توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : جلوگیری از Brute-Force Attack در Directadmin
martoor
December 8th, 2014, 13:38
سلام،
من روی سرورم CSF رو نصب کردم، تنظیمات امنیتی رو هم به شکل زیر ست کردم ...
24101
ولی مدام گزارش های اینچنینی برام ثبت میشه توی لاگ سیستم :
IP 89.26.15.42 has 16997 failed login attempts: proftpd1=11292&proftpd2=5705
User ??? has 1874 failed login attempts: proftpd1=1874
User ???? has 1246 failed login attempts: proftpd1=1246
User ????? has 668 failed login attempts: proftpd1=668
User Mahdi has 627 failed login attempts: proftpd1=627
User f.sadeghi has 655 failed login attempts: proftpd1=655
User macd has 855 failed login attempts: proftpd1=855
User admin has 4280 failed login attempts: dovecot1=9&exim2=18&proftpd2=4253
User erfan has 797 failed login attempts: proftpd1=797
User artist has 784 failed login attempts: proftpd1=784
User nullerha has 820 failed login attempts: proftpd1=820
User roboso has 746 failed login attempts: proftpd2=746
من که عقلم به جایی قد نمی ده به نظرتون مشکل از کجا می تونه باشه ؟
secureconfig
December 8th, 2014, 13:53
سلام.
باید فایروال csf را کانفیگ کنید ویا بر روی Profile Medium ست کنید.
موفق باشید./
LIAN2
December 8th, 2014, 14:20
سلام وقت بخیر
پورت دایرکت ادمین را تغییر بدید یا اینکه Notification برای حملات Bruteforce را Disable کنید. (در directadmin.conf)
secureconfig
December 8th, 2014, 14:22
سلام وقت بخیر
پورت دایرکت ادمین را تغییر بدید یا اینکه Notification برای حملات Bruteforce را Disable کنید. (در directadmin.conf)
سلام
یک سوال برای بنده پیش امده ، اگر هکر با استفاده از پورت اسکنر پورت را پیدا کند چه میشود ؟ ایا تغییر پورت در هاست اشتراکی مناسب می باشد؟
با تشکر.
nginxweb
December 8th, 2014, 14:29
سلام
یک سوال برای بنده پیش امده ، اگر هکر با استفاده از پورت اسکنر پورت را پیدا کند چه میشود ؟ ایا تغییر پورت در هاست اشتراکی مناسب می باشد؟
با تشکر.
درود ر شما
دوست گرامی csf این امکان را دارد که با تنظیم مناسب قابلیت ps_limit براحتی اگر عملیات پورت اسکن انجام شود قبل اینکه پایان یابد آیپی اسکنر را بلاک میکند و اجازه اسکن کامل را نمیدهد پس در این مورد میتوان با استفاده از فایروال مقابله کرد و جای نگرانی نیست
martoor
December 8th, 2014, 23:03
ممنون از پاسخ هاتون، فعلا کانفیگ CSF رو بر روی Profile Medium قرار دادم تا ببینم چی می شه ...
Arminit
December 8th, 2014, 23:09
24104
دوستان عزیز من چیکار کنم با این ایمیل ها؟؟؟
داستان اینا چیه؟
secureconfig
December 8th, 2014, 23:16
درود ر شما
دوست گرامی csf این امکان را دارد که با تنظیم مناسب قابلیت ps_limit براحتی اگر عملیات پورت اسکن انجام شود قبل اینکه پایان یابد آیپی اسکنر را بلاک میکند و اجازه اسکن کامل را نمیدهد پس در این مورد میتوان با استفاده از فایروال مقابله کرد و جای نگرانی نیست
سلام.
دوست عزیز،
csf بخشی دارد برای جلوگیری از بروت فورس.
اگر قرار باشه برای مقابله با بروت فورس همیشه پورت تغییر بدیم که نمیشه ! مخصوصا سرور های هاست اشتراکی.
+ این پورت اسکن که گفتید میشه با اجرای یک اسکریپت در یک هاست داخل سرور بدست اورد !
موفق باشید./
martoor
December 8th, 2014, 23:22
سلام.
دوست عزیز،
csf بخشی دارد برای جلوگیری از بروت فورس.
اگر قرار باشه برای مقابله با بروت فورس همیشه پورت تغییر بدیم که نمیشه ! مخصوصا سرور های هاست اشتراکی.
+ این پورت اسکن که گفتید میشه با اجرای یک اسکریپت در یک هاست داخل سرور بدست اورد !
موفق باشید./
من که هرچی گشتم توی اینترنت چیزی پیدا نکردم برای مقابله با بروت فورس اتک ها، هر تنظیمی هم که به ذهنم اومد انجام دادم ولی نشد که نشد. توی بعضی لاگ ها اسمی هم از dovecot میاد، این پروسه مال سرویس ایمیل هست، من فکر می کنم یه باگی توی خود دایرکت ادمین وجود داره ...
امان من یکی رو که بریده این لاکردار (:|
LIAN2
December 8th, 2014, 23:46
سلام.
دوست عزیز،
csf بخشی دارد برای جلوگیری از بروت فورس.
اگر قرار باشه برای مقابله با بروت فورس همیشه پورت تغییر بدیم که نمیشه ! مخصوصا سرور های هاست اشتراکی.
+ این پورت اسکن که گفتید میشه با اجرای یک اسکریپت در یک هاست داخل سرور بدست اورد !
موفق باشید./
خب به جای ایراد گرفتن راهکار بدید :)
تنظیم فایروال روی پروفایل Medium؟ راهکار شما برای مقابله Bruteforce این هست؟
- - - Updated - - -
من که هرچی گشتم توی اینترنت چیزی پیدا نکردم برای مقابله با بروت فورس اتک ها، هر تنظیمی هم که به ذهنم اومد انجام دادم ولی نشد که نشد. توی بعضی لاگ ها اسمی هم از dovecot میاد، این پروسه مال سرویس ایمیل هست، من فکر می کنم یه باگی توی خود دایرکت ادمین وجود داره ...
امان من یکی رو که بریده این لاکردار (:|
این رویداد ها رو براتون ایمیل می کنه ، چون تعداد بالاست برای همین روی لود هم تاثیر میگذاره.
برای اینکه دیگه این پیغام هارو دریافت نکنید ، این دستور را وارد کنید:
با سلام
بحث تغییر یا عدم تغییر پورت در سرویس ها به جهت ایمن سازی و امن شدن موضوعی است که در محافل امنیتی بجث های زیادی است .و برخی اوقات تغییر پورت باعث به مخاطره افتادن امنیت سرویس می شود که در این بحث نمی گنجد. در صورت تمایل همکاران میتونیم این موضوع را در تاپیک مجزایی بررسی کنیم.
یکی از راه های جلوگیری از حملات BruteForce شناسایی و بلوکه کردن آی پی حمله کننده است . یا اصطلاحا Detecting & preventing
ولی در این موضوع تغییر پورت باعث افزایش نسبی امنیت می شود و تا حدودی جلوگیری از حملات BruteForce محقق می گردد .البته فقط حملاتی که بر روی دایرکت ادمین و SSH می شود .
ولی برای حملات بروت فورس در دیگر سرویس های نظیر Exim یا Dovecot , ّFTP و... باید بتونید از طریق Firewall این موضوع رو هندل کنید.
ولی متاسفانه فایروال CSF با دایرکت ادمین Integrated نیست و طبق راهنمایی شرکت دایرکت ادمین می توانید از فایرول alternative که خود دایرکت ادمین ارایه کرده است استفاده نمایید.
I wish to have a block_ip.sh so I can block IPs through DirectAdmin (http://help.directadmin.com/item.php?id=380)
در صورت استفاده از این فایروال باید پورت های SSH و پورت های دیگر سرویس ها را به صورت دستی به این فایروال اضافه نمایید. که در صورت عدم اضافه نمودن دسترسی به سرور شما براتون مقدور نمی باشد.
ولی در صورتی که بخواهید bruteForce در دایرکت ادمین با CSF همخوانی داشته باشد و Integrated بشه . می توانید از اسکریپتی که توسط تیم سکیورهاست نوشته شده است . استفاده نمایید.
با تشکر