English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Chống tấn công brute force trên dịch vụ dovecot1  XML
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 22/03/2012 08:21:49 (+0700) | #1 | 259553
xhoc
Member
[Minus]    0    [Plus]
Joined: 14/03/2012 01:54:50
Messages: 30
Offline
[Profile] [PM]
A brute force attack has been detected in one of your service logs.

User root has 400 failed login attempts: dovecot1=32&sshd5=368

Check the 'Admin Level -> Brute Force Monitor' for more information 


Hôm nay mình log vào thấy thông báo trên. Giờ mình muốn chặn tấn công này thì phải làm như thế nào

Theo kiến thức nông cạn của mình thì mình hiểu là nó tấn công vào dịch vụ doveco và qua kết nôt SSH

có phải không a

thanks cả nhà
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 22/03/2012 08:47:56 (+0700) | #2 | 259557
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

xhoc wrote:
A brute force attack has been detected in one of your service logs.

User root has 400 failed login attempts: dovecot1=32&sshd5=368

Check the 'Admin Level -> Brute Force Monitor' for more information 


Hôm nay mình log vào thấy thông báo trên. Giờ mình muốn chặn tấn công này thì phải làm như thế nào

Theo kiến thức nông cạn của mình thì mình hiểu là nó tấn công vào dịch vụ doveco và qua kết nôt SSH

có phải không a

thanks cả nhà 


Không, "nó" bruteforce dovecot 32 lần và ssh 368 lần.

---> thông báo thế nào thì xem thông báo thế nấy.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 22/03/2012 10:08:56 (+0700) | #3 | 259570
xhoc
Member
[Minus]    0    [Plus]
Joined: 14/03/2012 01:54:50
Messages: 30
Offline
[Profile] [PM]

conmale wrote:
Không, "nó" bruteforce dovecot 32 lần và ssh 368 lần.

---> thông báo thế nào thì xem thông báo thế nấy. 


cám ơn anh comale đã giải thích cho em.

Anh có thể nói đường đi để chặn tấn công vào các dịch vụ trên được ko ạ

ai đi qua mà biết thì chia sẻ cho mình nhá

thanks anh và mọi người
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 22/03/2012 10:44:35 (+0700) | #4 | 259575
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

xhoc wrote:

conmale wrote:
Không, "nó" bruteforce dovecot 32 lần và ssh 368 lần.

---> thông báo thế nào thì xem thông báo thế nấy. 


cám ơn anh comale đã giải thích cho em.

Anh có thể nói đường đi để chặn tấn công vào các dịch vụ trên được ko ạ

ai đi qua mà biết thì chia sẻ cho mình nhá

thanks anh và mọi người 


Hình như bồ dùng DirectAdmin? Nếu vậy thì xem hướng dẫn sử dụng DirectAdmin đi bồ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 22/03/2012 15:20:12 (+0700) | #5 | 259595
xhoc
Member
[Minus]    0    [Plus]
Joined: 14/03/2012 01:54:50
Messages: 30
Offline
[Profile] [PM]
Hình như bồ dùng DirectAdmin? Nếu vậy thì xem hướng dẫn sử dụng DirectAdmin đi bồ. 

Em đã vào directadmin để xem (Giao diện quản trị )nhưng nó không có chỗ để chỉnh anh a. còn anh nói vào linux để cấu hình thì em chưa biết mong được anh giúp đỡ
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 22/03/2012 15:27:56 (+0700) | #6 | 259597
[Avatar]
 sasser01052004
Member
[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
bạn nên đổi port ssh

có gì cứ pm tớ
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 22/03/2012 15:34:12 (+0700) | #7 | 259598
docong1010
Member
[Minus]    0    [Plus]
Joined: 28/12/2004 14:11:13
Messages: 72
Offline
[Profile] [PM]
Bạn dùng fail2ban đi
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 22/03/2012 15:41:18 (+0700) | #8 | 259602
xhoc
Member
[Minus]    0    [Plus]
Joined: 14/03/2012 01:54:50
Messages: 30
Offline
[Profile] [PM]

sasser01052004 wrote:
bạn nên đổi port ssh

có gì cứ pm tớ 


bạn cho mình cái thông tin liên hệ được không hay gửi mình thông tin qua tin nhắn

Nếu bạn cảm thấy không phiền mình hỏi chút

docong1010 wrote:
Bạn dùng fail2ban đi
 


bạn nói rõ hơn được ko
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 22/03/2012 16:36:29 (+0700) | #9 | 259605
[Avatar]
 simmy
Member
[Minus]    0    [Plus]
Joined: 25/05/2005 02:40:05
Messages: 119
Location: echo $FROM
Offline
[Profile] [PM]

xhoc wrote:

sasser01052004 wrote:
bạn nên đổi port ssh

có gì cứ pm tớ 


bạn cho mình cái thông tin liên hệ được không hay gửi mình thông tin qua tin nhắn

Nếu bạn cảm thấy không phiền mình hỏi chút

docong1010 wrote:
Bạn dùng fail2ban đi
 


bạn nói rõ hơn được ko
 


Có thể tìm hiểu fail2ban tại đường dẫn: http://www.fail2ban.org
Mình đã thử dùng fail2ban với asterisk và FTP. Nói chung là dùng khá tốt, kết hợp với email tự động nửa, nên bạn có thể chủ động warning cho bạn khi có ai đó cố gắng brute force vào hệ thống. Đương nhiên, để dùng fail2ban thì bạn phải có quyền cài đặt nó lên server chứa dịch vụ cần kiểm tra.
Ký tên
-----------
ABCXYZ
Cộp cộp.
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 22/03/2012 19:16:07 (+0700) | #10 | 259612
huydd
Member
[Minus]    0    [Plus]
Joined: 26/02/2009 17:25:44
Messages: 26
Offline
[Profile] [PM]

simmy wrote:

Có thể tìm hiểu fail2ban tại đường dẫn: http://www.fail2ban.org
Mình đã thử dùng fail2ban với asterisk và FTP. Nói chung là dùng khá tốt, kết hợp với email tự động nửa, nên bạn có thể chủ động warning cho bạn khi có ai đó cố gắng brute force vào hệ thống. Đương nhiên, để dùng fail2ban thì bạn phải có quyền cài đặt nó lên server chứa dịch vụ cần kiểm tra. 


Dùng fail2ban hay tất cả các tool theo kiểu scan log rồi đưa ra action đều chiếm dụng memory và cpu cao, đặc biệt là nếu viết script không tốt và file log có kích thước quá lớn chưa được cắt
Theo tôi thì bạn chủ topic nên tìm hiểu kỹ hơn về các service mình triển khai để tối ưu cấu hình. Dovecot thì tôi không rõ nhưng ssh có thể giới hạn số lần thử sai qua tham số MaxAuthTries trong /etc/sshd_config

Tất nhiên để làm được bạn phải có quyền root trên server
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 23/03/2012 11:38:13 (+0700) | #11 | 259673
[Avatar]
 sasser01052004
Member
[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
Dùng fail2ban hay tất cả các tool theo kiểu scan log rồi đưa ra action đều chiếm dụng memory và cpu cao, đặc biệt là nếu viết script không tốt và file log có kích thước quá lớn chưa được cắt
Theo tôi thì bạn chủ topic nên tìm hiểu kỹ hơn về các service mình triển khai để tối ưu cấu hình. Dovecot thì tôi không rõ nhưng ssh có thể giới hạn số lần thử sai qua tham số MaxAuthTries trong /etc/sshd_config  


hình như bạn ghi đường dẫn sai, tớ nhớ là /etc/ssh/sshd_config chứ nhỉ

bạn nên thay đổi 1 số cái khác như port (port đó chỉ mình bạn biết thôi nhé)
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 23/03/2012 11:46:02 (+0700) | #12 | 259676
[Avatar]
 sasser01052004
Member
[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
cứ pri yahoo cho tớ ở private message ấy
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Chống tấn công brute force trên dịch vụ dovecot1 23/03/2012 14:58:54 (+0700) | #13 | 259693
xhoc
Member
[Minus]    0    [Plus]
Joined: 14/03/2012 01:54:50
Messages: 30
Offline
[Profile] [PM]
cứ pri yahoo cho tớ ở private message ấy 


mình đã pm bạn . bạn on thì add mình nhá
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|