دایرکت ادمین: چرا با اینکه پورت لاگین رو عوض کردم بازم BruteForce میاد؟

[iHSG]

سلام
دوستان من یه سرور دایرکت ادمین دارم که فعلاً یه سایت هم بیشتر روش نیست.
از موقعی که دایرکت ادمین رو نصب کردم پشت سر هم حملات BruteForce تو بخش پیغام های دایرکت ادمین برام میاد که روی یوزر های root و admin هست.
گفتم پورت لاگین رو عوض کنم شاید دیگه نیاد پورت لاگین رو عوض کردم و پورت قبلی هم یعنی 2222 رو در فایروال بستم که دیگه اصلاً باز نشه.
جالب این جاست که من شماره پورت لاگینم رو به هیچ کسی نگفتم و همانطور که گفتم تا حالا هم به کسی هاست ندادم اما چطوریه که باز هر روز تقریباً روزی 6 - 7 بار تو دایرکت ادمین پیغام میاد که حملات BruteForce شده؟

می خوام بدونم وقتی پورت رو ندارن چطوری می تونن حملات BruteForce انجام بدن؟ مگه میشه از یه راهی پورت لاگین هر سرور رو فهمید؟
و آیا راه بهتری برای جلوگیری از حملات BruteForce به جز تغییر پورت نیست.این کنترل پنل ها که یه کپچا هم برای لاگینشون نمیذارن.

خیلی ممنون.

[nginxweb]

درود

دوست گرامی brute foce attacks فقط روی پورت کنترل پنل نیست . معمولا بیشتر روی سرویس هایی مانند pureftpd - proftpd - dovecot - exim و.. انجام میشود و مختلف است.

جهت کنترل این حملات میتوانید از اسکریپی که خود دایرکت ادمین معرفی کرده است برای هماهنگ سازی با CSF firewall استفاده کنید که خودکار ایپی های خاطی بلاک گردند

ارادت

[iHSG]

چه جالب یعنی چطوری می تونن به یه سرویس از داخل یه سرور حمله BruteForce انجام بدن؟
من الان که به پیغام ها دقت کردم دیدم نوشته Brute-Force Attack detected in service log on User(s) root یعنی به سرویس log سرور من حمله BruteForce شده؟
همه پیغام ها به همین سرویس log حمله شده.
من می خوام بدونم من که هنوز سایتم رو جایی معرفی نکردم سرورم رو جایی معرفی نکردم اینا از کجا می فهمن که این آیپی سرور منه و من دایرکت ادمین نصب کردم؟ اینا یه سری ربات هستن درسته؟

من اکثر کار های امنیتی که CSF گفته رو انجام دادم و سبز رنگ هستش بخش IP Blocking دایرکت ادمین هم تو تنظیماتش فعال کردم دیگه باید چی کار کنم تا حملات BruteForce رو خنثی کنم؟

- - - Updated - - -

راستی بعضی اوقات این حملات آیپی نداره چرا؟

[jamal]

اگر یه همچین چیزی نوشته:

A brute force attack has been detected in one of your service logs.

IP 146.0.36.43 has 503 failed login attempts: sshd4=208&sshd5=295
User root has 2634 failed login attempts: exim2=18&sshd5=2616

Check 'Admin Level -> Brute Force Monitor' for more information
http://help.directadmin.com/item.php?id=404

منظور این نیست که به سرویس لاگ شما حمله شده که اصلاً لاگ سرویس نیست.
اما معمولاً از طریق SSH حمله می کنند که باید پورت SSH رو تغییر بدبد. البته اون پورت رو هم باید از طریق دیوار آتش باز کنید.

البته اسکن پورت هم داریم که میان و همۀ شماره پورت های SSH رو امتحان می کنند که ببینید کدوم یکی جواب میده. سپس شروع به حملۀ Brute Force می کنند.
برای هر نوع سرویس دیگه مثل سرویس ایمیل، اف تی پی و... همین موضوع صدق می کنه.
برخی از این سرویس ها رو شما نمی تونید پورت هاشون رو تغییر بدید. اما برخی دیگه مثل SSH که خیلی هم حیاتی است رو می تونید تغییر بدید.
جلوی حملات به صورت کامل گرفته نمیشه. اما از تعدادشون به شدت کاسته میشه...

[iHSG]

خیلی ممنون من تغییر پورت SSH رو فکر نمی کردم انقدر مهم باشه الان پورت SSH هم تغییر دادم ببینم از این به بعد کلی پیام BruteForce میاد یا نه.
بازم ممنون.

[jamal]

تعدادش خیلی کمتر میشه.
بیشتر حملات از طریق SSH صورت می گیره.
اما حتماً یادتون باشه پورت جدید رو از طریق فایروال بازش کنید.
در غیر این صورت پس از تغییر پورت دسترسی به سرور مسدود میشه!
در آخر فایروال و سرویس SSHD رو Restart کنید، تا تغییرات اعمال بشن.