Salutare. Am o problema cu un vps de la clausw**. De cateva saptamani primesc mereu mail-uri de la claus ca server-ul meu trimite spam catre alte servere din germania si ei imediat imi suspenda server-ul. Bun, am zis ca o fi vreo problema cu postfix sau devocot si le-am dezinstalat, apoi iar se repeta aceeasi poveste. Acum cateva zile am dat un fresh install la vps, deci acum e gol gol si iar aceeasi poveste. De vreo luna stau cu server-ul platit si inchis (sau cateva zile online cateva offline).
S-a mai lovit cineva de probleme asemanatoare?
vad ca scrie ca a incercat SSH login nu ca a trimis mailuri. Eventual inchide si SSH server, sau schimba portul default. Sau pune un firewall (CSF de ex) si monitorizeaza accesul pe SSH. Nu este o problema de server de mail
Asta te ajută să previi atacurile brute force, dar nu te ajută să previi exploatarea unei eventuale vulnerabilităţi a OpenSSH-ului sau OpenSSL-ului. Istoria ăstora e destul de zbuciumată, cu multe breşe în care nici măcar nu a contat cât de complicată sau cât de lungă parolă/cheie ai pus, atacatorul s-a logat pur şi simplu, fără să aibă nevoie de autentificare. E mai safe să nu le dai ocazia ca nici măcar să nu poată să atingă portul ssh.
Pai nici schimbat-ul portului nu te ajuta la 0-day. Doar la scanari de tipul hit’n’run. Ca daca cineva te vrea, te cauta la toate port-urile si incearca si port knocking
Firewall strict si/sau DenyHosts
Sigur că te ajută, pentru că poţi să blochezi lejer port-scanning-ul, este virtual imposibil să nimereşti exact portul ssh fără să triggerezi firewall-ul. Eu folosesc soluţia de mai jos, care blochează instantaneu IP-ul maşinii atacatoare, dacă “atinge” unul din porturile unde nu are ce căuta (de exemplu telnet/23 şi ssh/22). După ce firewall-ul ţi-a fost trântit în nas, n-ai decât de scanezi până-ţi vine rău, vei găsi închise toate cele 65535 porturi.
-A INPUT -m recent --rcheck --seconds 300 --name badguy --rsource -j DROP
-A INPUT -p tcp -m multiport --ports 22 -m recent --set --name badguy --rsource -j DROP
-A INPUT -p tcp -m multiport --ports 23 -m recent --set --name badguy --rsource -j DROP
Cred că depinde de VPN. Dacă foloseşti ceva gen OpenVPN, e cam aceeaşi chestie, pentru că OpenVPN este bazat pe OpenSSL şi poate fi afectat de vreo vulnerabilitate în biblioteca de criptare.
E cam inutil să faci asta pe o maşină afectată, pentru că malware-ul poate face hijacking la apelurile de sistem şi să-ţi prezinte doar ce vrea el. De exemplu, pe tcpdump îl poate păcăli să arate orice alt trafic în afară de al lui, pe top/ps îl poate păcăli să afişeze orice proces în afară de el însuşi, pe ls îl poate păcăli să afişeze orice fişiere în afară de ale lui etc. E foarte tricky să faci debugging pe o maşină compromisă, nu poţi să ai încredere în nicio unealtă de pe maşina aia.
Am rezolvat problema. Am schimbat portul default ssh și am dezactivat logarea cu user-ul root și acum pare totul in regula.
Mulțumesc tuturor pentru sfaturi!