من چند وقتیه لود سرورم بی دلیل بالا میره و پی در پی پیام های مثل پیام زیر رو دریافت میکنم :
New Message: Brute-Force Attack detected in service log from IP(s) 199.123.2.58
به نظرتون بهم حمله DDOS میشه ؟ مشکل از چی میتونه باشه ؟
ali0000
October 25th, 2013, 13:41
با سلام
سیستم عامل و مشخصات سرور؟
برنامه خاصی بروی سرور دارید که باعث حساسیت گروهها و ... بشه ؟
فایروال فعال بروی سرور چیه ؟
گزارشاتی که دریافت میکنید IP Address های متفاوت هستن یا فقط یک آدرس گزارش میشه ؟
persianmagic
October 25th, 2013, 13:42
سرور دایرکت ادمین هست؟این حملات بروت فورس هستند که توسط روبات ها انجام میشند و روی هر سرور دایرکت ادمینی این مورد شایع هست.
حملات بروت فورس تاثیری بر کارایی سرور نداره و فقط برای پیدا کردن پسورد ادمین هست
با تغییر پورت دایرکت ادمین یا ایحاد قوانینی برای بلاک کردن ایپی در صورت وارد کردن محدود رنز عبور میتونید از این حملات پیگریری کنید
succes
October 25th, 2013, 13:43
با سلام
سیستم عامل و مشخصات سرور؟
برنامه خاصی بروی سرور دارید که باعث حساسیت گروهها و ... بشه ؟
فایروال فعال بروی سرور چیه ؟
گزارشاتی که دریافت میکنید IP Address های متفاوت هستن یا فقط یک آدرس گزارش میشه ؟
CenOS - Directadmin
512MB Ram
با چندتا سایت خیلی سبک
فایروالم CSF بود که به خاطر سنگین کردن سرور پاکش کردم ولی مشکل حل نشده
بله IP ها متفاوت هستن
ali0000
October 25th, 2013, 13:47
دوست و استاد گرامی persianmagic (http://www.webhostingtalk.ir/member/93696/) اشاره فرمودن و بنده هم همین پیشنهاد رو دارم اول تغییر پورت و دوم ایجاد rule و قوانینی که مثلاً با 3 بار پسورد اشتباه IP رو بلاک کنه که مورد اول توصیه میشه
و پیشنهاد میدم csf رو دوباره نصب و بصورت صحیح کانفیگ کنید و یکی از بهترین گزینه ها ( رایگان ) همین فایرواله در مورد سنگینی و اشغال منابع مورد دیگه ای وجود داشته بعید میدونم csf بوده باشه
persianmagic
October 25th, 2013, 13:47
لود بالای سرور به هیچ وجه از بروت فورس نمیتونه باشه عزیز.ممکنه از اسکریپت یا .. باشه یا تخت ddos باشید که احتمالش کمه
لوگ هارو چک کنید
succes
October 25th, 2013, 14:13
دوست و استاد گرامی persianmagic (http://www.webhostingtalk.ir/member/93696/) اشاره فرمودن و بنده هم همین پیشنهاد رو دارم اول تغییر پورت و دوم ایجاد rule و قوانینی که مثلاً با 3 بار پسورد اشتباه ip رو بلاک کنه که مورد اول توصیه میشه
و پیشنهاد میدم csf رو دوباره نصب و بصورت صحیح کانفیگ کنید و یکی از بهترین گزینه ها ( رایگان ) همین فایرواله در مورد سنگینی و اشغال منابع مورد دیگه ای وجود داشته بعید میدونم csf بوده باشه
ممنون از توضیحات کاملتون ...
یعنی csf هیچ ربطی به لود سرور نداره ؟ اگر اینجوری باشه دوباره نصبش میکنم
zartosht
October 25th, 2013, 14:42
ممنون از توضیحات کاملتون ...
یعنی csf هیچ ربطی به لود سرور نداره ؟ اگر اینجوری باشه دوباره نصبش میکنم
با سلام ، به نظز من خطرناک ترین کار ممکن این هست که فایروال سرور رو خاموش کنید ! csf تنضیمات بسیار زیادی داره که فشار کمتری برو روی سرور شما بیاره و سطح بندی داره ، به هیچ عنوان سرور خود را بدون فایر وال و انتی ویروس نگزارید .
TARIMEHR
October 25th, 2013, 15:00
اول به administrator setting برید و تیک گزینه ی Prevent 127.0.0.1 from being Blacklisted رو بزنید
مشکل Brute-force attack با تغییر پورت ssh حل خواهد شد
برای تغییر پورت ssh :
وارد ssh بشید
دستور زیر رو وارد کنید
nano /etc/ssh/sshd_config
دنبال عبارت زیر بگردید
#Port 22
یه عدد به صورت دلخواه جایگزینش کنید و کارکتر # رو از اولش حذف کنید
service sshd restart
مشکل بروت فورس حل میشه
اگر هم براتون ممکنه پورت پیش فرض دایرکت ادمین رو از 2222 به مثلا 1234 تغییر بدید تا از شر ربات های خودکار هم خلاص شید
برای لود سرور هم پردازه ها رو چک کنید که اون قضییش کاملا متفاوت هست
nginxweb
October 25th, 2013, 15:08
درود
خیر تغییر پورت کارا نیست
بهترین راه نوشتن rule های خاص از طریق bash scripting می باشد که براحتی بصورت خودکار تا brute force از سمت یک IP انجام شد آیپی خودکار توسط CSF مسدود میگردد
DUST
October 25th, 2013, 15:30
mod_evasiveرو برای بلاک کردن حملات برروی اپاچی تنظیم کردین عزیز؟<؟
d3m0n3y3z
October 25th, 2013, 15:32
به نظر من هم تغییر پورت راه کار پیشگیرانه بسیار مؤثری هست.
succes
October 25th, 2013, 15:40
mod_evasiveرو برای بلاک کردن حملات برروی اپاچی تنظیم کردین عزیز؟<؟
نخیر همچین کاری انجام ندادم
DUST
October 25th, 2013, 15:41
نخیر همچین کاری انجام ندادم
خوب اگر درست انجام بدید ای پی ها را بلاک خواهد کرد و مشکل رفع خواهد شد موارد زیادی در اینترنت برای تنظیمش هست
و بسیار ساده است موفق و موید باشید البته مودسکیوریتی هم بسیار تا بسیار با کانفیگ صحیح عالی خواهد بود
tanhasystem
October 25th, 2013, 16:11
دلیل لود بالا رفتن در دایرکت ادمین ممکن است یکی از موارد زیر باشه که توصیه می کنم دو مورد اخر را عملی سازید
شاید منابع سخت افزاری شما کمبود دارد و در همین لحظه سیستم عامل شما در حال بروز رسانی است
شما می توانید سرویس EXim - Mysql -Dovecot را غیر فعال کنید تا لود به حال قبلی و نرمال برگردد
بهتر است برای رفع دیداس از APF استفاده کنید زیرا CSF منابع زیادی را اشغال می نماید و توصیه میکنم که بلوک ای پی را چک کنید چون ممکن است 127.0.0.1 بلوک شده باشد
سپاس
succes
October 25th, 2013, 16:26
دلیل لود بالا رفتن در دایرکت ادمین ممکن است یکی از موارد زیر باشه که توصیه می کنم دو مورد اخر را عملی سازید
شاید منابع سخت افزاری شما کمبود دارد و در همین لحظه سیستم عامل شما در حال بروز رسانی است
شما می توانید سرویس EXim - Mysql -Dovecot را غیر فعال کنید تا لود به حال قبلی و نرمال برگردد
بهتر است برای رفع دیداس از APF استفاده کنید زیرا CSF منابع زیادی را اشغال می نماید و توصیه میکنم که بلوک ای پی را چک کنید چون ممکن است 127.0.0.1 بلوک شده باشد
سپاس
این EXim - Mysql -Dovecot چیکار میکنه روی سرور ؟ غیرفعال کردنش برای سرور مشکل ساز نشه ؟؟
بهتر است برای رفع دیداس از APF استفاده کنید زیرا CSF منابع زیادی را اشغال می نماید و توصیه میکنم که بلوک ای پی را چک کنید چون ممکن است 127.0.0.1 بلوک شده باشد
من آخر نفهمیدم این CSF سرور رو سنگین تر میکنه یا نه هیچ ربطی به لود سرور نداره ؟؟