Уже много дней, может быть, месяцев назад один из моих серверов ломается почти каждый день. Иногда, чаще одного раза в день.! [Alt text] [1]
Это меня очень беспокоит.
Моя партия в / vars / log / messages заполнена строками, подобными приведенным ниже:
Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=33286 DF PROTO=TCP SPT=4957 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=14135 DF PROTO=TCP SPT=4959 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=63643 DF PROTO=TCP SPT=4958 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:36:26 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=4301 DF PROTO=TCP SPT=4960 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 8 13:39:10 host kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=218.30.22.82 DST=00.000.000.000 LEN=404 TOS=0x00 PREC=0x00 TTL=116 ID=34607 PROTO=UDP SPT=1271 DPT=1434 LEN=384
Oct 8 13:40:14 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=119.152.144.40 DST=00.000.000.000 LEN=56 TOS=0x00 PREC=0x00 TTL=49 ID=23737 DF PROTO=TCP SPT=2435 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0
Обратите внимание, что я заменяю IP своего сервера на 00.000.000.000.
Я всегда получаю много или регистрирую сообщения об атаке методом грубой силы. Неудачные попытки входа ...
Может кто-нибудь подсказать мне, что делать, чтобы решить эту проблему?
У меня уже установлены CSF и DDOS deflate. Но они не решают проблему.
Мой сервер - Cent OS, Apache2
Похоже, кто-то пытается подключиться через порты telnet (DPT = 23) и SQL (DPT = 1434), они ДЕЙСТВИТЕЛЬНО не должны быть доступны в Интернете. Я бы полностью отфильтровал их на брандмауэре. Это должно по крайней мере очистить ваши журналы, если сервер продолжает давать сбой, вы можете попробовать и посмотреть, есть ли что-то еще.
Поскольку они заблокированы, эти соединения не опасны для DDOS. Журналы нужны только для того, чтобы вы знали, кто пытался напасть на вас. Что вредно, так это когда количество открытых половинных соединений приближается к пределу, который вы указали в своей конфигурации. Я предлагаю вам последовать совету Zypher и настроить брандмауэр для модерирования этих подключений.