با سلام خدمت دوستان خوبم
بنده ی سوال دارم این ایمیل هایی که میاد مشکلی به وجود نمیاره ؟
میشه جلوشونو گرفت ؟
برای همه اینجوره

000001333


Brute-Force Attack detected in service log from IP(s) 221.194.44.227 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001333&type=message)
Today at 08:33



000001332
Brute-Force Attack detected in service log from IP(s) 116.31.116.36, 121.18.238.22, 221.194.44.219, 221.194.44.223 on User(s) root (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001332&type=message)
Today at 08:21



000001331
Brute-Force Attack detected in service log from IP(s) 121.18.238.32, 210.38.224.120 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001331&type=message)
Today at 07:46



000001330
Brute-Force Attack detected in service log on User(s) root (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001330&type=message)
Today at 07:18



000001329
Brute-Force Attack detected in service log from IP(s) 116.31.116.36, 221.194.44.223 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001329&type=message)
Today at 07:07



000001328
Brute-Force Attack detected in service log from IP(s) 121.18.238.22 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001328&type=message)
Today at 07:01



000001327
Brute-Force Attack detected in service log from IP(s) 221.194.44.216 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001327&type=message)
Today at 06:56



000001326
Brute-Force Attack detected in service log from IP(s) 210.38.224.120 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001326&type=message)
Today at 06:44



000001325
Brute-Force Attack detected in service log from IP(s) 121.18.238.32 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001325&type=message)
Today at 06:42



000001324
Brute-Force Attack detected in service log from IP(s) 121.18.238.9 on User(s) root (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001324&type=message)
Today at 06:16



000001323
Brute-Force Attack detected in service log from IP(s) 116.31.116.36 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001323&type=message)
Today at 06:07



000001322
Brute-Force Attack detected in service log from IP(s) 221.194.44.223 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001322&type=message)
Today at 06:04



000001321
Brute-Force Attack detected in service log from IP(s) 121.18.238.22 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001321&type=message)
Today at 05:57



000001320
Brute-Force Attack detected in service log from IP(s) 221.194.44.216 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001320&type=message)
Today at 05:56



000001319
Brute-Force Attack detected in service log from IP(s) 210.38.224.120 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001319&type=message)
Today at 05:44



000001318
Brute-Force Attack detected in service log from IP(s) 121.18.238.9 on User(s) root (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001318&type=message)
Today at 05:16



000001317
Brute-Force Attack detected in service log from IP(s) 116.31.116.36, 121.18.238.32 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001317&type=message)
Today at 05:07



000001316
Brute-Force Attack detected in service log from IP(s) 221.194.44.227 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001316&type=message)
Today at 05:05



000001315
Brute-Force Attack detected in service log from IP(s) 121.18.238.19 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001315&type=message)
Today at 04:50



000001314
Brute-Force Attack detected in service log from IP(s) 121.18.238.29, 221.194.44.219 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001314&type=message)
Today at 04:49



000001313
Brute-Force Attack detected in service log from IP(s) 121.18.238.9 (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001313&type=message)
Today at 04:16



000001312
Brute-Force Attack detected in service log from IP(s) 121.18.238.20 on User(s) root (http://aminpal.com:2222/CMD_TICKET?action=view&number=000001312&type=message)



متن ایمیل ها

A brute force attack has been detected in one of your service logs.

IP 121.18.238.20 has 2057 failed login attempts: sshd5=2057
User root has 125215 failed login attempts: proftpd1=2 & sshd5=125213

Check 'Admin Level -> Brute Force Monitor' for more information
http://help.directadmin.com/item.php?id=404

سلام
پورت ssh سرور رو عوض کنید و ای پی هایی که اتک زدن رو توی فایر وال csf بلاک کنید

سلام
پورت ssh سرور رو عوض کنید و ای پی هایی که اتک زدن رو توی فایر وال csf بلاک کنید
با سلام ممنون بابت پاسخ
وقتی پورت عوض میکنم # port 22
اون # برمیدارم پورت مورد نظر میدم دیگه دست رسیم قط میشه با ssh
1300 تا ای پی اگه این ای پی هارو نبندم چی میشه ؟
ممنون میشم توضیح بدین

سلام
من که پورت SSH و پورت دایرکت ادمین رو عوض میکردم باز این ایمیل ها میومد اما برام مهم نبود چون لاگین به SSH و یوزر admin دایرکت ادمین رو محدود به آی پی ثابت خودم کرده بودم :)
ولی گذشته از این خود دایرکت ادمین یه آموزشی در لینک زیر داره که البته نوشته به مسئولیت خودتون باید انجام بدید این آموزش یاد میده چطوری آی پی هایی که BruteForce میزنن به صورت خودکار توسط فایروال CSF بلاک بشن:
برای این میگه با مسئولیت خودتون باید انجام بدید چون پشتیبانی دایرکت ادمین میگه فایروال جزو پشتیبانی ما حساب نمیشه و یعنی اگه خدایی نکرده خراب کاری کنید خودتون هم باید درستش کنید (البته نه که خیلی از ما ایرانی ها از پشتیبانی دایرکت ادمین استفاده میکنیم که حالا سر این موضوع بترسیم :) )

https://help.directadmin.com/item.php?id=380

باید پورد جدید رو توی کانفیگ csf وارد کنید : http://support.faraso.org/knowledgebase/%d8%a8%d8%a7%d8%b2-%da%a9%d8%b1%d8%af%d9%86-%d9%88-%d9%85%d8%b3%d8%af%d9%88%d8%af-%da%a9%d8%b1%d8%af%d9%86-port-%d8%af%d8%b1-csf-69.html?module=kb&sec=article&artid=69&slug=%D8%A8%D8%A7%D8%B2-%DA%A9%D8%B1%D8%AF%D9%86-%D9%88-%D9%85%D8%B3%D8%AF%D9%88%D8%AF-%DA%A9%D8%B1%D8%AF%D9%86-port-%D8%AF%D8%B1-csf

Brute-Force Attack : حمله ای است که هکر سعی می کند با استفاده از تست آزمون و خطا نام کاربری و رمز عبور یک سیستم را حدس بزن
اگه این کارو نکنید رسیک داره رسیکیه . حداقل آخرین آی پی هایی که ثبت شده رو بلاک کنید

در ضمن از بخش Administrator Settings بخشید و تیک Prevent 127.0.0.1 from being Blacklisted رو بزنید

با سلام و عرض ادب

حملات Bute Force حملات خطرناکی نمی باشند و شما میتوانید با عوض کردن پورت دایرکت ادمین تا حدودی از دریافت این حملات جلوگیری کنید.

همانطور که میدانید IP شما یکتا نبوده و چندین سال است که تحت استفاده افراد مختلف میباشد. این IP ها توسط سیستم های گسترده هکینگ (بات ها) شناسایی شده و بصورت دوره ای و مداوم تحت حملات Brute Force سبک قرار دارد. در صورت استفاده از یک پسوورد امن اینگونه حملات معمولا خطرناک نمیباشد اما بهتر است به منظر جلوگیری از ایجاد مشکلات احتمالی با استفاده از تنظیمات صحیح فایروال اینگونه حملات شناسایی و مسدود شود.

این حملات که خوب روی SSH نیست در واقع و روی دایرکت ادمین داره صورت میگیره.
کاملا عادیه. به صورت 24 ساعته میشه گفت هر سرور که من توی 8 سال اخیر داشتم ، بعد از گذشت کمتر از 3-4 ساعت از روشن بودنش ، میره زیر بروت فورس.
پسوردتون ضعیف نباشه هیچ مشکلی پیش نمیاد
اما
چیزی که داره شما رو اذیت میکنه (فکر میکنم) این هست که ایمیل های زیادی دریافت میکنید در این باره.
راه حل چیه؟
1- غیر فعال کردن Brute Force Detection:
در صورتی که این مورد غیر فعال بشه ، آی پی هایی که Brute Force میزنن بلاک نمیشم که توصیه نمیشه این مورد

2- غیر فعال کردن ارسال Message در این مورد (این مورد پیشنهاد میشود):
نیاز هست که فایل کانفیگ دایرکت ادمین رو یه تغییر کوچیکی بدید.
با ویرایشگر دلخواهتون این فایل رو باز کنید:
/usr/local/directadmin/conf/directadmin.conf
سپس در اخر فایل ، این خط رو اضافه کنید:
hide_brute_force_notifications=1


یا میتونید به سادگی پس از لاگین به روت سرور این کامند رو اجرا کنید:
echo "hide_brute_force_notifications=1" >> /usr/local/directadmin/conf/directadmin.conf

سپس دایرکت ادمین رو ری استارت کنید
service directadmin restart
دیگه این پیغام رو دریافت نخواهید کرد. نه در ایمیل و نه در قسمت message های دایرکت ادمین.
موفق باشید