Вопросы Теги

Взлом / неудачные попытки входа на сервер

Недавно зашел на наш сервер после того, как у нас произошел сбой сайта, чтобы перезапустить его, и заметил более 50 000 неудачных попыток входа на сервер с момента последнего успешного входа всего пару дней назад. Поэтому я сначала запустил последнюю команду и не обнаружил никаких подозрительных успешных попыток входа в систему, а затем запустил lastb и получил огромный список, в основном из Китая и схожих IP-адресов.

Мой главный парень, который занимается этим, сейчас в отпуске, так что я как бы медленно учусь; Мне просто интересно, могло ли это быть причиной сбоя и замедления сервера заранее, если это атака или попытка взлома, и рекомендации по исправлению.

lastb server command screenshot

0
задан 9 August 2016 в 18:04
3 ответа

fail2ban - замечательный пакет, доступный в большинстве дистрибутивов Linux. Он отслеживает неудачные попытки входа в систему и некоторое время после слишком большого количества блокировок этого IP-адреса. Вы можете попробовать установить это.

Люди, постоянно пытающиеся войти в систему, могут вызвать высокую нагрузку, если их достаточно, чтобы попытаться достаточно быстро.

4
ответ дан 4 December 2019 в 11:26

Люди стучатся в ваша дверь постоянно со всего Интернета, пытаясь найти способ проникнуть и злоупотребить вашей системой. Кажется маловероятным, что это было причиной сбоя вашей системы (но нельзя полностью исключить его).

Вам следует заглянуть в свои системные журналы, чтобы увидеть, есть ли какие-либо соответствующие / интересные сообщения, которые появляются в это время или примерно в это время. что в системе возникли проблемы при попытке выяснить, в чем проблема. Я считаю Научный метод полезным инструментом в подобных случаях.

2
ответ дан 4 December 2019 в 11:26

Вы можете заблокировать диапазон IP-адресов, откуда вы получаете нежелательные попытки входа в систему.

Я пишу демонстрацию с общедоступным IP 1.2.3.4

Замените 1.2.3.4 на IP адрес, с которого вы получаете попытки входа в систему.

Для блокировки 1.2.3. * диапазон адресов: 

iptables -A INPUT -s 1.2.3.0/24 -j DROP

Для блокировки 1.2. . диапазон адресов: 

iptables -A INPUT -s 1.2.0.0/16 -j DROP

Для блокировки 1. . . * диапазон адресов: 

iptables -A INPUT -s 1.0.0.0/8 -j DROP

После определения диапазона, который вы хотите заблокировать, сохраните изменения, внесенные в iptables. 

 iptables-save

Но будьте осторожны при блокировании с помощью Этот способ. Это заблокирует весь трафик из этого диапазона IP.

-1
ответ дан 4 December 2019 в 11:26

Теги

Похожие вопросы