بالا رفتن لود سرور و حمه های پی در پی Brute-Force

[succes]

من چند وقتیه لود سرورم بی دلیل بالا میره و پی در پی پیام های مثل پیام زیر رو دریافت میکنم :

کد:

New Message: Brute-Force Attack detected in service log from IP(s) 199.123.2.58

به نظرتون بهم حمله DDOS میشه ؟ مشکل از چی میتونه باشه ؟

[ali0000]

با سلام
سیستم عامل و مشخصات سرور؟
برنامه خاصی بروی سرور دارید که باعث حساسیت گروهها و ... بشه ؟
فایروال فعال بروی سرور چیه ؟
گزارشاتی که دریافت میکنید IP Address های متفاوت هستن یا فقط یک آدرس گزارش میشه ؟

[persianmagic]

سرور دایرکت ادمین هست؟این حملات بروت فورس هستند که توسط روبات ها انجام میشند و روی هر سرور دایرکت ادمینی این مورد شایع هست.

حملات بروت فورس تاثیری بر کارایی سرور نداره و فقط برای پیدا کردن پسورد ادمین هست

با تغییر پورت دایرکت ادمین یا ایحاد قوانینی برای بلاک کردن ایپی در صورت وارد کردن محدود رنز عبور میتونید از این حملات پیگریری کنید

[succes]

با سلام
سیستم عامل و مشخصات سرور؟
برنامه خاصی بروی سرور دارید که باعث حساسیت گروهها و ... بشه ؟
فایروال فعال بروی سرور چیه ؟
گزارشاتی که دریافت میکنید IP Address های متفاوت هستن یا فقط یک آدرس گزارش میشه ؟

CenOS - Directadmin
512MB Ram
با چندتا سایت خیلی سبک
فایروالم CSF بود که به خاطر سنگین کردن سرور پاکش کردم ولی مشکل حل نشده

بله IP ها متفاوت هستن

[ali0000]

دوست و استاد گرامی persianmagic اشاره فرمودن و بنده هم همین پیشنهاد رو دارم اول تغییر پورت و دوم ایجاد rule و قوانینی که مثلاً با 3 بار پسورد اشتباه IP رو بلاک کنه که مورد اول توصیه میشه
و پیشنهاد میدم csf رو دوباره نصب و بصورت صحیح کانفیگ کنید و یکی از بهترین گزینه ها ( رایگان ) همین فایرواله در مورد سنگینی و اشغال منابع مورد دیگه ای وجود داشته بعید میدونم csf بوده باشه

[persianmagic]

لود بالای سرور به هیچ وجه از بروت فورس نمیتونه باشه عزیز.ممکنه از اسکریپت یا .. باشه یا تخت ddos باشید که احتمالش کمه

لوگ هارو چک کنید

[succes]

دوست و استاد گرامی persianmagic اشاره فرمودن و بنده هم همین پیشنهاد رو دارم اول تغییر پورت و دوم ایجاد rule و قوانینی که مثلاً با 3 بار پسورد اشتباه ip رو بلاک کنه که مورد اول توصیه میشه
و پیشنهاد میدم csf رو دوباره نصب و بصورت صحیح کانفیگ کنید و یکی از بهترین گزینه ها ( رایگان ) همین فایرواله در مورد سنگینی و اشغال منابع مورد دیگه ای وجود داشته بعید میدونم csf بوده باشه

ممنون از توضیحات کاملتون ...

یعنی csf هیچ ربطی به لود سرور نداره ؟ اگر اینجوری باشه دوباره نصبش میکنم

[zartosht]

ممنون از توضیحات کاملتون ...

یعنی csf هیچ ربطی به لود سرور نداره ؟ اگر اینجوری باشه دوباره نصبش میکنم

با سلام ، به نظز من خطرناک ترین کار ممکن این هست که فایروال سرور رو خاموش کنید ! csf تنضیمات بسیار زیادی داره که فشار کمتری برو روی سرور شما بیاره و سطح بندی داره ، به هیچ عنوان سرور خود را بدون فایر وال و انتی ویروس نگزارید .

[TARIMEHR]

اول به administrator setting برید و تیک گزینه ی Prevent 127.0.0.1 from being Blacklisted رو بزنید

مشکل Brute-force attack با تغییر پورت ssh حل خواهد شد
برای تغییر پورت ssh :
وارد ssh بشید
دستور زیر رو وارد کنید
nano /etc/ssh/sshd_config
دنبال عبارت زیر بگردید

#Port 22
یه عدد به صورت دلخواه جایگزینش کنید و کارکتر # رو از اولش حذف کنید
service sshd restart
مشکل بروت فورس حل میشه

اگر هم براتون ممکنه پورت پیش فرض دایرکت ادمین رو از 2222 به مثلا 1234 تغییر بدید تا از شر ربات های خودکار هم خلاص شید
برای لود سرور هم پردازه ها رو چک کنید که اون قضییش کاملا متفاوت هست

[nginxweb]

درود

خیر تغییر پورت کارا نیست

بهترین راه نوشتن rule های خاص از طریق bash scripting می باشد که براحتی بصورت خودکار تا brute force از سمت یک IP انجام شد آیپی خودکار توسط CSF مسدود میگردد