جلوگیری از Brute-Force Attack در Directadmin

سلام،
من روی سرورم CSF رو نصب کردم، تنظیمات امنیتی رو هم به شکل زیر ست کردم ...

فایل پیوست 24101

ولی مدام گزارش های اینچنینی برام ثبت میشه توی لاگ سیستم :

IP 89.26.15.42 has 16997 failed login attempts: proftpd1=11292&proftpd2=5705
User ??? has 1874 failed login attempts: proftpd1=1874
User ???? has 1246 failed login attempts: proftpd1=1246
User ????? has 668 failed login attempts: proftpd1=668
User Mahdi has 627 failed login attempts: proftpd1=627
User f.sadeghi has 655 failed login attempts: proftpd1=655
User macd has 855 failed login attempts: proftpd1=855
User admin has 4280 failed login attempts: dovecot1=9&exim2=18&proftpd2=4253
User erfan has 797 failed login attempts: proftpd1=797
User artist has 784 failed login attempts: proftpd1=784
User nullerha has 820 failed login attempts: proftpd1=820
User roboso has 746 failed login attempts: proftpd2=746

من که عقلم به جایی قد نمی ده به نظرتون مشکل از کجا می تونه باشه ؟

سلام.

باید فایروال csf را کانفیگ کنید ویا بر روی Profile Medium ست کنید.


موفق باشید./

سلام وقت بخیر
پورت دایرکت ادمین را تغییر بدید یا اینکه Notification برای حملات Bruteforce را Disable کنید. (در directadmin.conf)

نقل قول:

---

نوشته اصلی توسط LIAN2

سلام وقت بخیر
پورت دایرکت ادمین را تغییر بدید یا اینکه Notification برای حملات Bruteforce را Disable کنید. (در directadmin.conf)

---

سلام

یک سوال برای بنده پیش امده ،‌ اگر هکر با استفاده از پورت اسکنر پورت را پیدا کند چه میشود ؟ ایا تغییر پورت در هاست اشتراکی مناسب می باشد؟

با تشکر.

نقل قول:

---

نوشته اصلی توسط secureconfig

سلام

یک سوال برای بنده پیش امده ،‌ اگر هکر با استفاده از پورت اسکنر پورت را پیدا کند چه میشود ؟ ایا تغییر پورت در هاست اشتراکی مناسب می باشد؟

با تشکر.

---

درود ر شما

دوست گرامی csf این امکان را دارد که با تنظیم مناسب قابلیت ps_limit براحتی اگر عملیات پورت اسکن انجام شود قبل اینکه پایان یابد آیپی اسکنر را بلاک میکند و اجازه اسکن کامل را نمیدهد پس در این مورد میتوان با استفاده از فایروال مقابله کرد و جای نگرانی نیست

ممنون از پاسخ هاتون، فعلا کانفیگ CSF رو بر روی Profile Medium قرار دادم تا ببینم چی می شه ...

فایل پیوست 24104

دوستان عزیز من چیکار کنم با این ایمیل ها؟؟؟

داستان اینا چیه؟

نقل قول:

---

نوشته اصلی توسط nginxweb

درود ر شما

دوست گرامی csf این امکان را دارد که با تنظیم مناسب قابلیت ps_limit براحتی اگر عملیات پورت اسکن انجام شود قبل اینکه پایان یابد آیپی اسکنر را بلاک میکند و اجازه اسکن کامل را نمیدهد پس در این مورد میتوان با استفاده از فایروال مقابله کرد و جای نگرانی نیست

---

سلام.
دوست عزیز،
csf بخشی دارد برای جلوگیری از بروت فورس.
اگر قرار باشه برای مقابله با بروت فورس همیشه پورت تغییر بدیم که نمیشه ! مخصوصا سرور های هاست اشتراکی.
+ این پورت اسکن که گفتید میشه با اجرای یک اسکریپت در یک هاست داخل سرور بدست اورد !

موفق باشید./

نقل قول:

---

نوشته اصلی توسط secureconfig

سلام.
دوست عزیز،
csf بخشی دارد برای جلوگیری از بروت فورس.
اگر قرار باشه برای مقابله با بروت فورس همیشه پورت تغییر بدیم که نمیشه ! مخصوصا سرور های هاست اشتراکی.
+ این پورت اسکن که گفتید میشه با اجرای یک اسکریپت در یک هاست داخل سرور بدست اورد !

موفق باشید./

---

من که هرچی گشتم توی اینترنت چیزی پیدا نکردم برای مقابله با بروت فورس اتک ها، هر تنظیمی هم که به ذهنم اومد انجام دادم ولی نشد که نشد. توی بعضی لاگ ها اسمی هم از dovecot میاد، این پروسه مال سرویس ایمیل هست، من فکر می کنم یه باگی توی خود دایرکت ادمین وجود داره ...

امان من یکی رو که بریده این لاکردار (:|

نقل قول:

---

نوشته اصلی توسط secureconfig

سلام.
دوست عزیز،
csf بخشی دارد برای جلوگیری از بروت فورس.
اگر قرار باشه برای مقابله با بروت فورس همیشه پورت تغییر بدیم که نمیشه ! مخصوصا سرور های هاست اشتراکی.
+ این پورت اسکن که گفتید میشه با اجرای یک اسکریپت در یک هاست داخل سرور بدست اورد !

موفق باشید./

---

خب به جای ایراد گرفتن راهکار بدید :)
تنظیم فایروال روی پروفایل Medium؟ راهکار شما برای مقابله Bruteforce این هست؟

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط martoor

من که هرچی گشتم توی اینترنت چیزی پیدا نکردم برای مقابله با بروت فورس اتک ها، هر تنظیمی هم که به ذهنم اومد انجام دادم ولی نشد که نشد. توی بعضی لاگ ها اسمی هم از dovecot میاد، این پروسه مال سرویس ایمیل هست، من فکر می کنم یه باگی توی خود دایرکت ادمین وجود داره ...

امان من یکی رو که بریده این لاکردار (:|

---

این رویداد ها رو براتون ایمیل می کنه ، چون تعداد بالاست برای همین روی لود هم تاثیر میگذاره.
برای اینکه دیگه این پیغام هارو دریافت نکنید ، این دستور را وارد کنید:

کد:

---

echo "hide_brute_force_notifications=1" >> /usr/local/directadmin/conf/directadmin.conf

---

و

کد:

---

service directadmin restart

---

آقا کسی جواب مارو نمیده؟

با سلام
بحث تغییر یا عدم تغییر پورت در سرویس ها به جهت ایمن سازی و امن شدن موضوعی است که در محافل امنیتی بجث های زیادی است .و برخی اوقات تغییر پورت باعث به مخاطره افتادن امنیت سرویس می شود که در این بحث نمی گنجد. در صورت تمایل همکاران میتونیم این موضوع را در تاپیک مجزایی بررسی کنیم.
یکی از راه های جلوگیری از حملات BruteForce شناسایی و بلوکه کردن آی پی حمله کننده است . یا اصطلاحا Detecting & preventing
ولی در این موضوع تغییر پورت باعث افزایش نسبی امنیت می شود و تا حدودی جلوگیری از حملات BruteForce محقق می گردد .البته فقط حملاتی که بر روی دایرکت ادمین و SSH می شود .
ولی برای حملات بروت فورس در دیگر سرویس های نظیر Exim یا Dovecot , ّFTP و... باید بتونید از طریق Firewall این موضوع رو هندل کنید.
ولی متاسفانه فایروال CSF با دایرکت ادمین Integrated نیست و طبق راهنمایی شرکت دایرکت ادمین می توانید از فایرول alternative که خود دایرکت ادمین ارایه کرده است استفاده نمایید.
I wish to have a block_ip.sh so I can block IPs through DirectAdmin
در صورت استفاده از این فایروال باید پورت های SSH و پورت های دیگر سرویس ها را به صورت دستی به این فایروال اضافه نمایید. که در صورت عدم اضافه نمودن دسترسی به سرور شما براتون مقدور نمی باشد.

ولی در صورتی که بخواهید bruteForce در دایرکت ادمین با CSF همخوانی داشته باشد و Integrated بشه . می توانید از اسکریپتی که توسط تیم سکیورهاست نوشته شده است . استفاده نمایید.
با تشکر