Avaleht
uus teema   vasta Tarkvara »  Turvalisus »  Ubuntu serveris tohutu liiklus,palun abi märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale.  :: Teata moderaatorile teata moderaatorile
otsing:  
laurixx
HV vaatleja

liitunud: 27.07.2009
sõnum 01.12.2013 18:27:29 Ubuntu serveris tohutu liiklus,palun abi vasta tsitaadiga
Nimelt siis kasutusel Ubuntu-10.04 server ja ühel kuupäeval on serveris Outgoing liiklus üle TB. Oskab keegi öelda, kuidas ma saan nüüd jälile, mis siis toimund on sel päeval? Serveris on vaid mõned veebilehed, muud ei midagi.

Edit: lähemal uurimisel on selgunud, et servisse proovitakse sisse logida väga paljudelt erinevalt ip-aadressidelt üle terve maailma. Mida nüüd siis teha, et server päris kummuli ei kukuks ja rünnakuohvriks ei langeks?

daemon.log fail mõned näited:
Nov 26 16:29:00 xxx named[400]: client 94.102.51.196#42341: query (cache) './ANY/IN' denied
Nov 26 21:10:39 xxx named[400]: client 195.211.153.38#58747: query (cache) 'stopdrugs77.com/A/IN' denied
Nov 27 01:09:19 xxx named[400]: client 80.82.64.125#49266: query (cache) 'iana.org/A/IN' denied
Nov 27 01:09:19 xxx named[400]: client 80.82.64.125#55175: query (cache) 'iana.org/A/IN' denied
Nov 27 07:04:27 xxx named[400]: client 64.236.64.139#56367: query (cache) 'dnsscan.shadowserver.org/A/IN' denied
Nov 27 22:30:49 xxx named[400]: client 94.102.56.229#51132: query (cache) 'stopdrugs77.com/ANY/IN' denied
Nov 28 03:20:21 xxx named[400]: client 195.154.118.249#42838: query (cache) 'loo1.ru/ANY/IN' denied
Nov 28 05:38:24 xxx named[400]: client 80.82.64.238#51219: query (cache) 'fkfkfkfa.com/ANY/IN' denied
Nov 28 05:52:45 xxx named[400]: client 64.236.64.139#46667: query (cache) 'dnsscan.shadowserver.org/A/IN' denied
Nov 28 06:09:27 xxx named[400]: client 204.42.253.2#35592: query (cache) '90db0aee.openresolvertest.net/A/IN' denied
Nov 29 01:55:42 xxx named[400]: client 80.82.64.121#53100: query (cache) 'hccforums.nl/ANY/IN' denied
Nov 29 04:02:45 xxx named[400]: client 5.178.66.116#34060: query (cache) './ANY/IN' denied
Nov 29 06:31:13 xxx named[400]: client 80.82.64.238#50135: query (cache) 'fkfkfkfa.com/ANY/IN' denied
Nov 29 07:44:58 xxx named[400]: client 223.130.85.119#56007: query (cache) './ANY/IN' denied
Nov 29 08:35:39 xxx named[400]: client 64.236.64.139#65283: query (cache) 'dnsscan.shadowserver.org/A/IN' denied

auth.log näited:
Nov 29 02:48:22 xxx sshd[22965]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.103.71  user=root
Nov 29 02:48:24 xxx sshd[22965]: Failed password for root from 61.147.103.71 port 15839 ssh2
Nov 29 02:48:32 xxx sshd[22969]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.103.71  user=root
Nov 29 02:48:34 xxx sshd[22969]: Failed password for root from 61.147.103.71 port 17466 ssh2
Nov 29 02:48:42 xxx sshd[22974]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.103.71  user=root
Nov 29 02:48:44 xxx sshd[22974]: Failed password for root from 61.147.103.71 port 19075 ssh2
Nov 29 02:48:52 xxx sshd[22980]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.103.71  user=root
Nov 29 02:48:54 xxx sshd[22980]: Failed password for root from 61.147.103.71 port 20754 ssh2
Nov 29 02:49:01 xxx CRON[22988]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 29 02:49:02 xxx sshd[22984]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.103.71  user=root
Nov 29 02:49:03 xxx CRON[22988]: pam_unix(cron:session): session closed for user root
Nov 29 02:49:04 xxx sshd[22984]: Failed password for root from 61.147.103.71 port 22398 ssh2
Nov 29 02:49:12 xxx sshd[23026]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.147.103.71  user=root
Nov 29 02:49:15 xxx sshd[23026]: Failed password for root from 61.147.103.71 port 24009 ssh2
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
Betamax
HV Guru
Betamax

liitunud: 29.05.2003



Autoriseeritud ID-kaardiga
sõnum 01.12.2013 20:31:29 vasta tsitaadiga
Hakka IP-vahemikke blokkima.
Kommentaarid: 729 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 550
tagasi üles
vaata kasutaja infot saada privaatsõnum
laurixx
HV vaatleja

liitunud: 27.07.2009
sõnum 01.12.2013 22:34:55 vasta tsitaadiga
Betamax kirjutas:
Hakka IP-vahemikke blokkima.

Kuidas ma selle peale küll varem ei tulnud, muidugi.. tänud icon_smile.gif Olin vist ilmselt liiga paanikas icon_biggrin.gif

Kas on mingi võimalus, et saaks välja sorteerida vaid IP-aadressid kogu sellest rägastikust? Log file on üsna pikk ja mahukas ja sealt nende ip-aadresside otsimine võtab ikka päris kaua aega.

Edit: leidsin juba lahenuse Fail2Ban ja DenyHosts näol. Lisaks sai ka SSH port ära muudetud. Nüüd peaks server rahulikumaks muutuma icon_smile.gif
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
estdata
Kreisi kasutaja
estdata

liitunud: 27.09.2004



Autoriseeritud ID-kaardiga
sõnum 28.12.2013 21:52:27 vasta tsitaadiga
laurixx kirjutas:
Betamax kirjutas:
Hakka IP-vahemikke blokkima.

Kuidas ma selle peale küll varem ei tulnud, muidugi.. tänud icon_smile.gif Olin vist ilmselt liiga paanikas icon_biggrin.gif

Kas on mingi võimalus, et saaks välja sorteerida vaid IP-aadressid kogu sellest rägastikust? Log file on üsna pikk ja mahukas ja sealt nende ip-aadresside otsimine võtab ikka päris kaua aega.

Edit: leidsin juba lahenuse Fail2Ban ja DenyHosts näol. Lisaks sai ka SSH port ära muudetud. Nüüd peaks server rahulikumaks muutuma icon_smile.gif


olemas proge mis automaatselt blockib , selle nimetus oli vist blockhosts , pythoni baasil vist
http://www.aczoom.com/blockhosts
Kommentaarid: 22 loe/lisa Kasutajad arvavad:  :: 1 :: 0 :: 16
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Tarkvara »  Turvalisus »  Ubuntu serveris tohutu liiklus,palun abi
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.