คำถามติดแท็ก brute-force-attacks

11
Denyhosts vs fail2ban กับ iptables - วิธีที่ดีที่สุดในการป้องกันการเข้าสู่ระบบที่ดุร้าย?
ฉันกำลังตั้งค่าเซิร์ฟเวอร์ LAMP และจำเป็นต้องป้องกัน SSH / FTP / ฯลฯ ความพยายามในการเข้าสู่ระบบแบบ brute-force ไม่สำเร็จ ฉันเห็นคำแนะนำมากมายสำหรับทั้ง denyhosts และ fail2ban แต่มีการเปรียบเทียบสองอย่างน้อย ฉันยังอ่านว่ากฎ IPTables สามารถเติมฟังก์ชันเดียวกันได้ ทำไมฉันถึงเลือกหนึ่งในวิธีการเหล่านี้กับอีกวิธีหนึ่ง? ผู้คนใน serverfault จัดการกับปัญหานี้ได้อย่างไร

14
ป้องกันการโจมตีด้วยกำลังดุร้ายกับ ssh หรือไม่?
คุณใช้เครื่องมือหรือเทคนิคใดเพื่อป้องกันการโจมตีด้วยกำลังดุร้ายกับพอร์ต ssh ของคุณ ฉันสังเกตเห็นในบันทึกความปลอดภัยของฉันว่าฉันมีหลายล้านครั้งที่พยายามเข้าสู่ระบบในฐานะผู้ใช้ที่หลากหลายผ่าน ssh นี่คือกล่อง FreeBSD แต่ฉันคิดว่ามันจะใช้ได้ทุกที่

13
แบนที่อยู่ IP ตามจำนวนการพยายามล็อกอินที่ไม่สำเร็จ?
เป็นไปได้หรือไม่ที่จะห้ามที่อยู่ IP หลังจากพยายามเข้าสู่ระบบ Windows Server ไม่สำเร็จจำนวน X ไม่ใช่เฉพาะบัญชีซึ่งฉันรู้ว่าต้องทำยังไงกับเครื่องจักรทั้งหมด เราได้รับผลกระทบอย่างหนักจากการโจมตีอย่างดุเดือดโดยพยายามคาดเดาชื่อผู้ใช้ดังนั้นสิ่งนี้จะช่วยลดภาระของเซิร์ฟเวอร์ได้

7
วิธีหยุดการเดรัจฉานบังคับโจมตีบนเซิร์ฟเวอร์เทอร์มินัล (Win2008R2)?
ฉันคุ้นเคยกับเครื่องมือ Linux มากขึ้นเพื่อหยุดยั้งการโจมตีที่รุนแรงดังนั้นฉันจึงมีปัญหาในการค้นหาเครื่องมือที่เหมาะสมสำหรับ Windows ฉันใช้ Windows Server 2008 R2 กับ Terminal Server และฉันต้องการบล็อก IP หลังจากพยายามเข้าสู่ระบบผ่านทาง RDP ซ้ำ ๆ คำใบ้ใด ๆ

5
วิธีหยุด / ป้องกัน SSH bruteforce [ปิด]
ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดเมื่อปีที่แล้ว ฉันยังใหม่ต่อการบริหารเครือข่ายดังนั้นโปรดพิจารณาว่าฉันยังไม่เคยมีประสบการณ์ ฉันมีรูทเซิร์ฟเวอร์ Ubuntu พร้อมแผงควบคุม เมื่อวานเพื่อนของฉันและฉันสังเกตเห็นว่าคุณภาพการพูดของ TS3 ของเราแย่มาก ฉันส่ง Ping ไปที่เซิร์ฟเวอร์และมีการสูญเสียแพ็คเก็ตที่สูงมาก หลังจากนั้นฉัน googled auth.logบิตและพบว่ามีการ ฉันดาวน์โหลดและเลื่อนไปรอบ ๆ แล้วฉันพบสิ่งนี้: May 13 10:01:27 rs204941 sshd[9351]: input_userauth_request: invalid user student [preauth] May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): check pass; user unknown May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): authentication failure; …

4
ให้คะแนน จำกัด ด้วย UFW: การตั้งค่า จำกัด
หน้าคนของ UFW กล่าวว่าสามารถตั้งค่าอัตราการ จำกัด iptables สำหรับฉัน: ufw รองรับการ จำกัด อัตราการเชื่อมต่อซึ่งเป็นประโยชน์สำหรับการป้องกันการเข้าสู่ระบบที่โหดร้าย ufw จะปฏิเสธการเชื่อมต่อหากที่อยู่ IP พยายามเริ่มการเชื่อมต่อ 6 ครั้งขึ้นไปใน 30 วินาทีที่ผ่านมา ดู http://www.debian-administrator.org/articles/187 สำหรับรายละเอียด การใช้งานทั่วไปคือ: ufw limit ssh/tcp น่าเสียดายที่นี่เป็นเอกสารทั้งหมดที่ฉันสามารถหาได้ ฉันต้องการติดกับ UFW และไม่ใช้คำสั่ง iptables ที่ซับซ้อนมากขึ้น (เพื่อให้สิ่งที่ "ไม่ซับซ้อน") ฉันจะใช้ ufw เพื่อ จำกัด การรับส่งข้อมูลขาเข้า (ดังนั้นไม่ออก) บนพอร์ต 80 ถึง 20 การเชื่อมต่อต่อ 30 วินาทีได้อย่างไร ฉันจะปิดใช้งานการ จำกัด อัตราสำหรับพอร์ต 30000 …

11
มีวิธีมาตรฐานในการพิสูจน์ความปลอดภัยของรหัสผ่านให้กับผู้ที่ไม่ใช่นักคณิตศาสตร์หรือไม่?
ลูกค้าของฉันมีเซิร์ฟเวอร์ที่กำลังถูกพยายามเข้าสู่ระบบที่โหดร้ายจากบ็อตเน็ต เนื่องจากความหลากหลายของเซิร์ฟเวอร์และไคลเอนต์ของลูกค้าเราจึงไม่สามารถปิดกั้นความพยายามได้อย่างง่ายดายผ่านไฟร์วอลล์การเปลี่ยนพอร์ตหรือการเปลี่ยนชื่อบัญชีเข้าสู่ระบบ การตัดสินใจถูกปล่อยให้เปิดเพื่อโจมตี แต่หาวิธีการรักษารหัสผ่านที่ปลอดภัย ฝ่ายบริหารและที่ปรึกษาอื่นบางคนระบุว่าสิ่งที่ดีที่สุดที่ต้องทำคือติดตั้งซอฟต์แวร์การหมุนรหัสผ่านเพื่อหมุนรหัสผ่านทุกสิบนาทีและให้รหัสผ่านใหม่แก่ผู้ใช้ที่ต้องเข้าสู่ระบบ กำลังพยายามดุร้ายกำลังเกิดขึ้นสองครั้งทุกวินาที ฉันต้องแสดงให้เห็นว่าการใช้รหัสผ่านที่คาดเดายากด้วยความยาว 12-15 ตัวอักษรเป็นวิธีที่ง่ายและฟรี ฉันรู้วิธีพิสูจน์ด้วยคณิตศาสตร์ แต่ฉันแค่เขียนอะไรบางอย่างเช่น "มีการเปลี่ยนรหัสผ่านที่เป็นไปได้จำนวนมาก x และผู้โจมตีสามารถลองได้ครั้งละไม่เกินครั้งดังนั้นเราจึงคาดหวังให้พวกเขาไป x / โดยเฉลี่ย 2n วันก่อนที่พวกเขาจะเดารหัสผ่านของเรา " มี "หลักฐาน" ที่เป็นมาตรฐานมากกว่านี้หรือไม่?

12
การรักษาความปลอดภัยเซิร์ฟเวอร์ SSH กับการทำลายสัตว์
ฉันมีเซิร์ฟเวอร์ SVN เล็ก ๆ น้อย ๆ เดลแล็ป optoplex เก่าที่ใช้เดเบียน ฉันไม่มีความต้องการสูงในเซิร์ฟเวอร์ของฉันเพราะมันเป็นเซิร์ฟเวอร์ SVN เพียงเล็กน้อย ... แต่ต้องการให้ปลอดภัย ฉันเพิ่งต่ออายุเซิร์ฟเวอร์ของฉันให้เป็น optiplex ที่ใหม่กว่าและดีกว่าและเริ่มมองหาเซิร์ฟเวอร์เก่าสักหน่อย ฉันเอามันลงหลังจากประสบปัญหา เมื่อฉันตรวจสอบบันทึกมันเต็มไปด้วยความพยายามที่ดุร้ายและบางคนประสบความสำเร็จในการเข้าสู่เครื่องของฉัน บุคคลนี้สร้างไดรฟ์ข้อมูลพิเศษบางตัวที่เรียกว่า "knarkgosse" ที่มี "รูต" และ "swap1" สอง dirs ไม่รู้จริง ๆ ว่าเพราะอะไรและทำอะไร แต่แน่ใจว่าต้องการป้องกันไม่ให้เกิดขึ้นอีกครั้ง ฉันคิดว่ามันแปลกไปหน่อยเพราะฉันเปลี่ยนรหัสผ่านไม่กี่เดือนและรหัสผ่านนั้นจะเป็นตัวอักษรและตัวเลขสุ่มเสมอกัน ... ไม่ใช่เรื่องง่ายที่จะดุร้าย ฉันรู้ว่าฉันสามารถป้องกันไม่ให้รูทเข้าสู่ระบบและใช้ sudoers ... และเปลี่ยนพอร์ต SSH แต่ฉันจะทำอะไรได้อีกบ้าง ดังนั้นฉันมีคำถามสองสามข้อ: ฉันจะป้องกันไม่ให้เข้าสู่ระบบเป็นเวลา 5 นาทีหลังจากลองจำนวน X ไม่ถูกต้อง หรือพยายามช้าลงหลังจากลองผิดแต่ละครั้ง มีบัญชีดำส่วนกลางบางชนิดที่เซิร์ฟเวอร์สามารถเชื่อมต่อได้หรือไม่ บัญชีดำที่ติดตามที่อยู่ IP …

8
เซิร์ฟเวอร์ที่ถูกแฮ็กโดยบุคคลในการเปลี่ยนแปลง IP อย่างต่อเนื่อง
เราเรียกใช้ผลิตภัณฑ์ชุมชน ในสหราชอาณาจักรมีบุคคล (เด็ก PoS ตัวน้อย) ที่ล่วงละเมิดไซต์ของเราในช่วง 6 เดือนที่ผ่านมา งานประจำวันของเขาคือการสร้างบัญชีใหม่โพสต์เนื้อหาที่ผิดกฎหมาย / อักเสบจำนวนมากเพิ่มจำนวนผู้คนเพิ่มขึ้นจากนั้นผู้ดูแลระบบจะถูกลบภายในไม่กี่ชั่วโมง จากนั้นทำซ้ำ ที่อยู่ IP ของเขาจะเปลี่ยนทุกครั้งที่เขาสร้างบัญชีใหม่ (อาจใช้พร็อกซีหรือเครื่องมืออื่นที่คล้ายคลึงกัน) สามัญชนเพียงอย่างเดียวคือระดับสูงสุด 92.xxx เราได้ลองติดต่อเจ้าหน้าที่สหราชอาณาจักร ... ในขณะที่พวกเขาสนใจพวกเขาไม่ได้ให้อะไรที่สามารถดำเนินการได้ ในขณะเดียวกันการคุกคามนี้ยังคงดำเนินต่อไปทุกวัน ใครบ้างมีประสบการณ์ในการฆ่าสิ่งนี้? ตอนท้ายฉันก็ใกล้จะหมดแล้วและหวังว่าจะมีใครซักคนจัดการเรื่องนี้มาก่อนได้ ขอบคุณล่วงหน้า

3
การรักษาความปลอดภัยเซิร์ฟเวอร์ linux: iptables vs fail2ban
ผมอยากจะเลือกสมองของชุมชนเกี่ยวกับการรักษาความปลอดภัยเซิร์ฟเวอร์ลินุกซ์โดยเฉพาะเกี่ยวกับการโจมตีแรงเดรัจฉานและการใช้fail2ban VS กำหนดเองiptables มีคำถามที่คล้ายกันสองสามข้อ แต่ไม่มีคำถามใดที่ตอบหัวข้อนี้เพื่อความพึงพอใจของฉัน ในระยะสั้นฉันพยายามหาทางออกที่ดีที่สุดในการรักษาความปลอดภัยเซิร์ฟเวอร์ linux ที่เปิดเผยต่ออินเทอร์เน็ต (เรียกใช้บริการตามปกติ, ssh, เว็บ, อีเมล) จากการโจมตีที่โหดร้าย ฉันมีการจัดการที่ดีเกี่ยวกับความปลอดภัยของเซิร์ฟเวอร์เช่นการล็อค ssh โดยไม่อนุญาตให้มีการล็อกอินรูทหรือรหัสผ่านเปลี่ยนพอร์ตเริ่มต้นมั่นใจว่าซอฟต์แวร์ทันสมัยตรวจสอบไฟล์บันทึกอนุญาตให้โฮสต์บางแห่งเข้าถึงเซิร์ฟเวอร์และใช้ความปลอดภัย เครื่องมือการตรวจสอบเช่นLynis ( https://cisofy.com/lynis/ ) สำหรับการปฏิบัติตามการรักษาความปลอดภัยโดยทั่วไปดังนั้นคำถามนี้ไม่จำเป็นต้องเกี่ยวกับว่าถึงแม้จะป้อนข้อมูลและคำแนะนำที่เป็นยินดีต้อนรับเสมอ คำถามของฉันคือฉันควรใช้โซลูชันใด (fail2ban หรือ iptables) และฉันจะกำหนดค่าได้อย่างไรหรือฉันควรใช้ทั้งสองอย่างร่วมกันเพื่อป้องกันการโจมตีที่โหดร้าย? มีการตอบสนองที่น่าสนใจเกี่ยวกับหัวข้อ ( Denyhosts vs fail2ban vs iptables- วิธีที่ดีที่สุดในการป้องกันการเข้าสู่ระบบกำลังดุร้าย? ) คำตอบที่น่าสนใจที่สุดสำหรับฉันคือ ( https://serverfault.com/a/128964 ) และการกำหนดเส้นทาง iptablesนั้นเกิดขึ้นในเคอร์เนลซึ่งตรงข้ามกับ fail2ban ซึ่งใช้เครื่องมือโหมดผู้ใช้เพื่อแยกวิเคราะห์ไฟล์บันทึก Fail2ban ใช้ iptables แน่นอน แต่ก็ยังต้องแยกวิเคราะห์ไฟล์บันทึกและจับคู่รูปแบบจนกว่าจะดำเนินการ มันสมเหตุสมผลหรือไม่ที่จะใช้ iptables …

9
รหัสผ่านที่มีความยาวไม่เกิน 20 ตัวอักษรมีความปลอดภัยเพียงใด
ฉันเพิ่งได้รับคำแนะนำสำหรับการตั้งรหัสผ่านของฉันให้สูงกว่า 20 ตัวอักษร อัลกอริทึมที่ใช้สำหรับการเข้ารหัสคือ AES พร้อมคีย์หลัก 256 บิต สมมุติว่ารหัสผ่านมีความปลอดภัยเพียง 8 ตัวเพื่อต่อต้านการโจมตีแบบ brute force ในการถอดรหัสไฟล์ที่เข้ารหัส? ฉันรู้ว่านี่เป็นขนาดรหัสผ่านที่ดีในเว็บไซต์ส่วนใหญ่ เหตุผลหนึ่งคือพวกเขาสามารถหยุดการโจมตีหลังจาก 3 attemps หรือมากกว่านั้น

3
แหล่งที่มาของข้อผิดพลาดการเข้าสู่ระบบล้มเหลว 4625 พันกับ Logon Type 8 (NetworkCleartext) คืออะไร
ฉันมีระบบ Windows Server 2008 R2 ที่แสดงข้อผิดพลาดการเข้าสู่ระบบล้มเหลว 4625 พันครั้งด้วย Logon Type 8 (NetworkCleartext) ในส่วนความปลอดภัยของบันทึก Windows ทุกวัน ไม่มีที่อยู่ IP ของระบบที่พยายามเข้าถึงที่ระบุไว้ในที่อยู่เครือข่ายต้นทางดังนั้นสคริปต์ที่ฉันสร้างขึ้นเพื่อบล็อก IP ที่ล้มเหลวบ่อยเกินไปไม่สามารถค้นหาได้ ความพยายามในการเข้าสู่ระบบเหล่านี้มาจากบริการใดบ้าง นี่คือตัวอย่างหนึ่งในนั้น: An account failed to log on. Subject: Security ID: SYSTEM Account Name: server-name$ Account Domain: example Logon ID: 0x3e7 Logon Type: 8 Account For Which Logon Failed: Security …

3
ป้องกันการโจมตี SSH
ฉันพยายามตั้งค่ากฎ iptables เพื่ออนุญาตเพียง 3 ครั้งต่อนาทีเพื่อเชื่อมต่อกับ servir ผ่าน SSH และปล่อยการเชื่อมต่อทั้งหมดหลังจากเพื่อป้องกันการโจมตีของ SSH แต่ดูเหมือนว่าฉันกำลังทำอะไรผิดพลาด! -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT …

9
การป้องกันการโจมตีแบบไม่ใช้กำลังบน MySQL หรือไม่
ฉันจำเป็นต้องเปิดระบบเครือข่ายสำหรับ MySQLd แต่ทุกครั้งที่ทำเซิร์ฟเวอร์จะถูกบังคับให้ถูกลืมเลือน สคริปต์การเดารหัสผ่านบางค่าเฉลี่ยเริ่มใช้การตอกบนเซิร์ฟเวอร์เปิดการเชื่อมต่อบนพอร์ต 3306 และลองใช้รหัสผ่านแบบสุ่มตลอดไป ฉันจะหยุดสิ่งนี้ไม่ให้เกิดขึ้นได้อย่างไร? สำหรับ SSH ฉันใช้ denyhosts ซึ่งทำงานได้ดี มีวิธีทำให้ denyhosts ทำงานกับ MySQLd หรือไม่? ฉันยังคิดว่าการเปลี่ยนพอร์ต MySQL ทำงานอยู่ แต่นี่ก็น้อยกว่าอุดมคติและเป็นเพียงโซลูชันหยุดช่องว่าง (ถ้าพวกเขาค้นพบพอร์ตใหม่) ไม่มีใครมีความคิดอื่น ๆ อีกบ้าง? ถ้ามันเปลี่ยนไปฉันกำลังรัน MySQL 5.x บน FreeBSD 6.x
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.