- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
День добрый,
Исходные данные, без расшифровок cPanel Server, CSF, sshd процессы.
Centos 5.8 (64bit)
2.6.18-308.13.1.el5 #1 SMP Tue Aug 21 17:10:18 EDT 2012 x86_64 x86_64 x86_64 GNU/Linux
Смотрю процесс:
Первая мысль, думаю капец, проломали сервер, честно :D потом начал осматриваться, tcpdump host 91.205.189.15 - 0 .... ваще ничего ... думаю, как же тогда ESTABLISHED если за 10 минут ни одного пакета..... лезу в логи:
Соответственно брутфорс, и я плавно прихожу к выводу:
>>
Собственно вопрос, какого хрена !!! SShd процесс который отвечал на эту попытку брутфорса... висит около суток !!! так еще и в состоянии ESTABLISHED?
Я так понимаю это уже проблема не sshd :) ? а состояния соединения.... ;) ? Причем как видно из ipables, по сути этот процесс еще и пытается контачить ту сторону... видимо он нарывается на ответ файрвола, по этому смыслу:
и шлет, шлет.... шлет.... ?:)
Баг :D ? (По факту получилось так, что мой файрвол сейчас сдерживает трафик от меня же в сторону этого брутфорсера.... :) Реально можно расценить как атаку изнутри...... :)))) )
Спасибо :D
IP не стал прятать так как реально с него брутят :D Может кто узнает свой в нем - проверьтесь на вирусы :D
начал осматриваться, tcpdump host 91.205.189.15 - 0 .... ваще ничего ... думаю, как же тогда ESTABLISHED если за 10 минут ни одного пакета.....
строго говоря, tcpdump не гарантирует захвата всех пакетов прошедших по интерфейсу.
Если всякие параметры ядра типа net.ipv4.tcp_* хорошенько задрать вверх, то соединения могут провисеть довольно долго.
Ну и баг, разумеется, не нужно исключать - это же centos5, где все давно протухло.
Вы покажите как именно блокируется IP. Т.е. цепочку правил целиком, которую проходит запрос при попадении в этот DROP (в INPUT и OUTPUT, соответственно).
Периодически сталкиваюсь, что "фильтруют", к примеру, TCP-соединения только в --state NEW для INPUT.
Периодически сталкиваюсь, что "фильтруют", к примеру, TCP-соединения только в --state NEW для INPUT.
И вполне оправдано. Все равно эти люди не сознательно трафик экономят, а занимаются "повышением секурности" хостинга с помощью такой фигни как блокирование ssh.
И вполне оправдано.
Технически - это ошибка. В результате которой мы, видимо, в данном случае и наблюдаем что наблюдаем.
PS: Филозофский вопрос зачем оно надо - оставляю за кадром.
Судя по размышлениям ТС, в его случае - ошибка.
Но другие люди могут делать подобную настройку вполне осознанно. ssh обычно рвет соединение при N неправильных попытках входа. Не провисит такое соединение долго.
myhand, полагаю, что все как вы и сказали, есть фильтрующие правила по state NEW, видимо тут и проблема, приходить запрос приходит, потом ИП csf лочит, и обратка уже не возвращается, но до сих пор не понимаю, почему процесс sshd не отмирает после х времени , даже если он при этом пытается отвечать, должен же сработать какой-то таймаут? Или выходит , что новое соединение нельзя установить, а старое типа будет жить?
почему процесс sshd не отмирает после х времени
Зависит в первую очередь от настроек собственно sshd.
Зависит в первую очередь от настроек собственно sshd.
Я там настроек про таймауты не помню, Grace login разве что , но это как бы на вход на сколько я понимаю.