VPS - ConfigServer Firewall&Security, Quick Deny i zakres IP Opcje

[Mega_88]

Cześć, na VPS'ie w Direct Admin mam zakładkę Monitor ataków Brute Force gdzie cały czas, ktoś mi wrzuca:

[PHP] pobierz, plaintext 
14663317810001 | 121.18.238.9 | root | 1 | sshd5 | Jun 19 12:22:52 s1 sshd[12335]: Failed password for root from 121.18.238.9 port 36778 ssh2
[PHP] pobierz, plaintext 

W ustawieniach admina mam, że po 3 próbach blokuje IP w pewnym sensie załatwia to sprawę, jednak jak wiadomo po chwili kolejne IP z Chin lub innych tym podobnych wykonuje znowu to samo. Mam zainstalowany ConfigServer Firewall&Security gdzie opcja Quick Deny pozwala na twardo zablokować jakiś adres IP. Jednak nie wiem jak wrzucić jakiś zakres IP żeby na przykład zablokować Chiny, zablokować zakres IP od 120.xxx.xxx.xxx do 129.xxx.xxx.xxx, może mi ktoś w tym pomóc ? W necie nic konkretnego nie mogę odszukać tym bardziej informacji jak to zrobić przez panel direct admin i zakładkę ConfigServer Firewall&Security.

Też kwestia czy przez panel Direct Admin mogę w jakiś sposób zawęzić możliwości logowania na FTP ? Kiedyś na współdzielonym hostingu miałem opcję "Zezwalaj tylko na połączenie z Polski",.

Ten post edytował Mega_88 19.06.2016, 12:09:12

[LowiczakPL]

W iptables blokujesz sobie klasę

# iptables -A INPUT -s 192.168.100.0/24 -j DROP

albo jakiś zakres IP

# iptables -I INPUT -m iprange --src-range 192.168.1.10-192.168.1.13 -j DROP


Raczej nic to nie da bo Chińczyk może Cię atakować z Polskiego IP
---------

Połączenia tylko z Polski to raczej zły pomysł a co z Polakami z Anglii, albo co z Google?

Ten post edytował LowiczakPL 19.06.2016, 15:28:19

[ohm]

Zmień port ssh

[Mega_88]

Zgadzam się, że Chińczyk może z Polskiego IP atakować, ale zakładając taką blokadę na jakiś zakres IP w pewien sposób ograniczę takie próby tak mi się przynajmniej wydaję

W iptables blokujesz sobie klasę

Gdzie to się robi ? Muszę to jakoś przez consolę robić logując się na roota, czy mogę to zrobić przez DirectAdmin edytując plik Edit /etc/csf/csf.deny w ConfigServer Security & Firewall ?

Połączenia tylko z Polski to raczej zły pomysł a co z Polakami z Anglii, albo co z Google?

Mi chodzi o połączenia do FTP, żeby działało tylko z PL, Google chyba nie loguje się na mojego FTP

Zmień port ssh

Coś o tym kiedyś czytałem tylko gdzie i jak Moja przygoda z VPS można powiedzieć dopiero się rozpoczyna. Zmiana portu ssh ma jakiś wpływ na to co działa obecnie na serwerze ?

Ten post edytował Mega_88 19.06.2016, 18:38:34

[LowiczakPL]

To są najnowsze pliki dla DA http://files.directadmin.com/services/all/block_ips/2.2/

a to jak ich używać https://help.directadmin.com/item.php?id=380

PS. zabawa z iptables może się skończyć zablokowaniem dostępu doi serwera więc uważaj co blokujesz, kolejność blokowania jest bardzo ważna.

Jednak w swoim CSF możesz dodać maskę dla klasy IP wycinając cały zakres IP

maska dla 255

C - jest to 121.18.0.0/16

a dla D jest to 121.18.238.0/24

Ten post edytował LowiczakPL 19.06.2016, 21:16:10

[Mega_88]

A na współdzielonym hostingu życie było takie piękne, Dodaj,Usuń,Zablokuj to wszystko Dedyka się zachciało, przynajmniej wcześniej spałem spokojnie

Dziękuję Ci za informację, będą musiał to jakoś rozkminić bo C, D, maski to jeszcze trochę magia. Jak masz jeszcze jakieś przydatne informacje odnośnie dedyków ich konfiguracji, obsługi chętnie rzucę okiem nawet te podstawowe.

[Pyton_000]

Przepuść domenę przez CloudFlare

[LowiczakPL]

Adres IP składa się z 4 klas - A.B.C.D

Jeśli chcesz wyciąć wszystkie adresy z danej klasy to do tego są maski, ale wycinanie klasy C to już ryzyko bo IP są poprzydzielane bardzo losowo, posiadam w jakimś serwisie listę IP przydzielonych dla Polski i na jej podstawie wyciąłem ruch co spowodowało że SPAM się skończył w 70% a 30% to Polskie bramki.

Ale wyciąłem również Polaków z zagranicznymi IP.

[Mega_88]

Dziękuje Ci za bardzo przydatne informacje Posiedzę nad tym i może coś uda mi się wykombinować.

Może mi ktoś jeszcze podpowiedzieć jedną rzecz. Wcześniej siedziałem na hostingu współdzielony i nie miałem podglądu do takich rzeczy jak obecnie, a mianowicie chodzi mi o Monitor ataków Brute Force. Na serwerze mam 113 domen i dziennie mam ponad 350 wpisów Brute Force. Przy takiej ilości jest to normalne, że ktoś na różne konta próbuje się wbić czy coś jest kurcze nie tak ? Nie powiem spędza mi to sen z powiek i trochę to stresujące, może mi ktoś coś w tym temacie więcej napisać. Jak interpretować taką ilość wpisów ?

[ohm]

To jest normalne, skany na wszystko co się da, ssh, serwery pocztowe, www, itp.

[LowiczakPL]

Taka ilość to normalka i nie ma co się nią przejmować.

Czy Twój CSF korzysta z fail2ban a jeśli nie to czy masz go zainstalowanego bo to podstawa przy brute force.

Jeśli potrzebujesz monitor serwera to zainstaluj sobie Munina, możesz samemu pisać do niego moduły, ja piszę sobie w PHP

Dziękuje Ci za bardzo przydatne informacje Posiedzę nad tym i może coś uda mi się wykombinować.

Może mi ktoś jeszcze podpowiedzieć jedną rzecz. Wcześniej siedziałem na hostingu współdzielony i nie miałem podglądu do takich rzeczy jak obecnie, a mianowicie chodzi mi o Monitor ataków Brute Force. Na serwerze mam 113 domen i dziennie mam ponad 350 wpisów Brute Force. Przy takiej ilości jest to normalne, że ktoś na różne konta próbuje się wbić czy coś jest kurcze nie tak ? Nie powiem spędza mi to sen z powiek i trochę to stresujące, może mi ktoś coś w tym temacie więcej napisać. Jak interpretować taką ilość wpisów ?

[Pyton_000]

@LowiczakPL Munin dobra sprawa Sam chyba zacznę jakieś pluginy pisać w php bo czasami mi czegoś brakuje albo coś bym chciał monitorować. Na razie tylko hooki do git w php piszę

[Mega_88]

fail2ban - nic takiego nie widzę tam, albo nie umiem znaleźć Munina - ciekawie to opisujesz sprawdzę sobie w wolnej chwili tylko najpierw to się muszę nauczyć jak to wszystko instalować żeby nic nie spier...


Mam jeszcze jedno pytanie. W Direct Admin mam dodanego Resellera do niego User'ów i dajmy na to mam Usera z domeną example.pl .Loguję się na konto FTP danego Usera w domenie example.pl i mam problem ze zmianą uprawnień do folderów z poziomu PHP, na przykład z 600 na 644, obojętnie na jakie - BRAK UPRAWNIEŃ. Domyślam się, że chodzi tu o właściciela FTP i Usera, ale można to jakoś obejść ?

[LowiczakPL]

Tu masz instalację Munina http://serwery.lowiczak.pl/2011/12/monitor...-serwera-munin/

co do fail2ban wpis po prostu w konsoli fail2ban-client i zobacz co się stanie, jeśli odpali ci program znaczy się zainstalowany