โดน Brute-Force แก้ไขอย่างไรครับ
ผมโดนบ่อยมาก ๆ และทุกครั้งที่โดน sv จะอืดมาก ๆ ครับ
ระบบ DA จะแจ้งมาว่า
Brute-Force Attack detected in service log from IP(s) 99.94.184.249 Today at 13:06
ไม่ทราบว่ามัน Brute-Froce DA หรือเปล่าครับ แล้วผมจะแก้ไขอย่างไร โดนบ่อยมากครับ ยิงมาทีหลายพันครั้ง
A brute force attack has been detected in one of your service logs.
IP 99.94.184.249 has 5864 failed login attempts: exim2=5864
Check 'Admin Level -> Brute Force Monitor' for more information
http://help.directadmin.com/item.php?id=404
ขอความชี้แนะด้วยครับ
ขอบคุณครับ
iLhay
March 12, 2012, 2:17pm
2
ใครไม่โดนถือว่าเชยครับ brute force
ให้เปลี่ยน port ทางเข้าของ DA ดูครับ แล้วก็ไปสั่ง reject ip ที่ brute มาคับ
Firewall สั่ง block ip ไปเลยครับ
จากที่เจ้าของกระทู้เอามาให้ดู ไม่ได้โดนทาง DA ครับ เปลี่ยนไปก็เท่านั้น และปกติ ไม่ได้โดนทาง DA ครับ จะโดนทาง port 25, 21 , 22 ซะมากกว่า
ทางแก้ อันไหนเข้ามาเยอะๆ ก็ block ip นั้นไป
iCafe
March 12, 2012, 2:21pm
5
เปลี่ยน ของ da เพื่ออะไรครับ เค้ายิง root ftp กันครับ
suatop
March 12, 2012, 2:23pm
6
เป็นการเตือนว่าซักวันผมคงต้องโดนเข้ากับตัวเองบ้างซินะ
เหอะๆๆ
port root ผมเปลี่ยนหล่ะ แต่ก่อนมันยิงแต่ตัวนั้น
ตัวนี้ผมไม่แน่ใจว่า มันยิงที่ พอตไหน จะได้เปลี่ยนหนี
ขอบคุณทุกท่านครับ
ปัญหามันอยู่ตรงที่ user นั้นไม่ได้ทำนี่สิ
อืดเพราะว่า Log เยอะ เขียน Crontab ให้มันลบเองซัก 2-3 วันพอครับ ให้พอที่เราจะเข้าไปดู IP แล้ว Drop มันทันก็พอ
cd /usr/local/directadmin/data/admin/
echo “” > brute_log_entries.list
echo “” > brute_user.data
echo “” > brute_ip.data
เคยโดนประจำเลยครับ ไอพีต่างประเทศทั้งนั้น บล๊อคไปเป็น10 โดนมาตลอด ยิงมาทีเป็นหมื่นครั้ง
เครื่องดับไปหลายรอบเลย
สุดท้ายต้องปิด exim กับ dovecot
ละก็ เปลี่ยน port ssh da ftp ทีนี้หายเลย เครื่องไม่ดับแล้ว
pornchai18:
เคยโดนประจำเลยครับ ไอพีต่างประเทศทั้งนั้น บล๊อคไปเป็น10 โดนมาตลอด ยิงมาทีเป็นหมื่นครั้ง
เครื่องดับไปหลายรอบเลย
สุดท้ายต้องปิด exim กับ dovecot
ละก็ เปลี่ยน port ssh da ftp ทีนี้หายเลย เครื่องไม่ดับแล้ว
ปิด exim กับ dovecot ทำไมหรอครับ
ดูจาก เมนู Brute-Force ของ DA มันผ่านมาทางนั้นอะครับ 5ชม มันล่อมา 20,000ครั้ง
แล้วจะรับ ส่งเมล์กันยังไงเหรอครับ
เครื่องผมไม่ใช้อยู่แล้วนะ
แต่ถ้าใช้ เวลารับ - ส่งเมล ระบบ exim มันจะเปิดการใช้งานอัตโนมัติ และมันจะปิดตัวเองทันทีเมื่อทำงานเสร็จ (ลองดูสิ)
แต่แค่ว่า เข้าเว็บเมลไม่ได้เท่านั้น
Exim ไม่มีเปิดปิดเองนะครับ
ที่ส่งได้ น่าจะผ่าน socket หรือ mail program ในเครื่อง