Gość Martinez Zgłoś post Napisano Styczeń 15, 2017 Robię prezentację na zajęcia na temat fail2ban. Jako, że osobiście nie administruję żadnym serwerem, to chciałbym żebyście podzielili się informacjami ile było prób połączenia się do waszych serwerów przez ssh pod roota. Im więcej informacji tym lepiej, szczególnie mile widziane będą informacje o długości trwania ataków, ilości prób połączenia z jednego IP, ilość IP użytych w ataku ilość prób logowania w ciągu ostatnich 24h/7dni/30dni. Jeśli ktoś miałby ochotę się podzielić, byłbym bardzo wdzięczny. Oczywiście dużo lepiej, gdyby dane pochodziły z serwera zabezpieczonego jedynie silnym hasłem, bo jak wiadomo wszelkie zabezpieczenia typu fail2ban, zmiana portu ssh, klucze ssh czy wyłączenie roota powodują znaczący spadek ataków. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Dew Zgłoś post Napisano Styczeń 15, 2017 Jeszcze przed chwilą miałem serwer z silnym hasłem. Próby logowania po ssh miały miejsce od 4 rano do 8 co sekundę z 5 adresów ip. Później od 10 do 16 również co sekundę ale tylko z 4 ip. Tak wynika z logów z ostatnich 24h. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Martinez Zgłoś post Napisano Styczeń 15, 2017 (edytowany) Czy mógłbyś udostępnić mi (na PW) tę część logów, gdzie to widać? Chciałbym wrzucić screena do prezentacji oraz przeanalizować go sobie. Oczywiście po wycięciu co trzeba jakimś grepem lub podobnym narzędziem. Edytowano Styczeń 15, 2017 przez Martinez (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
volt123 3 Zgłoś post Napisano Styczeń 15, 2017 Dodatkowo próby bruteforcowania haseł znacznie się zwiększają, kiedy IP serwera znajduje się na którejś z ogólnodostępnych blacklist. Ostatnio kupiłem VPSa w Rumuni i przydzielili mi IP, które było na kilka blacklistach. W ciągu 24h było ponad 4k połączeń. Hosting nie chciał i zmienić IP, bo powiedzieli, że to nie ich sprawa. Udostępnij ten post Link to postu Udostępnij na innych stronach
