Server của bạn chịu bao nhiêu attacks mỗi ngày?

[Saviola8x]

Hi Long,

Ông share kinh nghiệm của Sys Admin làm hosting, về network layer của web server thì cũng là đủ rồi :|

CSF + LFD phát hiện và chặn các request không hợp lệ, bao gồm cả HTTP flood, syn flood, failure request, brute attack, scanning... Đã gần như đầy đủ hết các chức năng cần thiết trong package này.

CSF hỗ trợ gần như đầy đủ các Hosting Control Panel như cPanel,DA,Webmin... và có plugin để theo dõi quản lý, cấu hình.

Mod_security giúp filter bớt các request http không hợp lệ như XSS,Remote include attack, sql injection ... More & more phụ thuộc vào rules

Về các vấn đề thuộc web app thì có thể cài thêm suhosin để hỗ trợ các bad request ẩn.

Nếu server sử dụng cPanel hay DA thì có thể cài nginx theo dạng proxy để cache static file cũng như đỡ đc 1 phần ddos,flood. Tuy nhiên nginx tiềm ẩn nhiều vấn đề và không dễ để config và update ^^

Nếu để nói sử dụng mail report hàng ngày thì chỉ ổn với 1 2 server chứ nếu nhiều server như bên mình thì không ai đủ time để review hết, đồng thời nhiều khi review là quá muộn, nên hiện tại mình xây dựng trên nền tàng real time alert qua các Messenger như ICQ,AIM,YM,Skype để có thể nhận biết các vấn đề trong thời gian ngắn nhất và xử lý kịp thời

Regards,

[cvcx]

Rat cam on maychu.net , chut nua mình sẽ install và test cái CSF này, truớc có dùng qua 1 lần webmin mà giờ mình lại không dùng control panel nào hết, trong link bạn cho mình ko nói là dùng như thế nào?

Vậy còn LFD là cái gì vậy, Saviola8x có đề cập mà ko nhắc tới nó ở đâu?

vậy là phải cài cả CFS và LFD, mình ko phân biệt rỏ chức năng giữa chúng

sORRY ĐÃ TÌM RA FILE README
http://www.configserver.com/free/csf/readme.txt

[thaidesign]

Ngày nào cũng có IP trung quốc nó scan port + ráng connect vào các port thông dụng như SSH hoặc Remote Destop.

[maychu.net]

Rat cam on maychu.net , chut nua mình sẽ install và test cái CSF này, truớc có dùng qua 1 lần webmin mà giờ mình lại không dùng control panel nào hết, trong link bạn cho mình ko nói là dùng như thế nào?

Vậy còn LFD là cái gì vậy, Saviola8x có đề cập mà ko nhắc tới nó ở đâu?

vậy là phải cài cả CFS và LFD, mình ko phân biệt rỏ chức năng giữa chúng

sORRY ĐÃ TÌM RA FILE README
http://www.configserver.com/free/csf/readme.txt

Trong link mình gửi, nó cài nguyên bộ CSF + LFD. LFD = Login Failure Daemon, có người còn gọi là Login Failure Detection. Bạn quen với gõ dòng lệnh + tham khảo tài liệu của nó thì bạn cũng vẫn dùng được, không nhất thiết phải dùng với Webmin. Nếu bạn cảm thấy chưa quen với CSF này thì dùng qua giao diện (GUI) (với webmin) thì đỡ bở ngỡ hơn.

@thaidesign: bạn dùng cái này sẽ hiệu quả lắm.

Có nhiều công cụ Intrusion Detection Systems (IDS) như AIDE, Snort, OSSEC HIDS... kể hết có đến gần 20 tên có tiếng tăm.

Nếu chỉ đơn thuần "ban" những login sai thì dùng "fail2ban" được hướng dẫn trên www.howtoforge.com (trên này có nhiều bài viết hay lắm, một địa chỉ không thể thiếu).

Còn một công cụ khác khá thú vị đó là "hủ mật" (honeypot): đại khái nôm na như bạn dùng hủ mật làm cái bẫy để dụ ruồi vậy.

[thaidesign]

Để ngâm cứu thử

[NSViet]

Nếu tính như thế này thì các server share của NSViet cũng như các server mà NSViet manage cho khách mỗi ngày chịu nhiều attacks lắm.

[maychu.net]

Nếu tính như thế này thì các server share của NSViet cũng như các server mà NSViet manage cho khách mỗi ngày chịu nhiều attacks lắm.

Bác không có biện pháp nào thì thật là nguy hiểm.

Một trong những server của mình thì cứ 3 tiếng block được 1 em:



ví dụ 1 trong những dạng thăm dò thường thấy:

Time: Sun Feb 27 21:28:30 2011 +0700
IP: 218.8.82.99 (CN/China/-)
Failures: 5 (sshd)
Interval: 300 seconds
Blocked: Permanent Block

Log entries:

Feb 27 21:28:13 de sshd[22152]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.8.82.99 user=root
Feb 27 21:28:15 de sshd[22152]: Failed password for root from 218.8.82.99 port 51534 ssh2
Feb 27 21:28:19 de sshd[22178]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.8.82.99 user=root
Feb 27 21:28:21 de sshd[22178]: Failed password for root from 218.8.82.99 port 52090 ssh2
Feb 27 21:28:26 de sshd[22225]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.8.82.99 user=root

[NSViet]

Bác không có biện pháp nào thì thật là nguy hiểm.

Một trong những server của mình thì cứ 3 tiếng block được 1 em:

Mình nói là mỗi ngày gặp nhiều chứ mình đâu có nói là mình ko xử lý gì

[cvcx]

@maychu: Bác chỉ em mấy cái cơ bản config hay sử dụng được không ??? Bác thông cảm e chưa từng học xíu tin học nào.

hehe... chứ e chẳng biết config thế nào, dzậy là chỉ biết dùng 1 cách thủ công bằng cách edit các file /etc/csf như là csf.deny. Chứ có thấy nó block tự động gì đâu nhỉ ????.

[Saviola8x]

Các HP thì chán chả thèm đọc mấy cái mail này nữa đâu maychu.net