W dniu 2013-05-10 13:10, qed pisze:
> Hi
> Ja siedz� w bezpiecze�stwie sieciowym i przypomina mi to reakcj� na
> automatyczne pr�by z�amania has�a; wielokrotnym logowaniem.
> W wyniku tego banowane jest na 15 minut konto www-data, na kt�rym
> prawdopodobnie dzia�a serwis www, b�d�cy celem ataku, a skoro pada
> apache, to tak�e i on zostaje zatrzymany.
> To ma uchroni� Tw�j serwer przed przej�ciem has�a pr�bami wielokrotnego
> logowania (brute-force).
> Za t� reakcj� odpowiada grsec - zwi�kszajacy bezpiecze�stwo kernela i
> s�usznie zreszt� ;) Zapewne w jego konfiguracji m�g�by� zapobiec
> banowaniu, ale to nie b�dzie dobre rozwi�zanie, bo mo�e doprowadzi� do
> zhackowania serwisu.
> Spr�buj przejrze� inne logi sieciowe (mo�e masz te� ips/ids po drodze?);
> powinny pokaza� natr�tne pr�by logowania. Moim zdaniem jeste� "under
> siege" i trzeba namierzy� natr�ta.
>
Nie mam nic po drodze. Innych log�w nie mam, ale mog� w��czy� np.
logowanie INPUT na iptables. Co� jeszcze przychodzi Ci do g�owy?
W dokumentacji grsec mam coďż˝ takiego
CONFIG_GRKERNSEC_BRUTE
If you say Y here, attempts to bruteforce exploits against forking
daemons such as apache or sshd, as well as against suid/sgid binaries
will be deterred. When a child of a forking daemon is killed by PaX or
crashed due to an illegal instruction or other suspicious signal, the
parent process will be delayed 30 seconds upon every subsequent fork
until the administrator is able to assess the situation and restart the
daemon.
In the suid/sgid case, the attempt is logged, the user has all their
processes terminated, and they are prevented from executing any further
processes for 15 minutes.
Czytam, ale nadal nie bardzo rozumiem co si� dzieje. Ok, jest to pr�ba
w�amania ale jak namierzy� atakuj�cego?