Уважаемые гости и пользователи форума!
Чтобы видеть ссылки на форуме - надо зарегистрироваться и иметь 1 пост на форуме. Для этого есть КУРИЛКА и там тема Здрасти.

Защита от Ddos атак

Обсуждения вопросов связанных только с работоспособностью серверов: как его настроить и подготовить к установке ISPConfig. Для ISPConfig 2 и ISPConfig 3.
Сюда не входит: установка сайтов, работа и настройка ISPConfig панели.

Модераторы: rewuxiin, kulia

Правила форума
Условием использования нашего форума, является соблюдение настоящих Правил форума.


Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам, а вы рискуете получить предупреждение.
moverman
Сообщения: 3
Зарегистрирован: 14 фев 2013, 13:52

Защита от Ddos атак

14 мар 2013, 22:35

Здравствуйте уважаемые форумчане, подскажите как можно защититься от дос атак ubuntu server 12.4 LTS панель isconfig , спасибо
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

Re: Защита от Ddos атак

15 мар 2013, 09:02

moverman писал(а):Здравствуйте уважаемые форумчане, подскажите как можно защититься от дос атак ubuntu server 12.4 LTS панель isconfig , спасибо
Главное, закрыть все неиспользуемые порты средствами firewall ISPconfig 3. Далее настраиваем правила доступа к портам. Как? Всё зависит от типа Ddos-атаки, номера порта. Нужно проанализировать логи и уж потом принимать решения.
moverman
Сообщения: 3
Зарегистрирован: 14 фев 2013, 13:52

Re: Защита от Ddos атак

15 мар 2013, 21:36

SinglWolf писал(а): Главное, закрыть все неиспользуемые порты средствами firewall ISPconfig 3. Далее настраиваем правила доступа к портам. Как? Всё зависит от типа Ddos-атаки, номера порта. Нужно проанализировать логи и уж потом принимать решения.
Если не сложно можете перечислить какие именно порты...спасибо
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

Re: Защита от Ddos атак

15 мар 2013, 22:34

moverman писал(а): Если не сложно можете перечислить какие именно порты...спасибо
Если вручную порты в конфигах не меняли, то достаточно просто "включить" firewall ISPconfig 3, рабочие порты в настройках уже прописаны по-умолчанию.
moverman
Сообщения: 3
Зарегистрирован: 14 фев 2013, 13:52

Re: Защита от Ddos атак

17 мар 2013, 00:15

SinglWolf писал(а): Если вручную порты в конфигах не меняли, то достаточно просто "включить" firewall ISPconfig 3, рабочие порты в настройках уже прописаны по-умолчанию.
спасибо
Аватара пользователя
shambler81
Контактная информация:
Откуда: Москва
Сообщения: 232
Зарегистрирован: 23 мар 2012, 20:09

Re: Защита от Ddos атак

27 май 2013, 13:58

Немного теории.
1. Атакуют самые жырные порты, по моей практике это 100% каждый день пытаются подобраь пароли на 22 порт SSH
2. Немного реже пытаются взломать 21 FTP
3. bind сервер.
Остальное атакуется периодично.
Оставив открыты эти порыт, вы в любом случае получате 90% всех атак.
Так что закрыть лишнее тупо не поможет.

Что же касается ддоса то логи в студи.
Что у вас там ддосится, куда ломятся че хотят?
Стоит nginx+apache или нет
fail2ban включен ? настроен ?
В общем проблема не нова но давайте конкретики =-O
mini-server
Контактная информация:
Откуда: г. Москва
Сообщения: 1293
Зарегистрирован: 12 июл 2010, 16:11

22 авг 2013, 17:38

shambler81 писал(а):Оставив открыты эти порыт, вы в любом случае получате 90% всех атак.
для этого в ISPConfig Fail2Ban имеется он как раз и банит таких подборщиков пароля
Забыл вчера кота покормить. Утром просыпаюсь, чем-то гремит на кухне... наверное готовит...
Аватара пользователя
Дмытрык
Сообщения: 111
Зарегистрирован: 05 фев 2014, 19:11

14 фев 2014, 14:00

подскажите возможно ли с помощью Fail2Ban защитить phpmyadmin и rouncube от перебора пароля?? У меня стандартно не банит хоть в конфиге Fail2Ban всё включил! Может ето связано с https ???

апач сервер устанавливал на убунто сервер 12 с помощью Скрипта авто установки!
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

14 фев 2014, 17:41

Дмытрык писал(а):У меня стандартно не банит хоть в конфиге Fail2Ban всё включил! Может ето связано с https ???
Покажите вывод команды

Код: Выделить всё

iptables -L -n
kaizer15
Контактная информация:
Откуда: Владикавказ
Сообщения: 46
Зарегистрирован: 09 авг 2013, 00:51

15 фев 2014, 00:19

shambler81 писал(а):Оставив открыты эти порыт, вы в любом случае получате 90% всех атак.
Такой пример.Сервер стоит за роутером, в котором проброшен только 80 порт. Правильно ли я понимаю, что ни по каким другим портам на сервер из вне попасть нельзя, соответственно и атаки бесполезны? Ну кроме 80-го порта... :-)
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

15 фев 2014, 00:49

kaizer15, это же очевидно :-) .
kaizer15
Контактная информация:
Откуда: Владикавказ
Сообщения: 46
Зарегистрирован: 09 авг 2013, 00:51

15 фев 2014, 00:55

SinglWolf писал(а):kaizer15, это же очевидно .

Ну да! Иногда я задаю глупые вопросы :-D Просто, чтобы убедиться правильно ли я понимаю...
Аватара пользователя
Дмытрык
Сообщения: 111
Зарегистрирован: 05 фев 2014, 19:11

15 фев 2014, 12:45

Доброго здравия подскажите это что то опасное?

83.136.201.86 - - [15/Feb/2014:08:33:21 +0200] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 1878 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"

кто то так неоднократно ко мне щемится! так уже 2 дня без перебоя одно и тоже тело но с разных IP
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

16 фев 2014, 11:04

Дмытрык писал(а):подскажите возможно ли с помощью Fail2Ban защитить phpmyadmin и rouncube от перебора пароля?? У меня стандартно не банит хоть в конфиге Fail2Ban всё включил! Может ето связано с https ???
апач сервер устанавливал на убунто сервер 12 с помощью Скрипта авто установки!
Каюсь, мой косяк :-[
Исправить можно так:

Код: Выделить всё

nano /etc/fail2ban/jail.local
Найти:

Код: Выделить всё

[roundcube]
enabled  = true
port     = http,8080
filter   = roundcube
logpath  = /var/log/roundcube/userlogins
maxretry = 5
Заменить на:

Код: Выделить всё

[roundcube]
enabled  = true
port     = http,8080,8081,https
filter   = roundcube
logpath  = /var/log/roundcube/userlogins
maxretry = 5
И перезапустить сервис:

Код: Выделить всё

service fail2ban restart
Проверить можно так:

Код: Выделить всё

 iptables -L -n
Должна быть такая строка:

Код: Выделить всё

fail2ban-roundcube  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,8080,8081,443
Для phpmyadmin готового решения я не нашел пока :( .
Аватара пользователя
Дмытрык
Сообщения: 111
Зарегистрирован: 05 фев 2014, 19:11

29 май 2014, 00:14

В чем разница
Port is filtered
от
Port is closed

И как сделать чтоб он был "is closed"

iptables -I INPUT -d 127.0.0.1/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP
это делает его Port is filtered
--------------------------------------------------------
а на вашем хосте mini-server.ru Port is closed

Вопрос как мне сделать также?? *HELP*
rewuxiin
Супер модератор
Супер модератор
Сообщения: 222
Зарегистрирован: 30 окт 2012, 15:14

29 май 2014, 12:31

если с помощью панели ispconfig - в настройках фаервола удалите открытый порт.
если системными средствами - изучайте настройку iptables
Аватара пользователя
Дмытрык
Сообщения: 111
Зарегистрирован: 05 фев 2014, 19:11

30 май 2014, 23:43

rewuxiin писал(а):#16 rewuxiin » Вчера, 8:31
если с помощью панели ispconfig - в настройках фаервола удалите открытый порт.
если системными средствами - изучайте настройку iptables
Сделал как вы сказали! В панели ISPconfig задействовал фаэрвол!
Теперь пишет 1порт closed
999 Port is filtered

Так как же чтоб closed а не filtered
rewuxiin
Супер модератор
Супер модератор
Сообщения: 222
Зарегистрирован: 30 окт 2012, 15:14

31 май 2014, 14:21

Прикрепляйте хотя бы скрины того что сделали или делали и получилось.
Аватара пользователя
Дмытрык
Сообщения: 111
Зарегистрирован: 05 фев 2014, 19:11

01 июн 2014, 02:22

открытые TCP порты: 20,21,25,53,80,110,443,8080,10000 открытые UDP порты: 53
Так понятно?

Так вот обясняю еще раз!

Почему все не перечисленные порты не closed а filtered
Дмытрык писал(а):Так как же чтоб closed а не filtered ?
Я это Я
Сообщения: 22
Зарегистрирован: 25 сен 2014, 20:02

01 окт 2014, 12:08

А может быть маршрутизатором лучше палить хакеров? Там тоже есть файерфолл.
Я это Я
Сообщения: 22
Зарегистрирован: 25 сен 2014, 20:02

03 окт 2014, 21:13

Добавлю вопрос - можно ли как-нибудь проверить прочность маршрутизатора? Ну например атаковать его Ддосом...

Давно я с одноклассником такой прикол хотел сделать на телефоне - я на телефоне включу перезвон, чтобы АОН после определения его номера перезвонил на другой номер (на его), а когда сигнал поступит на его телефон, после определение на его телефоне его телефон перезвонит на мой телефон. И чей телефон сдохнет быстрее? :-D А может АТС быстрее перегреется :-) Но проверять в реале мы не стали ))) Примерно так наверно можно и роутер проверить на стойкость к бомбардировке...

Вернуться в «Идеальный сервер ...»