מנסים לפרוץ לי לשרת. מה מומלץ לעשות?

H

Human NOT Alien

New member
מנסים לפרוץ לי לשרת. מה מומלץ לעשות?

כשנכנסתי עכשיו לשרת דרך ssh קיבלתי הודעה: There were 6837 failed login attempts since the last successful login

הסרתי גישה לרוט דרך SSH והסרתי את האפשרות ל-ssh דרך סיסמה (אפשר רק עם מפתח).
selinux דלוק

מה עוד מומלץ לעשות?

אני לא יודע הרבה על פיירוול. מישהו יכול לקרוא את הפלט הבא ולהגיד האם יש פה סכנות:

netst*at -nap(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:34732 0.0.0.0:* LISTEN - tcp 0 628 server-ip:22 my-ip:34363 ESTABLISHED - tcp6 0 0 :::53871 :::* LISTEN - tcp6 0 0 :::111 :::* LISTEN - tcp6 0 0 :::80 :::* LISTEN - tcp6 0 0 :::22 :::* LISTEN - udp 0 0 0.0.0.0:34857 0.0.0.0:* - udp 0 0 0.0.0.0:846 0.0.0.0:* - udp 0 0 0.0.0.0:111 0.0.0.0:* - udp 0 0 127.0.0.1:975 0.0.0.0:* - udp6 0 0 :::846 :::* - udp6 0 0 :::111 :::* - udp6 0 0 :::40132 :::* -




</
 
H

Human NOT Alien

New member
המשך

Active UNIX domain sockets (servers and established)Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 47359 - /run/systemd/private
unix 2 [ ACC ] STREAM LISTENING 6923 - /run/systemd/journal/stdoutunix 7 [ ] DGRAM 6926 - /run/systemd/journal/socketunix 11 [ ] DGRAM 6928 - /dev/logunix 2 [ ACC ] STREAM LISTENING 10585 - /var/run/pcscd/pcscd.communix 2 [ ACC ] SEQPACKET LISTENING 9022 - /run/udev/controlunix 2 [ ACC ] STREAM LISTENING 10597 - /var/run/rpcbind.sockunix 2 [ ACC ] STREAM LISTENING 10609 - /var/run/dbus/system_bus_socketunix 2 [ ] DGRAM 47354 - @/org/freedesktop/systemd1/notifyunix 2 [ ACC ] STREAM LISTENING 10880 - /var/run/rpcbind.sockunix 2 [ ACC ] STREAM LISTENING 13449 - /var/run/NetworkManager/privateunix 2 [ ACC ] STREAM LISTENING 14991 - /run/user/0/systemd/privateunix 2 [ ACC ] STREAM LISTENING 678062 29206/systemd /run/user/1000/systemd/privateunix 2 [ ] DGRAM 14984 - @/org/freedesktop/systemd1/notify/11963714653288774104unix 2 [ ] DGRAM 678055 29206/systemd @/org/freedesktop/systemd1/notify/13073202158368278764unix 2 [ ] DGRAM 8924 - /run/systemd/shutdowndunix 2 [ ACC ] STREAM LISTENING 13557 - /var/run/NetworkManager/private-dhcpunix 2 [ ACC ] STREAM LISTENING 11258 - /var/run/mcelog-clientunix 3 [ ] STREAM CONNECTED 11250 - unix 3 [ ] STREAM CONNECTED 678057 - /var/run/dbus/system_bus_socketunix 3 [ ] STREAM CONNECTED 47356 - /var/run/dbus/system_bus_socketunix 3 [ ] STREAM CONNECTED 14941 - /run/systemd/journal/stdoutunix 3 [ ] STREAM CONNECTED 680532 - &nbsp
 
H

Human NOT Alien

New member
המשך 1

Active UNIX domain sockets (servers and established)Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 47359 - /run/systemd/private
unix 2 [ ACC ] STREAM LISTENING 6923 - /run/systemd/journal/stdoutunix 7 [ ] DGRAM 6926 - /run/systemd/journal/socketunix 11 [ ] DGRAM 6928 - /dev/logunix 2 [ ACC ] STREAM LISTENING 10585 - /var/run/pcscd/pcscd.communix 2 [ ACC ] SEQPACKET LISTENING 9022 - /run/udev/controlunix 2 [ ACC ] STREAM LISTENING 10597 - /var/run/rpcbind.sockunix 2 [ ACC ] STREAM LISTENING 10609 - /var/run/dbus/system_bus_socketunix 2 [ ] DGRAM 47354 - @/org/freedesktop/systemd1/notifyunix 2 [ ACC ] STREAM LISTENING 10880 - /var/run/rpcbind.sockunix 2 [ ACC ] STREAM LISTENING 13449 - /var/run/NetworkManager/privateunix 2 [ ACC ] STREAM LISTENING 14991 - /run/user/0/systemd/privateunix 2 [ ACC ] STREAM LISTENING 678062 29206/systemd /run/user/1000/systemd/privateunix 2 [ ] DGRAM 14984 - @/org/freedesktop/systemd1/notify/11963714653288774104unix 2 [ ] DGRAM 678055 29206/systemd @/org/freedesktop/systemd1/notify/13073202158368278764unix 2 [ ] DGRAM 8924 - /run/systemd/shutdownd
 
H

Human NOT Alien

New member
המשך 2

unix 2 [ ACC ] STREAM LISTENING 13557 - /var/run/NetworkManager/private-dhcpunix 2 [ ACC ] STREAM LISTENING 11258 - /var/run/mcelog-client
unix 3 [ ] STREAM CONNECTED 11250 -
unix 3 [ ] STREAM CONNECTED 678057 - /var/run/dbus/system_bus_socketunix 3 [ ] STREAM CONNECTED 47356 - /var/run/dbus/system_bus_socketunix 3 [ ] STREAM CONNECTED 14941 - /run/systemd/journal/stdoutunix 3 [ ] STREAM CONNECTED 680532 - unix 3 [ ] STREAM CONNECTED 14940 - unix 2 [ ] DGRAM 678045 - unix 3 [ ] STREAM CONNECTED 680533 - /run/systemd/journal/stdoutunix 3 [ ] STREAM CONNECTED 11413 - /run/systemd/journal/stdoutunix 3 [ ] STREAM CONNECTED 680084 - unix 3 [ ] STREAM CONNECTED 12641 - /run/systemd/journal/stdoutunix 3 [ ] STREAM CONNECTED 12640 - unix 2 [ ] DGRAM 680081 - unix 3 [ ] STREAM CONNECTED 11093 - unix 2 [ ] DGRAM 11588 -
 
H

Human NOT Alien

New member
המשך 3

unix 2 [ ] DGRAM 11588 - unix 3 [ ] STREAM CONNECTED 14986 - /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM CONNECTED 11142 - /run/systemd/journal/stdout
unix 3 [ ] STREAM CONNECTED 11273 - /var/run/dbus/system_bus_socketunix 3 [ ] STREAM CONNECTED 13459 - unix 3 [ ] STREAM CONNECTED 13534 - /var/run/dbus/system_bus_socketunix 3 [ ] STREAM CONNECTED 11268 - unix 3 [ ] DGRAM 10143 - unix 2 [ ] DGRAM 13541 - unix 3 [ ] STREAM CONNECTED 11140 - unix 2 [ ] DGRAM 678054 29206/systemd unix 3 [ ] STREAM CONNECTED 678056 29206/systemd unix 2 [ ] DGRAM 83050 - unix 2 [ ] DGRAM 14983 - unix 3 [ ] STREAM CONNECTED 677999 29206/systemd unix 2 [ ] DGRAM 13829 - unix 3 [ ] STREAM CONNECTED 678000 - /run/systemd/journal/stdoutunix 3 [ ] STREAM CONNECTED 47355 - unix 2 [ ] DGRAM 14974 - unix 3 [ ] STREAM CONNECTED 12592 - /var/run/dbus/system_bus_socketunix 3 [ ] STREAM CONNECTED 11094 - /run/systemd/journal/stdout
 
H

Human NOT Alien

New member
המשך 4

unix 2 [ ] DGRAM 11095 - unix 3 [ ] STREAM CONNECTED 11412 -
unix 3 [ ] STREAM CONNECTED 12591 -
unix 3 [ ] STREAM CONNECTED 680085 - unix 2 [ ] DGRAM 11415 - unix 3 [ ] STREAM CONNECTED 678680 - /run/systemd/journal/stdoutunix 3 [ ] STREAM CONNECTED 678679 - unix 3 [ ] STREAM CONNECTED 13451 - unix 3 [ ] STREAM CONNECTED 11269 - unix 2 [ ] DGRAM 10423 - unix 3 [ ] STREAM CONNECTED 11159 - unix 2 [ ] DGRAM 12702 - unix 3 [ ] STREAM CONNECTED 11251 - /run/systemd/journal/stdoutunix 3 [ ] STREAM CONNECTED 13460 - /var/run/dbus/system_bus_socketunix 3 [ ] STREAM CONNECTED 13452 - /var/run/dbus/system_bus_socketunix 3 [ ] STREAM CONNECTED 13533 - unix 2 [ ] DGRAM 10132 - unix 3 [ ] STREAM CONNECTED 14985 - unix 3 [ ] DGRAM 10142 -
 
T

Testosterone

New member
מדוע אתה מאזין בפורט 34732?

איזו אפליקציה רצה על הפורט הזה?
&nbsp
חוץ מזה, יש לך פיירוול מוגדר על השרת שלך?
אם כן - צרף את הפלט של ipconfig -L
אם לא - תגדיר פיירוול מיד.
&nbsp
במיוחד אם השרת הזה פתוח לאינטרנט.
 
H

Human NOT Alien

New member
תודה על התגובה המהירה


על שרת יש תוכנה בשם motion שמקליטה ממצלמת IP, ויש את אפאצ'י שמגיש את האתרים שלי.

פורט 34732:
$ fuser 34732/tcp34732/tcp: 375
$ ls -l /proc/375/exelrwxrwxrwx. 1 root root 0 Aug 9 15:46 /proc/375/exe -> /usr/sbin/rpc.statd


הפלט של iptables -L:
Chain INPUT (policy ACCEPT)target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHEDACCEPT all -- anywhere anywhere INPUT_direct all -- anywhere anywhere INPUT_ZONES_SOURCE all -- anywhere anywhere INPUT_ZONES all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere REJECT all -- anywhere anywhere reject-with icmp-host-prohibitedChain FORWARD (policy ACCEPT)target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHEDACCEPT all -- anywhere anywhere FORWARD_direct all -- anywhere anywhere FORWARD_IN_ZONES_SOURCE all -- anywhere anywhere FORWARD_IN_ZONES all -- anywhere anywhere FORWARD_OUT_ZONES_SOURCE all -- anywhere anywhere FORWARD_OUT_ZONES all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere REJECT all -- anywhere anywhere reject-with icmp-host-prohibitedChain OUTPUT (policy ACCEPT)target prot opt source destination OUTPUT_direct all -- anywhere anywhere Chain FORWARD_IN_ZONES (1 references)target prot opt source destination FWDI_public all -- anywhere anywhere [goto] FWDI_public all -- anywhere anywhere [goto] Chain FORWARD_IN_ZONES_SOURCE (1 references)target prot opt source destination Chain FORWARD_OUT_ZONES (1 references)target prot opt source destination FWDO_public all -- anywhere anywhere [goto] FWDO_public all -- anywhere anywhere [goto] Chain FORWARD_OUT_ZONES_SOURCE (1 references)target prot opt source destination Chain FORWARD_direct (1 references)target prot opt source destination Chain FWDI_public (2 references)target prot opt source destination FWDI_public_log all -- anywhere anywhere FWDI_public_deny all -- anywhere anywhere
 
H

Human NOT Alien

New member
המשך 1

Chain INPUT (policy ACCEPT)target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHEDACCEPT all -- anywhere anywhere INPUT_direct all -- anywhere anywhere INPUT_ZONES_SOURCE all -- anywhere anywhere INPUT_ZONES all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere REJECT all -- anywhere anywhere reject-with icmp-host-prohibitedChain FORWARD (policy ACCEPT)target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHEDACCEPT all -- anywhere anywhere FORWARD_direct all -- anywhere anywhere FORWARD_IN_ZONES_SOURCE all -- anywhere anywhere FORWARD_IN_ZONES all -- anywhere anywhere FORWARD_OUT_ZONES_SOURCE all -- anywhere anywhere FORWARD_OUT_ZONES all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
 
H

Human NOT Alien

New member
המשך 2

Chain OUTPUT (policy ACCEPT)target prot opt source destination
OUTPUT_direct all -- anywhere anywhere
Chain FORWARD_IN_ZONES (1 references)target prot opt source destination FWDI_public all -- anywhere anywhere [goto] FWDI_public all -- anywhere anywhere [goto] Chain FORWARD_IN_ZONES_SOURCE (1 references)target prot opt source destination Chain FORWARD_OUT_ZONES (1 references)target prot opt source destination FWDO_public all -- anywhere anywhere [goto] FWDO_public all -- anywhere anywhere [goto]
 
H

Human NOT Alien

New member
המשך 3

Chain FORWARD_OUT_ZONES_SOURCE (1 references)target prot opt source destination
Chain FORWARD_direct (1 references)target prot opt source destination Chain FWDI_public (2 references)target prot opt source destination FWDI_public_log all -- anywhere anywhere FWDI_public_deny all -- anywhere anywhere FWDI_public_allow all -- anywhere anywhere Chain FWDI_public_allow (1 references)target prot opt source destination Chain FWDI_public_deny (1 references)target prot opt source destination Chain FWDI_public_log (1 references)target prot opt source destination Chain FWDO_public (2 references)target prot opt source destination FWDO_public_log all -- anywhere anywhere FWDO_public_deny all -- anywhere anywhere FWDO_public_allow all -- anywhere anywhere
 
H

Human NOT Alien

New member
המשך 4

Chain FWDO_public_allow (1 references)target prot opt source destination
Chain FWDO_public_deny (1 references)target prot opt source destination Chain FWDO_public_log (1 references)target prot opt source destination Chain INPUT_ZONES (1 references)target prot opt source destination IN_public all -- anywhere anywhere [goto] IN_public all -- anywhere anywhere [goto] Chain INPUT_ZONES_SOURCE (1 references)target prot opt source destination Chain INPUT_direct (1 references)target prot opt source destination Chain IN_public (2 references)target prot opt source destination IN_public_log all -- anywhere anywhere IN_public_deny all -- anywhere anywhere IN_public_allow all -- anywhere anywhere
 
H

Human NOT Alien

New member
המשך 5

Chain IN_public_allow (1 references)target prot opt source destination
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns ctstate NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEWChain IN_public_deny (1 references)target prot opt source destination Chain IN_public_log (1 references)target prot opt source destination Chain OUTPUT_direct (1 references)target prot opt source destination
 
H

Human NOT Alien

New member
לא לטרוח לענות מיד


אני צריך לרוץ לישון (אני קם מחר לפנות בוקר..) - אז לא אספיק להגיב עוד הערב


תודה לכל מי שרצה לעזור (גם אם עדיין לא הספיק להגיב..)
 
E

Expect

New member
נו ו?

אז מה אם מנסים לפרוץ לך לשרת? אתה לא יכול למנוע מאנשים(רוב הסיכויים שזה סתם בוטים) לנסות לעשות BruteForce (אתה טכנית יכול, אבל זה עדיין לא ישנה את העובדה שינסו..תבדוק את fail2ban) תבדוק איזה סרויסים חשופים אצלך לאינטרנט ותקשיח אותם, ssh עשית בסדר..תבדוק הלאה.
 
D

Dניאל Mור

New member
אפרופו SSH, באופן כללי, אתה מוזמן

גם לשנות את Port ברירת המחדל במידה וטרם עשית זאת, מקטין מהותית את "נסיונות החיבור המזיקים" לשרת.

בהצלחה.

+דניאל.
 
H

Human NOT Alien

New member
רעיון טוב

הבעיה שנראה לי שהשרת הכי פריץ דרך אפאצ'י ושם א"א לשנות פרוט...
 
H

Human NOT Alien

New member
אפשר להחליף IP...

אם זה מישהו שמתמקד בי באופן אישי, אז אין מה לעשות, כי הIP של השרת ימשיך להופיע בDNS של הדומיינים.
אבל אם זה משהו שלא מכוון מולי (נראה לי שזה המקרה), אם זה ימשיך פשוט אחליף IP. כי עד כמה שיודוע לי לא היו נסיונות פריצה לפני שעברתי לIP החדש לפני כשבוע וחצי. הבעיה שאיפה שהשרת שלי אין אפשרות להחליף IP. חייבים להרוס את השרת ולהתקין אותו מחדש - רק ככה מקבלים IP חדש.

לקשיח את כל הדברים זה לא כל כך פשוט למי שלא ממש מכיר...הפיירוול בשבילי - זה פיל מעצבן שאף עם לא טרחתי ללמוד איך הוא עובד...
 
You must log in or register to reply here.

Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.

למעלה