Articles of 蛮力攻击

我有一个问题，昨天引起了我的注意。 某人或某物，我假定的一个僵尸networking，一直试图访问特定的电子邮件地址。 服务器软件不断阻止login尝试，但问题是，我越来越多的命中。 这些知识产权不是来自一个特定的范围，而是来自世界各地。 2月26日以来，有500多次尝试。 除了在X次尝试之后封锁IP，我还有什么可以阻止这种“攻击”？ 我正在运行一个安装了Direcadmin的CentOS服务器。 我使用csf + lfd作为附加组件。

我试图在Fail2ban中创build一个failregex来查找这些行（和IP地址），但我不能写它。 我的日志行如下所示： [Thu Sep 22 10：28：32.215159 2016] [：error] [pid 1616] [client 83.143.240.13:54895] FastCGI：server“/var/www/cgi-bin/php5-fcgi-104.236.209.45-80- bloggerger.com“stderr：PHP消息：WPlogin失败，用户名：admin，referer： http : //blogginger.com/wp-login.php [Thu Sep 22 04：38：01.588441 2016] [：error] [pid 24937] [client 49.151.91.8:58121] FastCGI：server“/var/www/cgi-bin/php5-fcgi-104.236.209.45-80- bloggerger.com“stderr：PHP消息：WPlogin失败，用户名：admin，referer： http : //blogginger.com/wp-login.php 这是我在attack.conf中的failregex行： failregex = [[]client <HOST>[]] WP login failed.* 但它不起作用。 没有任何匹配。 什么是正确的failregex线find这些日志行？ 谢谢！

我有一台Linux机器作为testing服务器运行。 我的盒子直接在这台机器上redirect我的端口80。 我创build它来训练所有types的东西（raid，tcp …）。 最近我试图连接到我的机器在VNC，我得到了一个错误“太多authentication失败”，所以我检查日志，我有一个可怕的惊喜; 有人正试图通过在VNC中的蛮力连接到我的机器。 这里是这个日志的简短摘录： 04/01/17 13:53:56 Got connection from client 111.73.46.90 04/01/17 13:53:56 Using protocol version 3.3 04/01/17 13:53:56 Too many authentication failures – client rejected 04/01/17 13:53:56 Client 111.73.46.90 gone 04/01/17 13:53:56 Statistics: 04/01/17 13:53:56 framebuffer updates 0, rectangles 0, bytes 0 04/01/17 13:53:57 Got connection from client 111.73.46.90 04/01/17 13:53:57 […]

我有随机IP不断瞄准我的Apache服务器。 我在日志中获得的样本： 80.108.96.31 – – [18/Aug/2017:16:16:08 +0000] "GET /machine.xml HTTP/1.1" 403 520 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729)" 200.163.163.189 – – [18/Aug/2017:16:16:08 +0000] "GET /machine.xml HTTP/1.1" 403 520 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET […]

我有一个rhel 5.3 w /几个虚拟机和一个虚拟pc运行 cpu：intel quad 2.83 mem：3.5G os：Linux 2.6.18-128.1.14.el5xen＃1 SMP Mon Jun 1 16:09:30 EDT 2009 x86_64 x86_64 x86_64 GNU / Linux 它也运行wordpress，突然之间，我受到某种（似乎）攻击（似乎是某人只是悍马网站），我的虚拟主机死亡的地方，我甚至安装了supercache wp插件那里，没有那么多的帮助 我怎么能够 a）保护未来的这种攻击b）使我的服务器/站点能够忍受这些攻击

这是我的想法， 在一分钟内设置一个阈值30次，然后阻止这个IP几分钟。 但是如果攻击者伪造源IP地址，这可能会立即阻止合法用户。 而我现在很困惑。

我正在运行一个Windows 2008服务器，我已经安装了ts_block，以帮助阻止服务器上的RDP蛮力的尝试。 问题1：我想知道使用ts_block对我有什么好处，因为我的服务器只允许用户使用正确的IP地址来使用RDP。 这是在Windows防火墙中设置的。 问题2：我不认为他们可以进入，因为他们没有正确的IP地址，但是当到达我的服务器的时候，他们会把它打到地狱，导致它占用内存和CPU的能力，使服务器慢。 问题3：硬件防火墙是否有助于防止他们进入我的服务器，并使用ts_block更好的安全？ 谢谢， 坦率

更新：克雷格build议我现在正在尝试fail2ban。 即使我也有这个问题。 failregex虽然没有find任何结果。 我在jail.local中启用了所有apache *，这里是我的apachelogging错误： [Fri Jul 25 11:31:20.758218 2014] [auth_basic:error] [pid 4959] [client 8.8.8.8:12767] AH01617: user GOLD: authentication failure for "/Folder": Password Mismatch [Fri Jul 25 11:31:22.941978 2014] [auth_basic:error] [pid 4959] [client 8.8.8.8:12767] AH01618: user asd not found: /Folder 这里是failegex apache-auth.conf如何configuration为： failregex = ^%(_apache_error_client)s user .* (authentication failure|not found|password mismatch)\s*$ 我也尝试添加这个代码，但仍然无法正常工作 failregex = [[]client […]

* sgsax hates ssl certs < Landon> indeed < Landon> next time my servers cert expires I'm just going to make one for 100 years or something ridiculously long 上述推理有什么不妥之处吗？ 显然有人可能会在100年内蛮横，但你怎么确定什么是可接受的时间框架？

我经常在/var/log/secure.log得到这些： Nov 5 10:50:49 www sshd[775]: reverse mapping checking getaddrinfo for 124.107.32.54.pldt.net [124.107.32.54] failed – POSSIBLE BREAK-IN ATTEMPT! Nov 5 10:50:49 www sshd[775]: Invalid user weber from 124.107.32.54 Nov 5 10:51:18 www sshd[802]: Invalid user weblogic from 66.178.48.196 Nov 5 10:51:56 www sshd[826]: reverse mapping checking getaddrinfo for gw-baneasa-v422.comtelnetworks.eu [193.230.208.98] failed – POSSIBLE BREAK-IN ATTEMPT! […]