VPS/debian - podejrzenie włamania

VPS/debian - podejrzenie włamania

qbas-s Zobacz profil	24.02.2014, 10:22:14 Post #1
Grupa: Zarejestrowani Postów: 304 Pomógł: 1 Dołączył: 28.06.2009 Ostrzeżenie: (0%)	wykupiłem sobie i skonfigurowałem(jako tako - bo nie jestem mistrzem jeśli chodzi o system tego rodzaju) debiana bo pewien crm wymagał specyficznych ustawień. Z dnia na dzień przestał działać. Najpierw myślałem, że to wina po stronie rejestratora domeny, potem, że w freedns.42.pl coś nie tak a na końcu się okazało, że znikły z plików wpisy dotyczące domeny. Więc skonfigurowałem jeszcze raz tylko tym razem dostaję Internal Server Error. Kiedy próbuję zalogować się do ispconfig też Internal Server Error. Do konsoli przez root'a mogę się zalogować. Możecie mi powiedzieć w których logach mam szukać co się stało i jakich mniej więcej wpisów. Jeden wpis w logach auth.log mnie niepokoi: sshd[5686]: pam_unix(sshd:auth) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= ) rhost=222.186.62.41 user=root sshd[5686]: Failed password for root from 222.186.62.41 port 1640 ssh2 //i tak wiele razy potem powtarza się często Failed password for root from 222.186.62.41 port 1640 ssh2 tylko na różnych portach Dziś w auth.log(nigdy nie dodawałem usera kalolina,kerstin itp) sshd[1630] Invalid user karolina from 163.177.25.32 //oczywiście niepowodzenie logowania sshd[5686]: pam_unix(sshd:auth) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= ) rhost=203.248.143.169 user=root Ten post edytował qbas-s 24.02.2014, 10:48:36

Odpowiedzi (1 - 3)

Pyton_000 Zobacz profil	26.02.2014, 19:57:59 Post #2
Grupa: Zarejestrowani Postów: 8 068 Pomógł: 1414 Dołączył: 26.10.2005 Ostrzeżenie: (0%)	Przede wszystkim skonfiguruj serwer SSH tak aby nie można było się logować do konta root, załóż sobie normalne konto, nadaj prawa SuDo i w pliku /etc/shadow dodaj przy użytkowniku Root jakiś krzaczek do zahasowanego hasła. To nie pozwoli się nikomu ni jak zalogować. Swoje hasło ustaw na dość silne. Polecam artykuł z serii: http://notatnik.mekk.waw.pl/archives/60-Ko...ygotowanie.html Może trochę stare ale dalej w miarę aktualne i przydatne.

ohm Zobacz profil	26.02.2014, 20:11:46 Post #3
Grupa: Zarejestrowani Postów: 623 Pomógł: 144 Dołączył: 22.12.2010 Ostrzeżenie: (0%)	Przede wszystkim, podstawa podstaw, zmień port dla ssh. Jeśli używasz jednego kompa, to zrób autoryzację po kluczu z hasłem. A jeśli faktycznie obawiasz się że ktoś się włamał, to zrzuć potrzebne dane i serwer do reinstalki Tak jest najpewniej. Co do tych wpisów, to po prostu mówią że ktoś próbował się logować (ktoś = bot), ale dużo z tego nie wyszło.

redeemer Zobacz profil	27.02.2014, 10:14:21 Post #4
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)	Cytat(Pyton_000 @ 26.02.2014, 19:57:59 ) ... i w pliku /etc/shadow dodaj przy użytkowniku Root jakiś krzaczek do zahasowanego hasła. ... To wymyśliłeś... W pliku /etc/ssh/sshd_config wystarczy dodać PermitRootLogin no Dodatkowo polecam też fail2ban. -------------------- blog.cinu.pl \| php-grinder.com

« Następny starszy · Serwery WWW · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 20.08.2025 - 21:57

Hosting zapewnia

Forum PHP.pl