โดน Brute-Force แก้ไขอย่างไรครับ

โดน Brute-Force แก้ไขอย่างไรครับ

ผมโดนบ่อยมาก ๆ และทุกครั้งที่โดน sv จะอืดมาก ๆ ครับ

ระบบ DA จะแจ้งมาว่า

Brute-Force Attack detected in service log from IP(s) 99.94.184.249 Today at 13:06

ไม่ทราบว่ามัน Brute-Froce DA หรือเปล่าครับ แล้วผมจะแก้ไขอย่างไร โดนบ่อยมากครับ ยิงมาทีหลายพันครั้ง





A brute force attack has been detected in one of your service logs.



IP 99.94.184.249 has 5864 failed login attempts: exim2=5864



Check 'Admin Level -> Brute Force Monitor' for more information

http://help.directadmin.com/item.php?id=404


ขอความชี้แนะด้วยครับ

ขอบคุณครับ

ใครไม่โดนถือว่าเชยครับ brute force

ให้เปลี่ยน port ทางเข้าของ DA ดูครับ แล้วก็ไปสั่ง reject ip ที่ brute มาคับ

Firewall สั่ง block ip ไปเลยครับ

จากที่เจ้าของกระทู้เอามาให้ดู ไม่ได้โดนทาง DA ครับ เปลี่ยนไปก็เท่านั้น และปกติ ไม่ได้โดนทาง DA ครับ จะโดนทาง port 25, 21 , 22 ซะมากกว่า

ทางแก้ อันไหนเข้ามาเยอะๆ ก็ block ip นั้นไป

เปลี่ยน ของ da เพื่ออะไรครับ เค้ายิง root ftp กันครับ

เป็นการเตือนว่าซักวันผมคงต้องโดนเข้ากับตัวเองบ้างซินะ

เหอะๆๆ

อ่อครับ ขอบคุณที่สอนครับ

ปิดแจ้งเตือน

port root ผมเปลี่ยนหล่ะ แต่ก่อนมันยิงแต่ตัวนั้น

ตัวนี้ผมไม่แน่ใจว่า มันยิงที่ พอตไหน จะได้เปลี่ยนหนี

ขอบคุณทุกท่านครับ

ตามนี้

ปัญหามันอยู่ตรงที่ user นั้นไม่ได้ทำนี่สิ

ติดตั้ง BFD

อืดเพราะว่า Log เยอะ เขียน Crontab ให้มันลบเองซัก 2-3 วันพอครับ ให้พอที่เราจะเข้าไปดู IP แล้ว Drop มันทันก็พอ

cd /usr/local/directadmin/data/admin/

echo “” > brute_log_entries.list

echo “” > brute_user.data

echo “” > brute_ip.data

เคยโดนประจำเลยครับ ไอพีต่างประเทศทั้งนั้น บล๊อคไปเป็น10 โดนมาตลอด ยิงมาทีเป็นหมื่นครั้ง

เครื่องดับไปหลายรอบเลย

สุดท้ายต้องปิด exim กับ dovecot

ละก็ เปลี่ยน port ssh da ftp ทีนี้หายเลย เครื่องไม่ดับแล้ว

ปิด exim กับ dovecot ทำไมหรอครับ

ดูจาก เมนู Brute-Force ของ DA มันผ่านมาทางนั้นอะครับ 5ชม มันล่อมา 20,000ครั้ง

แล้วจะรับ ส่งเมล์กันยังไงเหรอครับ

เครื่องผมไม่ใช้อยู่แล้วนะ

แต่ถ้าใช้ เวลารับ - ส่งเมล ระบบ exim มันจะเปิดการใช้งานอัตโนมัติ และมันจะปิดตัวเองทันทีเมื่อทำงานเสร็จ (ลองดูสิ)

แต่แค่ว่า เข้าเว็บเมลไม่ได้เท่านั้น

Exim ไม่มีเปิดปิดเองนะครับ

ที่ส่งได้ น่าจะผ่าน socket หรือ mail program ในเครื่อง

APF กับ CSF ช่วยได้มั้ย