Server của bạn chịu bao nhiêu attacks mỗi ngày?

**maychu.net** · 26-02-2011 15:38

Trung bình mỗi server của mình hứng khoảng 2-4 nguồn attacks/ngày, nên muốn biết server của bạn chịu bao nhiêu attacks mỗi ngày? Bạn làm thế nào để phát hiện nó? Hy vọng được học hỏi thêm từ kinh nghiệm của các bạn.

**cpanel.vn** · 26-02-2011 20:34

Quan trọng là Attack như thế nào, cường độ ra sao. Và quan trọng nhất là làm thế nào để chặn các cuộc Attack đó.

**vietsol.net** · 26-02-2011 21:08

Được gửi bởi maychu.net

Trung bình mỗi server của mình hứng khoảng 2-4 nguồn attacks/ngày, nên muốn biết server của bạn chịu bao nhiêu attacks mỗi ngày? Bạn làm thế nào để phát hiện nó? Hy vọng được học hỏi thêm từ kinh nghiệm của các bạn.

Bác monitor thế nào để biết 2-4 nguồn attacks/ngày vậy?

**cvcx** · 27-02-2011 08:46

Mình cũng muốn tìm hiểu bạn maychu làm sao biết dc có 2-4 nguồn attacks và có thể giới thiệu qua kỹ năng cơ bản chống những cái attacks nhỏ kiểu trẻ con.

**maychu.net** · 27-02-2011 09:12

Được gửi bởi cvcx

Mình cũng muốn tìm hiểu bạn maychu làm sao biết dc có 2-4 nguồn attacks và có thể giới thiệu qua kỹ năng cơ bản chống những cái attacks nhỏ kiểu trẻ con.

Thực ra ở đây mình muốn trao đổi kinh nghiệm là chính. Mình có thói quen đọc file log, nên thấy có rất nhiều autobot nó scan đủ kiểu (nguồn IP thì liên hiệp quốc luôn), nào là dò ports, từ port nó dò tới mật khẩu các ứng dụng/dịch vụ; thậm chí server mới tinh - vừa cài xong thì hôm sau vào đã thấy chúng nó quét.
Nhưng xem file log thì không thể xem nổi, và cũng chẳng tự vệ gì.

Cái con số 2-4 nguồn attacks là từ firewall phát hiện và blocked nó (những nguy cơ cao mới block). Cái firewall cài gần đây nhất là 1 tuần cũng block khoảg chục IP rồi. Từ đó mình thấy rằng IP mới toanh, gán cho tên miền mới toanh, cũng đã tiềm ẩn nguy cơ cao thế. Attackers cố gắng dò access vào một số dich vụ/ứng dụng đã thông dụng (tính vừa dịch vụ và ports thì nó dò chừng trên dưới 100) thông qua một số autobot. Một số thì direct luôn, qua trình duyệt chứ ko chạy autobot.

Ở đây là các tấn công nhỏ, mang tính thăm dò, mình chưa đề cập đến flood, sync flood, ddos, slowloris... (những tấn công có chủ đích mà kẻ tấn công nhắm thẳng vào hệ thống định trước)

**ngotuannghia** · 27-02-2011 09:47

attacks là cái gì vậy? không phải là ddos hả bác

**maychu.net** · 27-02-2011 10:03

Được gửi bởi ngotuannghia

attacks là cái gì vậy? không phải là ddos hả bác

attack (n.): ideas or actions intended to deal with a problem or situation;
attack (n.): the onset of a corrosive or destructive process

Thông thường theo nghĩa tấn công, bao gồm tất cả các hành động phá hoại.
DDoS cũng là một dạng tấn công (attack).

**longvnit** · 27-02-2011 10:28

Có lẽ bác máy chủ nên change lại title thêm vào " & cách bạn detect"
Server mình một ngày cũng có khá nhiều attack tầm 10-15 nguồn IP khác nhau, nhưng phần lớn là đến từ bọn Tàu, nó thường dùng các server khác để crawl port, tự động login SSH, FTP ...
Đối với loại này mình sử dụng CSF Firewall để diệt

,ngoài ra CSF cũng có thể đọc log của Mod_security để check các failure entry để chống tấn công qua web application.
Còn để detect mã nguồn thì mình dùng AIDE để giám sát, cảnh báo ngay nếu bị edit ... bất hợp pháp.
Ngoài ra thì cũng cài một số tools để detect rootkit & SYN & suid-guid & root Login, các tools này đều có report gửi về email hàng ngày.
Rồi cài thêm một số tools để monitoring trạng thái của system & services.

Trên đó là những kinh nghiệm của mình, mong mọi người đóng góp và chia sẽ những kinh nghiệm của bản thẩn, để cùng nâng cao trình độ ^^

**maychu.net** · 27-02-2011 10:50

Mình cũng gặp tương tự như bạn LongVNIT
Đúng như bạn LongVNIT nói, CSF có kèm theo fail ban, cài đặt dễ, được mọi người ưa dùng, một số bạn thích xài webmin thì CSF có module tích hợp vào webmin để quản lý qua giao diện. CSF có chức năng report đến email nên cũng tiện theo dõi, có kiểm tra security cơ bản để hướng dẫn bạn config lại server - đồng thời tính điểm (tương đối).

@cvcx:

Link CSF:
Main page: http://www.configserver.com/cp/csf.html
Install: http://www.configserver.com/free/csf/install.txt

Trích hướng dẫn cài đặt từ CSF:

Code:

wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
----
Install the csf webmin module in:
  Webmin > Webmin Configuration > Webmin Modules >
  From local file > /etc/csf/csfwebmin.tgz > Install Module