سلام دوستان. من یک سرور اختصاصی دارم که با Centos 7 هستش که روش directadmin و csf نصبه. (اگر نرم افزار امنیتی خوب دیگه ای هم میشناسید بگید نصب کنم)

آقا ما هر دفعه به این سرور SSH زدیم دیدم حداقل 10 هزار Unsuccessful login attempts قبل از لاگین ما وجود داشته! IP مهاجم ها رو هم که چک میکردم اکثرا از چین یا هنگ کنگ بودن.

تا اینکه اومدم و پورت SSH رو عوض کردم. الان وضعیت بهتر شده، ولی بازم روزی چند تا ایمیل از CSF میاد که روی پورت مثلا 5568 داره brute force میشه! یعنی فاز بعدی حمله شون اینه که بتونن پورت جدید ssh رو پیدا کنن! کلا من نمیدونم واسه چی گیر دادن به سرور جدید من که هنوز چند روز هم نمیشه آنلاین شده! شاید IP سرور قبلا آنلاین بوده و از اون موقع این مشکلات وجود داشته و با صاحب قبلی سرور مشکل داشتن :d

دو سوال دارم در این باره:
1- کلا واسه چی همچین کاری میکنن؟ چه فایده ای واسشون داره که این همه هزینه Brute force و ... میدن؟ بر فرض مثال اگر بتونن رمز root رو هم پیدا کنن، مدیر سرور از لاگینشون متوجه میشه(ایمیل میکنه csf مثلا یا روش های دیگه) یا اگر بخوان هر کار غیر معقولی کنن بازم صاحب سرور میفهمه و جلوشونو میگیره!
یا مثلا یک سری حملاتی که روی وردپرس با پلاگین های نال شده و ... اتفاق میفته باهاش میان و از سرور قربانی ایمیل اسپم میفرستن، و اینا که به سرور اختصاصی هم brute force میکنن شاید دنبال همچین کارهایی هستن ولی من هرجور فکر میکنم میبینم ارزش نداره خودشون صدها سرور رو درچین و ... اشغال کنن و کلی هزینه کنن تا بخوان brute force کنن واسه همچین کارهایی!!!
عجیبه واسم کلا. میخوام بدونم چرا اینکار رو میکنن و آیا کسی از دوستان تست کرده ببینه مثلا اگر پسورد ssh رو 123456 بذاره چه اتفاقی میفته و بررسی کنه مهاجم بعد از پیدا کردن پسورد میاد توی سرور چه کارهایی میکنه؟


2- میخوام کل رنج IP های چین و هنگ کنگ رو BAN کنم، فکر میکنم بهترین راه همون CSF باشه. چجوری چند صد range آی پی های یک کشور رو deny کنم؟

بنده هم 6 ماهه این مشکلو دارم پورت ssh هم پیش فرض هست ولی تاحالا اتفق بدی نیوفتاده. روزانه مال بنده 20 تا 50 تا ای پی این شکلی ثبت میکنه.
:) بنده هم فقد باکس پیام ها رو هر روز پاک میکنم.
Comodo WAF ,cxs اینا هم دو تا نرم افزار امنیتی هستند که رو ی directadmin نصب میشن البته cxs پولیه.

درود

دوست گرامی با تغییر پورت ssh و اعمال تعییرات میتوان تا جد زیادی امنیت را تامین کرد

در پست زیر آموزشی مناسب در این زمینه میتوانید مشاهده کنید:

http://www.webhostingtalk.ir/showthread.php?t=144861

بنده هم 6 ماهه این مشکلو دارم پورت ssh هم پیش فرض هست ولی تاحالا اتفق بدی نیوفتاده. روزانه مال بنده 20 تا 50 تا ای پی این شکلی ثبت میکنه.
:) بنده هم فقد باکس پیام ها رو هر روز پاک میکنم.
Comodo WAF ,cxs اینا هم دو تا نرم افزار امنیتی هستند که رو ی directadmin نصب میشن البته cxs پولیه.
منم مشکل امنیتی خاصی ندارم. یک رمز 15-20 کاراکتری واسه کاربر root گذاشتم و پورت ssh رو هم عوض کردم، خود csf هم بعد از چند بار fail شدن login آی پی ها رو ban میکنه، ولی میخوام کل آی پی های چین و هنگ کنم رو ببندم چون به این کشورها نیازی ندارم تا دیگه کاملا به این بازی کثیف خاتمه بدم :d

وارد csf بشید
گزینه firewall configuration بزنید
عبارت CC_DENY را پیدا کنید.
جلوی کادرش کد کشور‌هایی که میخواهید بسته بشن را وارد کنید. مثلا IR,UK,US,FR,HK
ذخیره کنید و csf را restart کنید.

سلام
برای بستن رنج ایپی کار خاصی نیاز نیست کاربر سجاد گفتن

اما با بستن ایپها روی سرور فشار وارد میشود و باعث دیلی در ریکوئست ها میشود و دیر لود شدن سایت ها ...

وارد csf بشید
گزینه firewall configuration بزنید
.
این مسیر که گفتید از همون گزینه جدیدی هستش که بعد از نصب csf به قسمت admin در directadmin اضافه میشه؟



سلام
برای بستن رنج ایپی کار خاصی نیاز نیست کاربر سجاد گفتن

اما با بستن ایپها روی سرور فشار وارد میشود و باعث دیلی در ریوکوئست ها میشود و دیر لود شدن سایت ها ...

آهان. نمیدونستم. بذارم brute force کنن و کمی از منابع سرور و پهنای باند رو استفاده کنن یا که ban کنم ip کشورها رو، که در نتیجه به قول شما باعث delay در request ها و... میشه. کدوم رو انجام بدم بهتره، ban کنم یا نه؟

در زمان اتک
ایپی را که شناسایی کردید رنج ایپی محدوده ایپی اتک ببندید
نه اینکه رنج ایپی کلی 1 کشور


1.1.1.1

به اینشکل

در اس اس اچ بزنید اگر csf فعال هست

csf -d 1.1.1.0/24