Trung bình mỗi server của mình hứng khoảng 2-4 nguồn attacks/ngày, nên muốn biết server của bạn chịu bao nhiêu attacks mỗi ngày? Bạn làm thế nào để phát hiện nó? Hy vọng được học hỏi thêm từ kinh nghiệm của các bạn.
Trung bình mỗi server của mình hứng khoảng 2-4 nguồn attacks/ngày, nên muốn biết server của bạn chịu bao nhiêu attacks mỗi ngày? Bạn làm thế nào để phát hiện nó? Hy vọng được học hỏi thêm từ kinh nghiệm của các bạn.
Được sửa bởi maychu.net lúc 23:46 ngày 22-07-2014 Reason: sửa đề theo yêu cầu bạn Long
Quan trọng là Attack như thế nào, cường độ ra sao. Và quan trọng nhất là làm thế nào để chặn các cuộc Attack đó.
Mình cũng muốn tìm hiểu bạn maychu làm sao biết dc có 2-4 nguồn attacks và có thể giới thiệu qua kỹ năng cơ bản chống những cái attacks nhỏ kiểu trẻ con.
Thực ra ở đây mình muốn trao đổi kinh nghiệm là chính. Mình có thói quen đọc file log, nên thấy có rất nhiều autobot nó scan đủ kiểu (nguồn IP thì liên hiệp quốc luôn), nào là dò ports, từ port nó dò tới mật khẩu các ứng dụng/dịch vụ; thậm chí server mới tinh - vừa cài xong thì hôm sau vào đã thấy chúng nó quét.
Nhưng xem file log thì không thể xem nổi, và cũng chẳng tự vệ gì.
Cái con số 2-4 nguồn attacks là từ firewall phát hiện và blocked nó (những nguy cơ cao mới block). Cái firewall cài gần đây nhất là 1 tuần cũng block khoảg chục IP rồi. Từ đó mình thấy rằng IP mới toanh, gán cho tên miền mới toanh, cũng đã tiềm ẩn nguy cơ cao thế. Attackers cố gắng dò access vào một số dich vụ/ứng dụng đã thông dụng (tính vừa dịch vụ và ports thì nó dò chừng trên dưới 100) thông qua một số autobot. Một số thì direct luôn, qua trình duyệt chứ ko chạy autobot.
Ở đây là các tấn công nhỏ, mang tính thăm dò, mình chưa đề cập đến flood, sync flood, ddos, slowloris... (những tấn công có chủ đích mà kẻ tấn công nhắm thẳng vào hệ thống định trước)
Được sửa bởi maychu.net lúc 09:25 ngày 27-02-2011
attacks là cái gì vậy? không phải là ddos hả bác
Có lẽ bác máy chủ nên change lại title thêm vào " & cách bạn detect"
Server mình một ngày cũng có khá nhiều attack tầm 10-15 nguồn IP khác nhau, nhưng phần lớn là đến từ bọn Tàu, nó thường dùng các server khác để crawl port, tự động login SSH, FTP ...
Đối với loại này mình sử dụng CSF Firewall để diệt ,ngoài ra CSF cũng có thể đọc log của Mod_security để check các failure entry để chống tấn công qua web application.
Còn để detect mã nguồn thì mình dùng AIDE để giám sát, cảnh báo ngay nếu bị edit ... bất hợp pháp.
Ngoài ra thì cũng cài một số tools để detect rootkit & SYN & suid-guid & root Login, các tools này đều có report gửi về email hàng ngày.
Rồi cài thêm một số tools để monitoring trạng thái của system & services.
Trên đó là những kinh nghiệm của mình, mong mọi người đóng góp và chia sẽ những kinh nghiệm của bản thẩn, để cùng nâng cao trình độ ^^
MANAGED DEDICATED SERVER - http://sundata.vn
Mình cũng gặp tương tự như bạn LongVNIT
Đúng như bạn LongVNIT nói, CSF có kèm theo fail ban, cài đặt dễ, được mọi người ưa dùng, một số bạn thích xài webmin thì CSF có module tích hợp vào webmin để quản lý qua giao diện. CSF có chức năng report đến email nên cũng tiện theo dõi, có kiểm tra security cơ bản để hướng dẫn bạn config lại server - đồng thời tính điểm (tương đối).
@cvcx:
Link CSF:
Main page: http://www.configserver.com/cp/csf.html
Install: http://www.configserver.com/free/csf/install.txt
Trích hướng dẫn cài đặt từ CSF:
Code:wget http://www.configserver.com/free/csf.tgz tar -xzf csf.tgz cd csf sh install.sh ---- Install the csf webmin module in: Webmin > Webmin Configuration > Webmin Modules > From local file > /etc/csf/csfwebmin.tgz > Install Module
Không thấy các Bro khác vào chia sẽ nhỉ
MANAGED DEDICATED SERVER - http://sundata.vn
Bookmarks