คำถามติดแท็ก brute-force-attacks

ฉันกำลังตั้งค่าเซิร์ฟเวอร์ LAMP และจำเป็นต้องป้องกัน SSH / FTP / ฯลฯ ความพยายามในการเข้าสู่ระบบแบบ brute-force ไม่สำเร็จ ฉันเห็นคำแนะนำมากมายสำหรับทั้ง denyhosts และ fail2ban แต่มีการเปรียบเทียบสองอย่างน้อย ฉันยังอ่านว่ากฎ IPTables สามารถเติมฟังก์ชันเดียวกันได้ ทำไมฉันถึงเลือกหนึ่งในวิธีการเหล่านี้กับอีกวิธีหนึ่ง? ผู้คนใน serverfault จัดการกับปัญหานี้ได้อย่างไร

62 iptables  brute-force-attacks  fail2ban  denyhosts 

คุณใช้เครื่องมือหรือเทคนิคใดเพื่อป้องกันการโจมตีด้วยกำลังดุร้ายกับพอร์ต ssh ของคุณ ฉันสังเกตเห็นในบันทึกความปลอดภัยของฉันว่าฉันมีหลายล้านครั้งที่พยายามเข้าสู่ระบบในฐานะผู้ใช้ที่หลากหลายผ่าน ssh นี่คือกล่อง FreeBSD แต่ฉันคิดว่ามันจะใช้ได้ทุกที่

49 security  ssh  brute-force-attacks 

เป็นไปได้หรือไม่ที่จะห้ามที่อยู่ IP หลังจากพยายามเข้าสู่ระบบ Windows Server ไม่สำเร็จจำนวน X ไม่ใช่เฉพาะบัญชีซึ่งฉันรู้ว่าต้องทำยังไงกับเครื่องจักรทั้งหมด เราได้รับผลกระทบอย่างหนักจากการโจมตีอย่างดุเดือดโดยพยายามคาดเดาชื่อผู้ใช้ดังนั้นสิ่งนี้จะช่วยลดภาระของเซิร์ฟเวอร์ได้

47 windows  brute-force-attacks 

ฉันคุ้นเคยกับเครื่องมือ Linux มากขึ้นเพื่อหยุดยั้งการโจมตีที่รุนแรงดังนั้นฉันจึงมีปัญหาในการค้นหาเครื่องมือที่เหมาะสมสำหรับ Windows ฉันใช้ Windows Server 2008 R2 กับ Terminal Server และฉันต้องการบล็อก IP หลังจากพยายามเข้าสู่ระบบผ่านทาง RDP ซ้ำ ๆ คำใบ้ใด ๆ

23 windows-server-2008  terminal-server  brute-force-attacks 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดเมื่อปีที่แล้ว ฉันยังใหม่ต่อการบริหารเครือข่ายดังนั้นโปรดพิจารณาว่าฉันยังไม่เคยมีประสบการณ์ ฉันมีรูทเซิร์ฟเวอร์ Ubuntu พร้อมแผงควบคุม เมื่อวานเพื่อนของฉันและฉันสังเกตเห็นว่าคุณภาพการพูดของ TS3 ของเราแย่มาก ฉันส่ง Ping ไปที่เซิร์ฟเวอร์และมีการสูญเสียแพ็คเก็ตที่สูงมาก หลังจากนั้นฉัน googled auth.logบิตและพบว่ามีการ ฉันดาวน์โหลดและเลื่อนไปรอบ ๆ แล้วฉันพบสิ่งนี้: May 13 10:01:27 rs204941 sshd[9351]: input_userauth_request: invalid user student [preauth] May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): check pass; user unknown May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): authentication failure; …

22 linux  ssh  remote-access  brute-force-attacks 

หน้าคนของ UFW กล่าวว่าสามารถตั้งค่าอัตราการ จำกัด iptables สำหรับฉัน: ufw รองรับการ จำกัด อัตราการเชื่อมต่อซึ่งเป็นประโยชน์สำหรับการป้องกันการเข้าสู่ระบบที่โหดร้าย ufw จะปฏิเสธการเชื่อมต่อหากที่อยู่ IP พยายามเริ่มการเชื่อมต่อ 6 ครั้งขึ้นไปใน 30 วินาทีที่ผ่านมา ดู http://www.debian-administrator.org/articles/187 สำหรับรายละเอียด การใช้งานทั่วไปคือ: ufw limit ssh/tcp น่าเสียดายที่นี่เป็นเอกสารทั้งหมดที่ฉันสามารถหาได้ ฉันต้องการติดกับ UFW และไม่ใช้คำสั่ง iptables ที่ซับซ้อนมากขึ้น (เพื่อให้สิ่งที่ "ไม่ซับซ้อน") ฉันจะใช้ ufw เพื่อ จำกัด การรับส่งข้อมูลขาเข้า (ดังนั้นไม่ออก) บนพอร์ต 80 ถึง 20 การเชื่อมต่อต่อ 30 วินาทีได้อย่างไร ฉันจะปิดใช้งานการ จำกัด อัตราสำหรับพอร์ต 30000 …

22 security  firewall  brute-force-attacks  ufw  rate-limiting 

ลูกค้าของฉันมีเซิร์ฟเวอร์ที่กำลังถูกพยายามเข้าสู่ระบบที่โหดร้ายจากบ็อตเน็ต เนื่องจากความหลากหลายของเซิร์ฟเวอร์และไคลเอนต์ของลูกค้าเราจึงไม่สามารถปิดกั้นความพยายามได้อย่างง่ายดายผ่านไฟร์วอลล์การเปลี่ยนพอร์ตหรือการเปลี่ยนชื่อบัญชีเข้าสู่ระบบ การตัดสินใจถูกปล่อยให้เปิดเพื่อโจมตี แต่หาวิธีการรักษารหัสผ่านที่ปลอดภัย ฝ่ายบริหารและที่ปรึกษาอื่นบางคนระบุว่าสิ่งที่ดีที่สุดที่ต้องทำคือติดตั้งซอฟต์แวร์การหมุนรหัสผ่านเพื่อหมุนรหัสผ่านทุกสิบนาทีและให้รหัสผ่านใหม่แก่ผู้ใช้ที่ต้องเข้าสู่ระบบ กำลังพยายามดุร้ายกำลังเกิดขึ้นสองครั้งทุกวินาที ฉันต้องแสดงให้เห็นว่าการใช้รหัสผ่านที่คาดเดายากด้วยความยาว 12-15 ตัวอักษรเป็นวิธีที่ง่ายและฟรี ฉันรู้วิธีพิสูจน์ด้วยคณิตศาสตร์ แต่ฉันแค่เขียนอะไรบางอย่างเช่น "มีการเปลี่ยนรหัสผ่านที่เป็นไปได้จำนวนมาก x และผู้โจมตีสามารถลองได้ครั้งละไม่เกินครั้งดังนั้นเราจึงคาดหวังให้พวกเขาไป x / โดยเฉลี่ย 2n วันก่อนที่พวกเขาจะเดารหัสผ่านของเรา " มี "หลักฐาน" ที่เป็นมาตรฐานมากกว่านี้หรือไม่?

16 security  password  hacking  brute-force-attacks 

ฉันมีเซิร์ฟเวอร์ SVN เล็ก ๆ น้อย ๆ เดลแล็ป optoplex เก่าที่ใช้เดเบียน ฉันไม่มีความต้องการสูงในเซิร์ฟเวอร์ของฉันเพราะมันเป็นเซิร์ฟเวอร์ SVN เพียงเล็กน้อย ... แต่ต้องการให้ปลอดภัย ฉันเพิ่งต่ออายุเซิร์ฟเวอร์ของฉันให้เป็น optiplex ที่ใหม่กว่าและดีกว่าและเริ่มมองหาเซิร์ฟเวอร์เก่าสักหน่อย ฉันเอามันลงหลังจากประสบปัญหา เมื่อฉันตรวจสอบบันทึกมันเต็มไปด้วยความพยายามที่ดุร้ายและบางคนประสบความสำเร็จในการเข้าสู่เครื่องของฉัน บุคคลนี้สร้างไดรฟ์ข้อมูลพิเศษบางตัวที่เรียกว่า "knarkgosse" ที่มี "รูต" และ "swap1" สอง dirs ไม่รู้จริง ๆ ว่าเพราะอะไรและทำอะไร แต่แน่ใจว่าต้องการป้องกันไม่ให้เกิดขึ้นอีกครั้ง ฉันคิดว่ามันแปลกไปหน่อยเพราะฉันเปลี่ยนรหัสผ่านไม่กี่เดือนและรหัสผ่านนั้นจะเป็นตัวอักษรและตัวเลขสุ่มเสมอกัน ... ไม่ใช่เรื่องง่ายที่จะดุร้าย ฉันรู้ว่าฉันสามารถป้องกันไม่ให้รูทเข้าสู่ระบบและใช้ sudoers ... และเปลี่ยนพอร์ต SSH แต่ฉันจะทำอะไรได้อีกบ้าง ดังนั้นฉันมีคำถามสองสามข้อ: ฉันจะป้องกันไม่ให้เข้าสู่ระบบเป็นเวลา 5 นาทีหลังจากลองจำนวน X ไม่ถูกต้อง หรือพยายามช้าลงหลังจากลองผิดแต่ละครั้ง มีบัญชีดำส่วนกลางบางชนิดที่เซิร์ฟเวอร์สามารถเชื่อมต่อได้หรือไม่ บัญชีดำที่ติดตามที่อยู่ IP …

14 ssh  security  brute-force-attacks 

เราเรียกใช้ผลิตภัณฑ์ชุมชน ในสหราชอาณาจักรมีบุคคล (เด็ก PoS ตัวน้อย) ที่ล่วงละเมิดไซต์ของเราในช่วง 6 เดือนที่ผ่านมา งานประจำวันของเขาคือการสร้างบัญชีใหม่โพสต์เนื้อหาที่ผิดกฎหมาย / อักเสบจำนวนมากเพิ่มจำนวนผู้คนเพิ่มขึ้นจากนั้นผู้ดูแลระบบจะถูกลบภายในไม่กี่ชั่วโมง จากนั้นทำซ้ำ ที่อยู่ IP ของเขาจะเปลี่ยนทุกครั้งที่เขาสร้างบัญชีใหม่ (อาจใช้พร็อกซีหรือเครื่องมืออื่นที่คล้ายคลึงกัน) สามัญชนเพียงอย่างเดียวคือระดับสูงสุด 92.xxx เราได้ลองติดต่อเจ้าหน้าที่สหราชอาณาจักร ... ในขณะที่พวกเขาสนใจพวกเขาไม่ได้ให้อะไรที่สามารถดำเนินการได้ ในขณะเดียวกันการคุกคามนี้ยังคงดำเนินต่อไปทุกวัน ใครบ้างมีประสบการณ์ในการฆ่าสิ่งนี้? ตอนท้ายฉันก็ใกล้จะหมดแล้วและหวังว่าจะมีใครซักคนจัดการเรื่องนี้มาก่อนได้ ขอบคุณล่วงหน้า

10 security  denial-of-service  brute-force-attacks  cookies 

ผมอยากจะเลือกสมองของชุมชนเกี่ยวกับการรักษาความปลอดภัยเซิร์ฟเวอร์ลินุกซ์โดยเฉพาะเกี่ยวกับการโจมตีแรงเดรัจฉานและการใช้fail2ban VS กำหนดเองiptables มีคำถามที่คล้ายกันสองสามข้อ แต่ไม่มีคำถามใดที่ตอบหัวข้อนี้เพื่อความพึงพอใจของฉัน ในระยะสั้นฉันพยายามหาทางออกที่ดีที่สุดในการรักษาความปลอดภัยเซิร์ฟเวอร์ linux ที่เปิดเผยต่ออินเทอร์เน็ต (เรียกใช้บริการตามปกติ, ssh, เว็บ, อีเมล) จากการโจมตีที่โหดร้าย ฉันมีการจัดการที่ดีเกี่ยวกับความปลอดภัยของเซิร์ฟเวอร์เช่นการล็อค ssh โดยไม่อนุญาตให้มีการล็อกอินรูทหรือรหัสผ่านเปลี่ยนพอร์ตเริ่มต้นมั่นใจว่าซอฟต์แวร์ทันสมัยตรวจสอบไฟล์บันทึกอนุญาตให้โฮสต์บางแห่งเข้าถึงเซิร์ฟเวอร์และใช้ความปลอดภัย เครื่องมือการตรวจสอบเช่นLynis ( https://cisofy.com/lynis/ ) สำหรับการปฏิบัติตามการรักษาความปลอดภัยโดยทั่วไปดังนั้นคำถามนี้ไม่จำเป็นต้องเกี่ยวกับว่าถึงแม้จะป้อนข้อมูลและคำแนะนำที่เป็นยินดีต้อนรับเสมอ คำถามของฉันคือฉันควรใช้โซลูชันใด (fail2ban หรือ iptables) และฉันจะกำหนดค่าได้อย่างไรหรือฉันควรใช้ทั้งสองอย่างร่วมกันเพื่อป้องกันการโจมตีที่โหดร้าย? มีการตอบสนองที่น่าสนใจเกี่ยวกับหัวข้อ ( Denyhosts vs fail2ban vs iptables- วิธีที่ดีที่สุดในการป้องกันการเข้าสู่ระบบกำลังดุร้าย? ) คำตอบที่น่าสนใจที่สุดสำหรับฉันคือ ( https://serverfault.com/a/128964 ) และการกำหนดเส้นทาง iptablesนั้นเกิดขึ้นในเคอร์เนลซึ่งตรงข้ามกับ fail2ban ซึ่งใช้เครื่องมือโหมดผู้ใช้เพื่อแยกวิเคราะห์ไฟล์บันทึก Fail2ban ใช้ iptables แน่นอน แต่ก็ยังต้องแยกวิเคราะห์ไฟล์บันทึกและจับคู่รูปแบบจนกว่าจะดำเนินการ มันสมเหตุสมผลหรือไม่ที่จะใช้ iptables …

10 ssh  security  iptables  fail2ban  brute-force-attacks 

ฉันเพิ่งได้รับคำแนะนำสำหรับการตั้งรหัสผ่านของฉันให้สูงกว่า 20 ตัวอักษร อัลกอริทึมที่ใช้สำหรับการเข้ารหัสคือ AES พร้อมคีย์หลัก 256 บิต สมมุติว่ารหัสผ่านมีความปลอดภัยเพียง 8 ตัวเพื่อต่อต้านการโจมตีแบบ brute force ในการถอดรหัสไฟล์ที่เข้ารหัส? ฉันรู้ว่านี่เป็นขนาดรหัสผ่านที่ดีในเว็บไซต์ส่วนใหญ่ เหตุผลหนึ่งคือพวกเขาสามารถหยุดการโจมตีหลังจาก 3 attemps หรือมากกว่านั้น

10 password  encryption  brute-force-attacks 

ฉันมีระบบ Windows Server 2008 R2 ที่แสดงข้อผิดพลาดการเข้าสู่ระบบล้มเหลว 4625 พันครั้งด้วย Logon Type 8 (NetworkCleartext) ในส่วนความปลอดภัยของบันทึก Windows ทุกวัน ไม่มีที่อยู่ IP ของระบบที่พยายามเข้าถึงที่ระบุไว้ในที่อยู่เครือข่ายต้นทางดังนั้นสคริปต์ที่ฉันสร้างขึ้นเพื่อบล็อก IP ที่ล้มเหลวบ่อยเกินไปไม่สามารถค้นหาได้ ความพยายามในการเข้าสู่ระบบเหล่านี้มาจากบริการใดบ้าง นี่คือตัวอย่างหนึ่งในนั้น: An account failed to log on. Subject: Security ID: SYSTEM Account Name: server-name$ Account Domain: example Logon ID: 0x3e7 Logon Type: 8 Account For Which Logon Failed: Security …

9 windows-server-2008  windows-server-2008-r2  log-files  windows-event-log  brute-force-attacks 

ฉันพยายามตั้งค่ากฎ iptables เพื่ออนุญาตเพียง 3 ครั้งต่อนาทีเพื่อเชื่อมต่อกับ servir ผ่าน SSH และปล่อยการเชื่อมต่อทั้งหมดหลังจากเพื่อป้องกันการโจมตีของ SSH แต่ดูเหมือนว่าฉันกำลังทำอะไรผิดพลาด! -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT …

9 ssh  iptables  brute-force-attacks 

ฉันจำเป็นต้องเปิดระบบเครือข่ายสำหรับ MySQLd แต่ทุกครั้งที่ทำเซิร์ฟเวอร์จะถูกบังคับให้ถูกลืมเลือน สคริปต์การเดารหัสผ่านบางค่าเฉลี่ยเริ่มใช้การตอกบนเซิร์ฟเวอร์เปิดการเชื่อมต่อบนพอร์ต 3306 และลองใช้รหัสผ่านแบบสุ่มตลอดไป ฉันจะหยุดสิ่งนี้ไม่ให้เกิดขึ้นได้อย่างไร? สำหรับ SSH ฉันใช้ denyhosts ซึ่งทำงานได้ดี มีวิธีทำให้ denyhosts ทำงานกับ MySQLd หรือไม่? ฉันยังคิดว่าการเปลี่ยนพอร์ต MySQL ทำงานอยู่ แต่นี่ก็น้อยกว่าอุดมคติและเป็นเพียงโซลูชันหยุดช่องว่าง (ถ้าพวกเขาค้นพบพอร์ตใหม่) ไม่มีใครมีความคิดอื่น ๆ อีกบ้าง? ถ้ามันเปลี่ยนไปฉันกำลังรัน MySQL 5.x บน FreeBSD 6.x

9 mysql  brute-force-attacks