باسلام خدمت اعضای محترم انجمن
ما بر روی سرور خودمان به صورت مکرر با پیام هایی مشابه این پیام روبرو می شویم :
کد:
A brute force attack has been detected in one of your service logs.User root has 1794594 failed login attempts: exim2=138 & mysql1=1794370 & phpmyadmin1=57 & pure-ftpd1=25 & sshd5=4
و همچنین پیغام زیر :
کد:
A brute force attack has been detected in one of your service logs.IP localhost has 4332196 failed login attempts: mysql1=4332196
خود من حدسم این هست که پسورد exim و mysql برای یوزر root درست تنظیم نشده .
امکانش هست که دوستان این انجمن راهنمایی بفرمایند که چطور می توانم مشکل فوق را حل کنم ؟
باتشکر
ویرایش توسط محبوبه ساربان : December 26th, 2020 در ساعت 13:14
پاسخ : اعلان force attack has been detected یوزر root
نوشته اصلی توسط محبوبه ساربان
باسلام خدمت اعضای محترم انجمن
ما بر روی سرور خودمان به صورت مکرر با پیام هایی مشابه این پیام روبرو می شویم :
کد:
a brute force attack has been detected in one of your service logs.user root has 1794594 failed login attempts: Exim2=138 & mysql1=1794370 & phpmyadmin1=57 & pure-ftpd1=25 & sshd5=4
و همچنین پیغام زیر :
کد:
a brute force attack has been detected in one of your service logs.ip localhost has 4332196 failed login attempts: Mysql1=4332196
خود من حدسم این هست که پسورد exim و mysql برای یوزر root درست تنظیم نشده .
امکانش هست که دوستان این انجمن راهنمایی بفرمایند که چطور می توانم مشکل فوق را حل کنم ؟
باتشکر
درود بر شما
csf رو کانفیگ کنید که بروت فورس ها رو اتوماتیک بلاک کنه.
پاسخ : اعلان force attack has been detected یوزر root
سلام
ضمن تشکر از پاسخ شما
موارد 1 و 2 و 4 را قبلا انجام داده بودم ، برای همین تصور من بر این است که ایراد از پسورد exim و mysql برای یوزر root هست.
مورد سوم هم که ارسال فرمودید مطالعه کردم ،
بنده از چه طریقی می توانم از درستی پسورد exim و mysql برای یوزر root مطمئن شوم ؟ و آیا خطاهای فوق می تواند به این دلیل باشد ؟
باتشکر
پاسخ : اعلان force attack has been detected یوزر root
نوشته اصلی توسط محبوبه ساربان
سلام
ضمن تشکر از پاسخ شما
موارد 1 و 2 و 4 را قبلا انجام داده بودم ، برای همین تصور من بر این است که ایراد از پسورد exim و mysql برای یوزر root هست.
مورد سوم هم که ارسال فرمودید مطالعه کردم ،
بنده از چه طریقی می توانم از درستی پسورد exim و mysql برای یوزر root مطمئن شوم ؟ و آیا خطاهای فوق می تواند به این دلیل باشد ؟
باتشکر
این مورد بدون بررسی لاگ ها قابل پیگیری نیست.
حملاتی که از طریق localhost یا 127.0.0.1 انجام میشه میتونه بد افزار یا یک اسکریپت باشه که اطلاعات اشتباهی برای اتصال بهش دادید.
چون عمده حملات روی mysql هستش باید لاگ mysql رو بررسی کنید:
کد:
/var/lib/mysql/{SERVER_NAME}.err
برای ریست پسورد root دیتابیس این مراحل رو طی کنید.
ویرایش توسط tpark : December 26th, 2020 در ساعت 16:08