Skocz do zawartości
Zaloguj się, aby obserwować  
MiSi3kK

Flood Ssh

Polecane posty

Wczoraj od godziny 16 mój serwer odbierał 200 połączeń na sekundę na port 22.

Z tego powodu serwerownia odpięła go od sieci.

 

Chciałbym uniknąć tego typu sytuacji w przyszłości i dlatego pytam was o radę. Jak na razie mam tylko trzy pomysły:

1. tzw. Port Knocking

2. zmiana portu na którym działa sshd

3. zakup konta shell w jednej z firm hostingowych i zezwolenie na łączenie z moim portem 22 tylko z tego jednego IP.

 

 

Macie może jakieś pomysły lub wskazówki jak dobrze wykonać te punkty? [co do pkt. 3 nie ma żadnego problemu]

 

Niestety jestem dopiero początkującym administratorem i uczę się na własnych błędach.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skrypty z gatunku "login john/haslo john, login paul/haslo paul i tak milion prob" są przeważnie na tyle głupie, że wystarczy zmiana portu SSH na jakiś nietypowy aby uniknąć 99% ataków. Zmian dokonasz w sshd.conf.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za szybką odpowiedź ;)

 

W takim razie punkt nr. 2 można uznać za wprowadzony :)

Dzisiaj jeszcze wprowadzę punkt 3, a punkt 1 jako najcięższy do wprowadzenia w najbliższych dniach.

 

Mam tylko nadzieję, że nie będzie prób na innych portach ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Wczoraj od godziny 16 mój serwer odbierał 200 połączeń na sekundę na port 22.

Z tego powodu serwerownia odpięła go od sieci.

Obsługi serwerowni nie interesuje, kto się z Tobą łączy i ile razy, skoro Cię odpięli, to najwyraźniej leciał w Ciebie (D)DoS i przeciążał im sieć. W takim wypadku, co oczywiste, nie pomoże żaden skrypt czy cokolwiek uruchomione na Twoim serwerze. Jeśli korzystasz z IRC z tego serwera, to nie korzystaj, bo on jest najczęściej przyczyną takich ataków.

 

PS. Która to serwerownia, zamiast wyciąć źródło ataku wycina jego cel? Napisz, chciałbym wiedzieć z czyich usług nie korzystać.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

T: mogę od razu napisać, że z takim zachowaniem jak wyżej spotkałem się w Hetznerze i NetDirekcie i niestety boję się, że jeśli chodzi o niemieckie serwerownie to będzie tak w 95% przypadków.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
T: mogę od razu napisać, że z takim zachowaniem jak wyżej spotkałem się w Hetznerze i NetDirekcie i niestety boję się, że jeśli chodzi o niemieckie serwerownie to będzie tak w 95% przypadków.

 

Dwa tygodnie temu mieliśmy podobny atak na jeden z naszych serwerów. Atak rozpoczął się w nocy i muszę przyznać - po pewnym czasie Hetzner odłączył nam serwer. Dopiero po telefonicznej, dosyć mocnej wymianie słów serwer ponownie został podłączony i poczynione kroki w celu wycięcia atakującego IP. Ale zostało to poczynione dopiero wtedy, gdy do nich zadzwoniłem i przedstawiłem dokładnie naszą sytuację. Tłumaczyli się tym, że takie rozwiązania stosują standardowo podczas takich ataków.

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Serwerownia do hosteurope.de i musze szczerze przyznać, że bardzo się zawiodłem.

 

Serwer był offline przez 20 godzin, bo w nocy technicy nie odpowiadali, a rano musieli nadrabiać zaległości w odpowiedziach i tak czekałem aż do południa.

 

Prosiłem ich o logi z IP i portem [myślę, że powinni takie mieć]. Odpisali, że nie mają i podali tylko port.

 

Nie używam IRC'a. Aktualnie zaczynam sobie układać przejście do polski [prawdopodobnie kolokacja w serwerydedykowane.eu, chyba, że znajdę lepsze oferty :)].

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Serwerownia do hosteurope.de i musze szczerze przyznać, że bardzo się zawiodłem.Serwer był offline przez 20 godzin, bo w nocy technicy nie odpowiadali, a rano musieli nadrabiać zaległości w odpowiedziach i tak czekałem aż do południa.Prosiłem ich o logi z IP i portem [myślę, że powinni takie mieć]. Odpisali, że nie mają i podali tylko port.

Dzięki. Rozważałem wykupienie czegoś w hosteurope. Teraz już nie rozważam. :)

 

Nie używam IRC'a. Aktualnie zaczynam sobie układać przejście do polski

Jeśli do Polski to tylko do dobrej (a więć drogiej) serwerowni, szczerze odradzam tanie oferty. Łącza w Polsce są dużo droższe niż np. w niemczech, nie ma więc siły, żeby podobna "ilościowo" oferta do niemieckiej reprezentowała podobną jakość.Jeśli chodzi o DDoS-y to miło zaskoczyło mnie kiedyś OVH -- nie dość, że nie zablokowali serwera to jeszcze (jak sądzę) sami wyfiltrowali. Ogólnie jakość OVH odbieram znacznie lepiej niż niemieckich serwerowni, a ostatnio zmienili ofertę i nie są dużo droźsi. Proponuję rozważyć. :)

 

T: mogę od razu napisać, że z takim zachowaniem jak wyżej spotkałem się w Hetznerze i NetDirekcie i niestety boję się, że jeśli chodzi o niemieckie serwerownie to będzie tak w 95% przypadków.

Tak, co do Hetznera też mam sporo zastrzeżeń. Kiedyś radośnie zablokowali mi jedną maszynkę bez szczególnego powodu w sobotę wieczorem, chwilę przed końcem ich godzin pracy i po prostu poszli do domu... wrócili w poniedziałek rano. Jestem też na 99% pewien, że pewnego razu gdy generowałem przez kilka godzin blisko 100 mbit/s ruchu wychodzącego przycięli mi łącze do 10 mbit/s, mimo, że wg. ich oferty przycinają do 10 dopiero po wykorzystaniu 1 TB transferu via 100 mbit/s (miałem wykorzystane 100, może 200 GB w tym miesiącu). Tak więc osobiście nic więcej w Hetznerze nie kupię do poważniejszych zastosowań. Sieć mają niezłą (uptime, pingi) i dobre maszynki, ale powyższe incydenty są niestety wg. mnie niedopuszczalne.

 

Jeśli chodzi o NetDirekt to z pierwszej ręki słyszałem relację, że obsługa co prawda nie zablokowała DDoSowanego serwera tylko... wystawiła fakturę za transfer przychodzący (bodajże coś koło 1000 euro). Jak się ta sprawa skończyła -- nie wiem. Ale nawet tylko to moim zdaniem wiele o nich mówi.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dobre i drogie..

a mi chodzi o kolokację serwera typu 2x P III przy ruchu tak małym, że spokojnie starczy 200GB na miesiąc. To jest po prostu mały serwer cs'a + parę www. Na razie kupuję maszynkę, a potem poczekam na jakieś opinie i będę szukał.

 

serwerydedykowane.eu == ncgroup.pl, wiec chyba nie powinno być aż tak źle :) szczególnie, że to jest również jor.pl, a oni też maja dobre opinie.

 

Zobaczymy :) bo na swojego czasu wspaniałym he już się zawiodłem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Dobre i drogie..

a mi chodzi o kolokację serwera typu 2x P III przy ruchu tak małym, że spokojnie starczy 200GB na miesiąc. To jest po prostu mały serwer cs'a + parę www. Na razie kupuję maszynkę, a potem poczekam na jakieś opinie i będę szukał.

serwerydedykowane.eu == ncgroup.pl, wiec chyba nie powinno być aż tak źle :) szczególnie, że to jest również jor.pl, a oni też maja dobre opinie.

Zobaczymy :) bo na swojego czasu wspaniałym he już się zawiodłem.

Podtrzymuję swoją opinie (popartą bogatym doświadczeniem), że przenosiny z dobrej niemieckiej serwerowni do taniej polskiej to z pewnością duży krok wstecz.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W takim razie jeszcze się z nimi pomęczę i poczekam, aż będę mógł się przenieść do dobrej polskiej serwerowni :)

 

Dzięki za wszystkie porady

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×