اعلان force attack has been detected یوزر root

[tpark]

باسلام خدمت اعضای محترم انجمن
ما بر روی سرور خودمان به صورت مکرر با پیام هایی مشابه این پیام روبرو می شویم :

کد:

    a brute force attack has been detected in one of your service logs.
     user root has 1794594 failed login attempts: Exim2=138 & mysql1=1794370 & phpmyadmin1=57 & pure-ftpd1=25 & sshd5=4

و همچنین پیغام زیر :

کد:

    a brute force attack has been detected in one of your service logs.
    ip localhost has 4332196 failed login attempts: Mysql1=4332196

خود من حدسم این هست که پسورد exim و mysql برای یوزر root درست تنظیم نشده .
امکانش هست که دوستان این انجمن راهنمایی بفرمایند که چطور می توانم مشکل فوق را حل کنم ؟
باتشکر

درود بر شما

1. csf رو کانفیگ کنید که بروت فورس ها رو اتوماتیک بلاک کنه.
2. تمام پورت های پیشفرض رو تغییر بدید.
3. این صفحه رو مطالعه کنید.
4. کرون جاب ها رو بررسی کنید.

موفق و پیروز باشید.

[محبوبه ساربان]

سلام
ضمن تشکر از پاسخ شما
موارد 1 و 2 و 4 را قبلا انجام داده بودم ، برای همین تصور من بر این است که ایراد از پسورد exim و mysql برای یوزر root هست.
مورد سوم هم که ارسال فرمودید مطالعه کردم ،
بنده از چه طریقی می توانم از درستی پسورد exim و mysql برای یوزر root مطمئن شوم ؟ و آیا خطاهای فوق می تواند به این دلیل باشد ؟
باتشکر

[tpark]

سلام
ضمن تشکر از پاسخ شما
موارد 1 و 2 و 4 را قبلا انجام داده بودم ، برای همین تصور من بر این است که ایراد از پسورد exim و mysql برای یوزر root هست.
مورد سوم هم که ارسال فرمودید مطالعه کردم ،
بنده از چه طریقی می توانم از درستی پسورد exim و mysql برای یوزر root مطمئن شوم ؟ و آیا خطاهای فوق می تواند به این دلیل باشد ؟
باتشکر

این مورد بدون بررسی لاگ ها قابل پیگیری نیست.
حملاتی که از طریق localhost یا 127.0.0.1 انجام میشه میتونه بد افزار یا یک اسکریپت باشه که اطلاعات اشتباهی برای اتصال بهش دادید.
چون عمده حملات روی mysql هستش باید لاگ mysql رو بررسی کنید:

کد:

 /var/lib/mysql/{SERVER_NAME}.err

برای ریست پسورد root دیتابیس این مراحل رو طی کنید.