SSHD ו Brute-Force Attack
 

טוב הסיפור הוא כזה, קניתי VPS קיבלתי IP ולדעתי האיפי הזה שימש פעם למשהו לאתר לא איכותי שכנראה נהגו לפרוץ אליו ואני כל הזמן מקבל הודעות כגון אלה ב DIRECTADMIN שלי...
Brute-Force Attack detected in service log from IP(s) 109.86.24.182
וזה לא מאיזה איפי אחד ספציפי... יש כל מיני לכן אני גם לא רוצה לחסום, מה גם שחסימה נראית לי כמשהו שיאט את השרת הרי אם כל איפי הוא יצטרך לבדוק זה לא יכביד עליו?

בכל מקרה, חשבתי שכיון שכל הניסיונות בעיקר עובדות על SSHD האם לדעתכם יהיה חכם כל עוד אני לא עושה שימוש בטלנט ובכלליות ב SSHD לעצור את התהליך דרך ה Service Monitor , ב DIRECT ADMIN .... ללחוץ שם STOP) ואם אני אצטרך להתחבר ללחוץ START ואז להתחבר...
השאלה היא האם זה לא פוגע בשרת\ביצועים או באתרים שמאוחסנים על השרת באישהי דרך.

ועוד שאלה,
ב Process Monitor שב DirectAdmin ניסיתי לבדוק מה זולל לי זיכרון ראיתי שיש לי משהו כמו 30 תהליכים שרשום בהם ב COMMAND : משהו בסגנון הזה:
1065 dovecot 18 0 6664 2288 1848 S 0.0 0.2 0:00.00 dovecot/pop3-login
1066 dovecot 18 0 6664 2296 1848 S 0.0 0.2 0:00.02 dovecot/pop3-login

ועוד משהו כמו 15 של משהו בסגנון הזה...IMAP
1083 dovecot 23 0 6668 2292 1848 S 0.0 0.2 0:00.00 dovecot/imap-login
1084 dovecot 23 0 6668 2292 1848 S 0.0 0.2 0:00.01 dovecot/imap-login

בקיצור נראה לי שגם זה איזשהו זכר לאתר קודם שיש על האיפי.. או שאולי זה טיבעי אני לא יודע כל כך...

כי אני לא משתמש בדואר או משהו בסגנון בשרת הזה, הדבר היחיד שיש על השרת כרגע זה רק אתר בסיסי בלי שליחת\קבלת אימיילים דרך האתר...

תכבה את המוניטור והוא לא יציק לך...

תכבה את המוניטור.
תתקין CSF.
תבטל את האפשרות ש-ROOT יכול להתחבר ל-SSH.
תשנה את הפורט של ה-SSH.

תודה על התשובות, מערכתההפעלה שלי היא Redhat CentOS 5.0

יונתן: לכבות את המוניטור זה פשוט לייעץ להתעלם מזה שיש ניסיונות התקפה על השרת? (למה לא פשוט לכבות את ה SSHD וזהו כמו שהצעתי?)
KERNEL : שינוי הפורט יהיה מאד יעיל נראה לי שהוא באמת מוגדר כברירת המחדל , - עריכה - הצלחתי לשנות. :) נראה אם זה יעזור

ואף אחד לא התייחס לבעיית הזיכרון שנראה לי לא הגיונית עבור התהליכים הללו שציינתי.

מאז ומעולם היו נסיונות התקפה על כל השרתים של כולם,
רק לאחרונה כש DIRECTADMIN החליטו להעביר את הלוגים של המערכת לתצוגה גראפית , פתאום אנשים התחילו לשים לב שמנסים לחדור להם לשרת כל הזמן.

עד היום התעלמת מהלוגים ( לא ידעת על קיומם ) , עכשיו שהם שולחים לך מייל פתאום זה נהיה חשוב? , מעניינת הגישה הזו.

אני לא ממליץ לכבות את SSHD , כי במידה ולא יעבוד לך DIRECTADMIN מסיבה זו או אחרת , אתה תשאר ללא גישה למערכת ( אלא אם כן יש לך KVM ).

בכל מקרה ,אל תשים את SSHD על פורט גבוהה מ 1023.

תודה על ההסבר יונתן.
מזל שלא כיביתי אותו :) אבל שינוי הפורט כן עזר לי כך לכל המתעניינים.

היי גיל,
התהליכים האלה זה תהליכים של שרתי האימייל.
אתה יכול להנמיך את הכמות של הפרוססים שדלוקים בתור ברירת מחדל
אם אני זוכר נכון בשליפה מהמותן זה אמור להיות ב
/etc/exim/exim.conf
או
/etc/exim.conf

סליפי - הדבר היחיד שראיתי בקובץ הזה ואולי קשור...

# SET SOME MEANINGFUL LIMITS
# OPTIONAL MODIFICATIONS:
# These defaults work for us; you may wish to modify them
# for your environment

message_size_limit = 20M
smtp_receive_timeout = 5m
smtp_accept_max = 100
message_body_visible = 3000
print_topbitchars = true
deliver_queue_load_max = 5
smtp_connect_backlog = 50
split_spool_directory = yes

יכול להיות? ההגדרות הללו טובות? (זה נראה לי הגדרות ברירת מחדל)