی پی رو به کاربر بگید ! و کاربر هم میتونه پورت رو به هر کسی بگه یا اصلا خودش اتکر باشه ! پس اینجا بازم این راه راه حل مناسبی نیست ! یه راه دیگه هم هست که تعداد لاگین اگر بیشتر از 3 مورد بود آی پی طرف بلاک بشه باز میشه با کرکر ها و **** و... دور زد این رو هم اما بحث در این باره خیلی خیلی زمان میبره و به نظرم نمیاد که کسی همت کنه بخواد یه همچین منبع کاملی قرار بده بازم ببخشید گفتم شاید به درد کسی خورده باشه توضیحم با تشکر
ارادتمند : مسلم فلاح نیت
omid3963
March 21st, 2015, 00:21
پورت SSH و پورت اصلی دایرکت ادمین رو تغییر بدید.
دراین صورت تعداد brute force روی سرور شما کمتر میشود.