这里有人在我的服务器上做了几天的暴力攻击,每次都通过一个不同的外部IP地址(到目前为止有几百个),但总是通过相同的方式,我假定本地IP地址为:192.168.2.33 问题是,有没有办法创build一个iptable规则来阻止该特定的内部IP地址,无论其外部IP地址使用? 我试图直接在CSF中阻止该IP,但无济于事。 2014-08-07 11:44:05 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david) 2014-08-07 11:44:15 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david) 2014-08-07 11:44:32 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david) 2014-08-07 15:52:11 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh) […]
我们的networking服务器目前正在对Exim进行僵尸networking攻击。 我们的服务器是CentOS,使用BFD(使用APF阻止访问的暴力检测)来设置检测并阻止它们。 这种设置的工作时间为99%,但自从周五以来,我们一直在分布式字典攻击下获得访问电子邮件帐户。 我调整了BFD在exim的mainlog中触发一个“错误的身份validation”,BFD每隔30秒运行一次,但是他们仍然通过。 到目前为止,已经有一千多台机器被列入黑名单,目前已被禁赛四天。 还有什么其他的build议可以做什么?
我使用了Fail2Ban和BFD,通常在运行IPTables的服务器上使用Fail2Ban,在服务器运行APF时使用BFD。 这两项服务有什么重大的区别? 这两个程序和兼容性问题之间的优缺点是什么?
在昨天(今天到目前为止)的更好的一部分,我的服务器正在遭受powershell攻击。 当它通过基础知识,我是一个经验不足的pipe理员。 我明白如何去找东西,有时候懂得如何去configuration东西。 这次袭击让我感到压力和疲惫。 每当我觉得我得到它,它回来了。 这是我的CPU在24小时的使用率。 它被初始化为一些WordPress站点的xmlrpc攻击,我已经禁用了一些插件 – 我也自己删除了这些文件。 袭击继续。 我的auth.log显示了很多尝试。 我做了一些阅读,可能fail2ban是一个伟大的工具来阻止暴力攻击。 configuration它 – 我认为这是正确的,即使有一些“命令未发现”的错误 – 它表示,它禁止一个IP攻击我。 事情现在很安静。 我今天早上检查 – CPU启动。 我运行顶部,看看什么是占用所有的APU程序“主机”正在运行。 4274 forge 20 0 1721620 6760 3264 S 98.8 0.3 14:04.99 host 4537 forge 20 0 362804 33656 8664 R 0.3 1.6 0:00.14 php5-fpm 1 root 20 0 33504 3968 2624 S 0.0 […]
互联网上有很多说明使用saslauthd。 我试图运行该服务。 当我发现/run/saslauthd/mux socket和/usr/sbin/testsaslauthd都可用于非特权用户时,它给了我一个惊喜。 所以当你开始saslauthd时,这会让你的系统变得脆弱。 限制蛮力的方法是什么? 我试图谷歌它,但谷歌只显示SMTP和IMAP的东西,而不是saslauthd漏洞本身。
当我看到我的Apache日志other_vhosts_access.log ,我看到许多尝试,从每月几个不同的IP这样的: www.example.com:80 91.200.xx – – [25/Jun/2017:17:20:19 +0200] "POST /wp-login.php HTTP/1.1" www.example.com:80 91.200.xx – – [25/Jun/2017:17:20:19 +0200] "POST /wp-login.php HTTP/1.1" www.example.com:80 91.200.xx – – [25/Jun/2017:17:20:20 +0200] "POST /wp-login.php HTTP/1.1" 这似乎是暴力攻击。 有一个简单的方法来自动禁止 (与高速公路没有链接) 这些攻击者? 如果我使用Wordpress插件,stream量仍然会进入PHP,浪费资源等。 如果我在Apache层面这样做,肯定会浪费资源 我应该尽可能做到最低水平吗? 即IP表? 有没有一个工具,在other_vhosts_access.log中查找这样的攻击者,并自动禁止他们在iptables ?
我有一个AWS EC2 Ubuntu实例,NGINX服务器configuration为侦听端口80上的IP地址50.0.0.1(示例)。 我在index.php有一个login页面。 我想configurationnginx的蛮力检测和预防(主动阻塞)这个页面。 但是,如果一个客户端节点隐藏在我的体系结构: 体系结构中 ,那么根据我的简单脚本(在5次尝试失败后阻止IP地址),它将阻止IP 1.2.3.4(参考体系结构 ),以便其他合法用户与攻击者共享IP 1.2.3.4也会被阻止。 有什么办法可以阻止攻击者的请求,而不是其他合法的请求? 一些解决scheme想到的是: 阻止IP-SourcePort组合而不是仅阻止IP,但是攻击者可以为每个请求随机化源端口。 实现STUN服务器或TURN服务器 什么是最好的解决scheme来实现这一目标?
我正在做一个大学项目的networking安全分析。 服务器使用iis的基本authentication,与ssl集成。 我正在考虑暴力攻击的可能性。 我知道好的策略需要复杂的密码,每隔几天更改一次密码等。但是有一个系统,经过5次错误的尝试(例如)阻止帐户1小时,这有助于对这些攻击有更高的安全性。 我问的是如果有这种保护。 谢谢
所以我已经在我的networking服务器上启用了cPHulk,现在才意识到有人(很可能是一个bot)试图强行进入我的WHM,因此也离开了我。 当我尝试从我通常使用的IPlogin到我的WHM时,显示此消息: 此帐户目前被locking,因为已经检测到暴力行为。 请稍等几分钟,然后再试一次。 试图再次login只会增加这个延迟。 如果您经常遇到此问题,我们build议将您的用户名更改为不太通用的。 所以我只是好奇。 由于有人显然试图蛮横我的WHM,他们也可以试图蛮力我的SSH? cPHulk也保护SSH吗?
我添加了以下防火墙规则,以防御ssh攻击。 iptables -N LOGNDROP iptables -A LOGNDROP -j LOG –log-prefix "SSH attack! " –log-level 7 iptables -A LOGNDROP -j DROP iptables -A INPUT -i eth0 -p tcp -m state –dport 22 –state NEW -m recent –set iptables -A INPUT -i eth0 -p tcp -m state –dport 22 –state NEW -m recent –update –seconds 3600 –hitcount […]