- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
к моему провайдеру прислали следующее:
Thank you for your cooperation in this matter."
The remote system **.***.5.154 was found to have exceeded acceptable login failures on dedicated.azriver.com; there was 23 events to the service sshd. As such the attacking host has been banned from further accessing this system. For the integrity of your host you should investigate this event as soon as possible.
Executed ban command:
/etc/apf/apf -d **.**.5.154 {bfd.sshd}
The following are event logs from **.***.5.*54 on service sshd (all time stamps are GMT -0700):
Jun 4 08:45:27 dedicated sshd[2367]: Failed password for root from **.***.5.154 port 50126 ssh2
Jun 4 08:45:29 dedicated sshd[2375]: Failed password for root from **.***.5.154 port 50204
и длинный список.
сервер мой собственный, поэтому искать причины этого придется мне.
мои мысли - либо по shell действительно брутфорс идёт, либо от скрипта в какой то папке, но под шелл маскируется.
Что собираюсь сделать:
- снести вообще все и переустановить ось
- не создавать шелл доступ вообще
- аккуратно, а не как раньше юзать сторонние скрипты и права к папкам давать думая головой.
- пароли к аакам делать не как раньше а длинные и сложные.
Что можете ещё посоветовать в этой ситуации? (ось - Центос)
ЗЫ - ещё одна абуза:
on June 04, 2009. Please investigate a TCP sweep of port 22 from the IP **.***.5.154 and inform me of the results (account cancelled, user warned, etc). I will require this
information in order to close the ticket on this activity. I have attached a portion of the log details as evidence. All times are EDT (GMT -4).
(NOTE: This is an automated email response to the incoming scan/attack.)
15:25:27 **.**.5.154 0.0.0.0 [TCP-SWEEP] (total=398,dp=22,min=212.1.185.0,max=212.1.184.255,Jun04-15:25:27,Jun04-15:25:27) (USI-amsxaid01)
15:26:13 **.**.5.154 0.0.0.0 [TCP-SWEEP] (total=159,dp=22,min=212.1.189.0,max=212.1.190.255,Jun04-15:25:27,Jun04-15:25:28) (USI-amsxaid01)
Для начала можно закрыть исходящие SSH соединения и посмотреть ломится ли кто-то от Вас сейчас наружу на 22 порт. Соответсвенно и хостеру сказать что исходящие SSH закрыли, чтобы они отрапортовали о победе над абузой. Если кто-то ломится искать кто. Скорее всего куда-то залили какую-нибудь брутилку и запустили.
Сносить из-за этого систему я бы не стал.
Просто все закрыть/настроить - конечно хорошо, но вообще за серваком надо следить, просматривать логи и отслеживать аномальную активность. Ну и настрой нормально iptables.
Просто все закрыть/настроить - конечно хорошо, но вообще за серваком надо следить, просматривать логи и отслеживать аномальную активность. Ну и настрой нормально iptables.
серверу 2 недели, там 3 сайта весом 30 мБ на вордпрессе. логи начну отслеживать теперь. а что такое "настрой нормально iptables"?
а что такое "настрой нормально iptables"?
Это firewall в Linux'е, а под "нормально настроить" я имел в виду закрыть все порты на вход и выход, оставив только необходимые для работы, например на ход 22(ssh), 80(http), 25(smtp если есть почта) ну и т.д. Тогда даже если попытаются пробрутить кого-нибудь, то просто упрутся в закрытый порт.
1. На dedic.ru была статья о восстановлении сервера после взлома при помощи Live CD и rpm
2. К свежезаказанному серверу обязательна первоначальная настройка у админа
- как уже посоветовали закрыть исходящий трафик на 22 порт, причем DROP-ом конекты просто "подвисали"
- вооружившись netstat и/или lsof искать кто инициирует соединения
мне кажется наиболее вероятным что через дырку в WP плагине залили скрипт который используется как proxy
Но эти меры помогут только если в систему не поставили руткит. По этому проверяйте целостность
(rpm -qaV)
а сокеты никак нельзя закрыть для определённого пользователя?
а сокеты никак нельзя закрыть для определённого пользователя?
можно через selinux policy
И главное все старые пароли не забудьте сменить.