wykupiłem sobie i skonfigurowałem(jako tako - bo nie jestem mistrzem jeśli chodzi o system tego rodzaju) debiana bo pewien crm wymagał specyficznych ustawień. Z dnia na dzień przestał działać. Najpierw myślałem, że to wina po stronie rejestratora domeny, potem, że w freedns.42.pl coś nie tak a na końcu się okazało, że znikły z plików wpisy dotyczące domeny. Więc skonfigurowałem jeszcze raz tylko tym razem dostaję Internal Server Error. Kiedy próbuję zalogować się do ispconfig też Internal Server Error. Do konsoli przez root'a mogę się zalogować. Możecie mi powiedzieć w których logach mam szukać co się stało i jakich mniej więcej wpisów. Jeden wpis w logach auth.log mnie niepokoi:
sshd[5686]: pam_unix(sshd:auth) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= ) rhost=222.186.62.41 user=root
sshd[5686]: Failed password for root from 222.186.62.41 port 1640 ssh2
//i tak wiele razy
potem powtarza się często
Failed password for root from 222.186.62.41 port 1640 ssh2
tylko na różnych portach
Dziś w auth.log(nigdy nie dodawałem usera kalolina,kerstin itp)
sshd[1630] Invalid user karolina from 163.177.25.32 //oczywiście niepowodzenie logowania
sshd[5686]: pam_unix(sshd:auth) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= ) rhost=203.248.143.169 user=root
Pełna wersja: VPS/debian - podejrzenie włamania
Przede wszystkim skonfiguruj serwer SSH tak aby nie można było się logować do konta root, załóż sobie normalne konto, nadaj prawa SuDo i w pliku /etc/shadow dodaj przy użytkowniku Root jakiś krzaczek do zahasowanego hasła. To nie pozwoli się nikomu ni jak zalogować. Swoje hasło ustaw na dość silne.
Polecam artykuł z serii:
http://notatnik.mekk.waw.pl/archives/60-Ko...ygotowanie.html
Może trochę stare ale dalej w miarę aktualne i przydatne.
Polecam artykuł z serii:
http://notatnik.mekk.waw.pl/archives/60-Ko...ygotowanie.html
Może trochę stare ale dalej w miarę aktualne i przydatne.
Przede wszystkim, podstawa podstaw, zmień port dla ssh. Jeśli używasz jednego kompa, to zrób autoryzację po kluczu z hasłem.
A jeśli faktycznie obawiasz się że ktoś się włamał, to zrzuć potrzebne dane i serwer do reinstalki
Tak jest najpewniej.
Co do tych wpisów, to po prostu mówią że ktoś próbował się logować (ktoś = bot), ale dużo z tego nie wyszło.
A jeśli faktycznie obawiasz się że ktoś się włamał, to zrzuć potrzebne dane i serwer do reinstalki
Tak jest najpewniej.Co do tych wpisów, to po prostu mówią że ktoś próbował się logować (ktoś = bot), ale dużo z tego nie wyszło.
Cytat(Pyton_000 @ 26.02.2014, 19:57:59 ) 
...
i w pliku /etc/shadow dodaj przy użytkowniku Root jakiś krzaczek do zahasowanego hasła.
...
To wymyśliłeś... W pliku /etc/ssh/sshd_config wystarczy dodać PermitRootLogin noi w pliku /etc/shadow dodaj przy użytkowniku Root jakiś krzaczek do zahasowanego hasła.
...
Dodatkowo polecam też fail2ban.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.