c********n 发帖数: 1577 | 1 fail2ban主要用来阻挡扫描ssh,我改个port,例如改成250
然后不对外开放,
平常只用来当Shadowsocks server,开shadowsocks 8xxx的一个端口。
密码搞个60位的。
这样没问题吧? |
|
|
|
d********g 发帖数: 10550 | 4 那说明你还不太懂
不说网站,服务器本身运维的奇技淫巧就太多了。上VPS的话在fail2ban log里一看,
世界各地的肉鸡没日没夜地折腾。没兴趣自己搞运维,或者没时间精力钻研,还是租虚
拟主机算了,VPS不好好设置就是一枚定时炸弹 |
|
z*********n 发帖数: 94654 | 5 家里放个服务器,就是为了能远程到家里干很多事情,key only, only allowed user
zhanglaosan
无聊的试密码的肯定是进不去了,但是架不住人家不死心啊,一天authlog几万条,全
是brute force试密码的
装了fail2ban,清净了,一看,一天下来block的ip,100%的来自天朝
试过改端口,把ssh 端口改个随机的,的确清净,authlog 一个月也没一条试密码的。
可惜好多地方的防火墙只允许22 出口,不允许那些奇怪端口
且,如果有人分析流量,22口的,在我们这种互联网企业不会引起任何怀疑,一个奇怪
出口的流量,估计会升起红旗 |
|
|
r***y 发帖数: 4379 | 7 没用的用户一律干掉
要用的用户用复杂密码
ssh改成public key登录
再不行就装个fail2ban 基本上就可以了
最后常更新系统 |
|
w*******t 发帖数: 960 | 8 一个困惑了一天的iptables问题要请教,
ubuntu V14,我设置了22等几个端口允许,其他的都block了。 但为何我的asterisk里
还能看见人不停的试我的密码,端口就不在允许范围内
下面是我的iptables -S输出
=====================================================================
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060:5061 -j ACCEPT
-A INPUT -p tcp -m tcp --dpo... 阅读全帖 |
|
|
w*******t 发帖数: 960 | 9 我的网络 internet -- router(port forwarding) --- ubuntu pc( w/ iptables)
iptables 里 drop input
允许一些必要的port
把规则改了改,
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
又加了这几条 drop非法连接
-A INPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
======================================================================
asterisk CLi还是出现下面的信息:
212.I29.2.I76
这里的5112端口,我并没有开... 阅读全帖 |
|
j********2 发帖数: 4438 | 10 连的还是你的5060,5112是对方的端口。
你开着asterisk,如果想别人从外部网络call你,那对方自然会跑来连你的5060。但是
如果你配置不对的话,别有用心的人就会不断尝试从外部网络以guest的方式通过你的
trunk去call收费国际收费号码。一旦你的安全没有做好,对方成功call的话,那吸掉
的话费就进了别人的口袋。
看你的log是正常的,所以不用担心。研究一下fail2ban针对asterisk的规则自动
封,或者干脆不管,没啥大碍。但得确定你配置好没有任何洞。 |
|
w*******t 发帖数: 960 | 11 内网有台ubuntu的server,pptp是装哪里比较好?
我能想到的装服务器上的好处是,可以fail2ban保护一下
求指点 |
|
|
k**********s 发帖数: 6409 | 13
Linux上装fail2ban,Windows上用防火墙都关上,然后打开高端端口,用passport
forward到低端端口比如3389等。 |
|
c********n 发帖数: 1577 | 14 谢谢大家,搞定了,装错了,装得client,。。。。应该装server的。。。
要是没人扫端口就算了,要是一直有人扫,在修改fail2ban吧。
现在要开始搞openwrt client了
大家推荐是pptp+ss还是openvpn+ss啊
openwrt路由器已经准备好了 |
|
c******n 发帖数: 16666 | 15 我觉得可以 除非gfw吃饱了 每次监测到疑似ss都来扫一下服务器
要扫也是扫活动多的 我感觉 |
|
c********n 发帖数: 1577 | 16
这次试试
vpn各种的国内已经肯定不能用了,连ss都是有时候块有时候满。烦透了 |
|
|
a*o 发帖数: 19981 | 18 够呛,据说gfw现在嚣张得很,看不懂是啥traffic就掐,根本不跟你讲道理。 |
|
c********n 发帖数: 1577 | 19
那照这么说。。。。SS也基本没用了?
最恶心的就是 网络商给你整个内网ip..。。弄啥都扫一下
有时候teamviewer都贼卡 |
|
k******0 发帖数: 2438 | 20 请教万能的BBS,这是怎么回事?该怎么办?
本人网络门外汉,我用的网络公司来信说我的IP攻击了德国某服务器。问题是我家没有
可能发起攻击。难道是某个安卓app,或某个电脑程序作怪?有人有类似经历吗?
以下是来信
2017 Charter Communications, Inc.
--- The following material was provided to us as evidence ---
Greetings,
We have detected abuse from the IP address xx.xx.xx.62, which according to a
whois lookup is on your network.
It seams to be trying to find known vulnerabilities in our server [176 . 9 .
220 . 168].
We would appreciate if you would investigate and take action as appropriate.
Log lines a... 阅读全帖 |
|
k******0 发帖数: 2438 | 21 请教万能的BBS,这是怎么回事?该怎么办?
本人网络门外汉,我用的网络公司来信说我的IP攻击了德国某服务器。问题是我家没有
可能发起攻击。难道是某个安卓app,或某个电脑程序作怪?有人有类似经历吗?
以下是来信
2017 Charter Communications, Inc.
--- The following material was provided to us as evidence ---
Greetings,
We have detected abuse from the IP address xx.xx.xx.62, which according to a
whois lookup is on your network.
It seams to be trying to find known vulnerabilities in our server [176 . 9 .
220 . 168].
We would appreciate if you would investigate and take action as appropriate.
Log lines a... 阅读全帖 |
|
A**********e 发帖数: 3102 | 22 推荐一个我们 IT 推荐给我的:fail2ban。自动识别攻击并将攻击者 IP 添加进 iptab
les 里。最多可以保持对 500 个 IP 的 block。 |
|
|
|
I*a 发帖数: 297 | 25 对方就是进攻的ssh,装了那个fail2ban,觉的还行。 |
|
|
|
l*******e 发帖数: 309 | 28
fail2ban doesn't use polling with gamin installed |
|
l*******e 发帖数: 309 | 29 I don't think you actually read the article you cited. It uses iptables to
limit the rate new connections can be made. It has nothing to do with 穷举.
fail2ban use iptables to add malicious IP to its blacklist. What do you
mean by 缺点是有延时? Have you tried it?
A strong password should suit you well too. And I don't think using public
key and changing default listening port will inconvenience you in most if
not all situations. |
|
d****e 发帖数: 251 | 30 I use fail2ban, very convenient. The installation comes with
many configurations for different services. By default, it has enabled
sshd. I use it for both sshd and apache.
No time delay actually because it's monitoring those log files (at least
very close to real time). |
|
f*********e 发帖数: 8453 | 31 ft, this is too broad. You should provide more details. Some simple ones:
Did you allow root access from ssh?
Do you run any program (fail2ban, iptable rules) to stop brute force hacking?
17.
you |
|
d********g 发帖数: 10550 | 32 你这么一说好像确实是。fail2ban我只能在VPS上用,神座上没有反应。我研究一下是
不是iptable没起来 |
|
d*****y 发帖数: 182 | 33 今天email server (postfix) 突然hacking行为增加,fail2ban已经ban了几十个IP。
都是企图通过SSL验证登录的。
另外,原来会有很多带有危险附件的SPAM,今天却几乎没有! |
|
j********2 发帖数: 4438 | 34 没用的用户一律干掉,要用的用户用复杂密码,ssh改成public key登录,不行就装个
fail2ban,基本上就可以了,然后没事就更新系统。 |
|
|
|
g*******t 发帖数: 7704 | 37 是被攻击了, 在/var/log/ 下看log,
但基本没什么办法, 只能选比较强cpu的vps,
可以安装 fail2ban能屏蔽一些, 但对饱和攻击还是不行,
我在digital ocean, 用512m一档, 还不错, 现在已经抗过几次攻击了, 每次2小时
, cpu飙升到50%, 不过vps都没死, |
|
w*******t 发帖数: 960 | 38 端口改了,路由器上有防火墙,服务器上的fail2ban还没设, |
|
r****t 发帖数: 10904 | 39 sip.conf 里面
[general]
alwaysauthreject=yes
同时可以考虑使用 fail2ban |
|
k****t 发帖数: 2288 | 40 今天早上check log文件发现又有ip在列举,还好我现在加了ACL,alwaysauthreject=
yes都enable了,而且fail2ban也设置了。
还好就是5欧元的损失。 |
|
c**y 发帖数: 2282 | 41 多谢提醒。没设ACL,这个ACL是基于IP的deny/allow吧?我是用fail2ban+iptables防
止破解密
码的。asterisk跑在公网上而我自己的IP是动态的,所以不知道该怎么设才合适。 |
|
|
c****0 发帖数: 784 | 43 恭喜,有人扫你的5060端口了。
这是常事,包括invite, register, options。如果你的pbx里还没有付费线路拨出,暂
时不会有什么实际上的损失。有些scan比价恶意,比如一秒内发出上千个reg请求。还
有些是针对asterisk/freeswitch的一个特殊服务端口的。
我一般看到这样的IP就直接block。你可以用fail2ban来扫描log自动block,有些滞后
,一般用也够了。
thanks |
|
|