Flood Ssh

[MiSi3kK 16]

Wczoraj od godziny 16 mój serwer odbierał 200 połączeń na sekundę na port 22.

Z tego powodu serwerownia odpięła go od sieci.

 

Chciałbym uniknąć tego typu sytuacji w przyszłości i dlatego pytam was o radę. Jak na razie mam tylko trzy pomysły:

1. tzw. Port Knocking

2. zmiana portu na którym działa sshd

3. zakup konta shell w jednej z firm hostingowych i zezwolenie na łączenie z moim portem 22 tylko z tego jednego IP.

 

 

Macie może jakieś pomysły lub wskazówki jak dobrze wykonać te punkty? [co do pkt. 3 nie ma żadnego problemu]

 

Niestety jestem dopiero początkującym administratorem i uczę się na własnych błędach.

[patryk 451]

Skrypty z gatunku "login john/haslo john, login paul/haslo paul i tak milion prob" są przeważnie na tyle głupie, że wystarczy zmiana portu SSH na jakiś nietypowy aby uniknąć 99% ataków. Zmian dokonasz w sshd.conf.

[MiSi3kK 16]

Dzięki za szybką odpowiedź

 

W takim razie punkt nr. 2 można uznać za wprowadzony

Dzisiaj jeszcze wprowadzę punkt 3, a punkt 1 jako najcięższy do wprowadzenia w najbliższych dniach.

 

Mam tylko nadzieję, że nie będzie prób na innych portach

[Gość kwarc]

SPA

 

pdf dla tych których man nie lubi

Podpunkt "Fwknop in Action" przyda Ci się gdy dokumentacja i man okażą się ciężkostrawne.

[T 6]

Wczoraj od godziny 16 mój serwer odbierał 200 połączeń na sekundę na port 22.

Z tego powodu serwerownia odpięła go od sieci.

Obsługi serwerowni nie interesuje, kto się z Tobą łączy i ile razy, skoro Cię odpięli, to najwyraźniej leciał w Ciebie (D)DoS i przeciążał im sieć. W takim wypadku, co oczywiste, nie pomoże żaden skrypt czy cokolwiek uruchomione na Twoim serwerze. Jeśli korzystasz z IRC z tego serwera, to nie korzystaj, bo on jest najczęściej przyczyną takich ataków.

 

PS. Która to serwerownia, zamiast wyciąć źródło ataku wycina jego cel? Napisz, chciałbym wiedzieć z czyich usług nie korzystać.

[patryk 451]

T: mogę od razu napisać, że z takim zachowaniem jak wyżej spotkałem się w Hetznerze i NetDirekcie i niestety boję się, że jeśli chodzi o niemieckie serwerownie to będzie tak w 95% przypadków.

[Linux 0]

Netdirect xD

[Kamil01 0]

Osobiscie sam miałem ddos-a w hetznerze i jakoś mnie nie odłączyli

[P.C. 0]

T: mogę od razu napisać, że z takim zachowaniem jak wyżej spotkałem się w Hetznerze i NetDirekcie i niestety boję się, że jeśli chodzi o niemieckie serwerownie to będzie tak w 95% przypadków.

 

Dwa tygodnie temu mieliśmy podobny atak na jeden z naszych serwerów. Atak rozpoczął się w nocy i muszę przyznać - po pewnym czasie Hetzner odłączył nam serwer. Dopiero po telefonicznej, dosyć mocnej wymianie słów serwer ponownie został podłączony i poczynione kroki w celu wycięcia atakującego IP. Ale zostało to poczynione dopiero wtedy, gdy do nich zadzwoniłem i przedstawiłem dokładnie naszą sytuację. Tłumaczyli się tym, że takie rozwiązania stosują standardowo podczas takich ataków.

Pozdrawiam

[MiSi3kK 16]

Serwerownia do hosteurope.de i musze szczerze przyznać, że bardzo się zawiodłem.

 

Serwer był offline przez 20 godzin, bo w nocy technicy nie odpowiadali, a rano musieli nadrabiać zaległości w odpowiedziach i tak czekałem aż do południa.

 

Prosiłem ich o logi z IP i portem [myślę, że powinni takie mieć]. Odpisali, że nie mają i podali tylko port.

 

Nie używam IRC'a. Aktualnie zaczynam sobie układać przejście do polski [prawdopodobnie kolokacja w serwerydedykowane.eu, chyba, że znajdę lepsze oferty ].

[T 6]

Serwerownia do hosteurope.de i musze szczerze przyznać, że bardzo się zawiodłem.Serwer był offline przez 20 godzin, bo w nocy technicy nie odpowiadali, a rano musieli nadrabiać zaległości w odpowiedziach i tak czekałem aż do południa.Prosiłem ich o logi z IP i portem [myślę, że powinni takie mieć]. Odpisali, że nie mają i podali tylko port.

Dzięki. Rozważałem wykupienie czegoś w hosteurope. Teraz już nie rozważam.

 

Nie używam IRC'a. Aktualnie zaczynam sobie układać przejście do polski

Jeśli do Polski to tylko do dobrej (a więć drogiej) serwerowni, szczerze odradzam tanie oferty. Łącza w Polsce są dużo droższe niż np. w niemczech, nie ma więc siły, żeby podobna "ilościowo" oferta do niemieckiej reprezentowała podobną jakość.Jeśli chodzi o DDoS-y to miło zaskoczyło mnie kiedyś OVH -- nie dość, że nie zablokowali serwera to jeszcze (jak sądzę) sami wyfiltrowali. Ogólnie jakość OVH odbieram znacznie lepiej niż niemieckich serwerowni, a ostatnio zmienili ofertę i nie są dużo droźsi. Proponuję rozważyć.

 

T: mogę od razu napisać, że z takim zachowaniem jak wyżej spotkałem się w Hetznerze i NetDirekcie i niestety boję się, że jeśli chodzi o niemieckie serwerownie to będzie tak w 95% przypadków.

Tak, co do Hetznera też mam sporo zastrzeżeń. Kiedyś radośnie zablokowali mi jedną maszynkę bez szczególnego powodu w sobotę wieczorem, chwilę przed końcem ich godzin pracy i po prostu poszli do domu... wrócili w poniedziałek rano. Jestem też na 99% pewien, że pewnego razu gdy generowałem przez kilka godzin blisko 100 mbit/s ruchu wychodzącego przycięli mi łącze do 10 mbit/s, mimo, że wg. ich oferty przycinają do 10 dopiero po wykorzystaniu 1 TB transferu via 100 mbit/s (miałem wykorzystane 100, może 200 GB w tym miesiącu). Tak więc osobiście nic więcej w Hetznerze nie kupię do poważniejszych zastosowań. Sieć mają niezłą (uptime, pingi) i dobre maszynki, ale powyższe incydenty są niestety wg. mnie niedopuszczalne.

 

Jeśli chodzi o NetDirekt to z pierwszej ręki słyszałem relację, że obsługa co prawda nie zablokowała DDoSowanego serwera tylko... wystawiła fakturę za transfer przychodzący (bodajże coś koło 1000 euro). Jak się ta sprawa skończyła -- nie wiem. Ale nawet tylko to moim zdaniem wiele o nich mówi.

[MiSi3kK 16]

Dobre i drogie..

a mi chodzi o kolokację serwera typu 2x P III przy ruchu tak małym, że spokojnie starczy 200GB na miesiąc. To jest po prostu mały serwer cs'a + parę www. Na razie kupuję maszynkę, a potem poczekam na jakieś opinie i będę szukał.

 

serwerydedykowane.eu == ncgroup.pl, wiec chyba nie powinno być aż tak źle szczególnie, że to jest również jor.pl, a oni też maja dobre opinie.

 

Zobaczymy bo na swojego czasu wspaniałym he już się zawiodłem.

[T 6]

Dobre i drogie..

a mi chodzi o kolokację serwera typu 2x P III przy ruchu tak małym, że spokojnie starczy 200GB na miesiąc. To jest po prostu mały serwer cs'a + parę www. Na razie kupuję maszynkę, a potem poczekam na jakieś opinie i będę szukał.

serwerydedykowane.eu == ncgroup.pl, wiec chyba nie powinno być aż tak źle szczególnie, że to jest również jor.pl, a oni też maja dobre opinie.

Zobaczymy bo na swojego czasu wspaniałym he już się zawiodłem.

Podtrzymuję swoją opinie (popartą bogatym doświadczeniem), że przenosiny z dobrej niemieckiej serwerowni do taniej polskiej to z pewnością duży krok wstecz.

[MiSi3kK 16]

W takim razie jeszcze się z nimi pomęczę i poczekam, aż będę mógł się przenieść do dobrej polskiej serwerowni

 

Dzięki za wszystkie porady

[Nowaker 0]

Skontaktuj się też z Jarosławem Adamskim z hostingowo.pl i zapytaj o ceny - www.kolokacja.hostingowo.pl. Świadczy on usługę kolokacji w gdańskim Zieleniaku. Ceny podobne do ncgroup.