• 18-11-2013, 19:19:46
    #10
    Whm 'de cPHulk Brute Force Protection seçeğine girerek,cPHulk is currently Disabled konumuna getirin bir daha girişte problem yaşamazssınız.
  • 25-11-2013, 20:55:47
    #11
    Üyeliği durduruldu
    hasantokaloglu adlı üyeden alıntı: mesajı görüntüle
    Whm 'de cPHulk Brute Force Protection seçeğine girerek,cPHulk is currently Disabled konumuna getirin bir daha girişte problem yaşamazssınız.
    Arkadaşın sunucusuna zaten BruteForce ile girmişler CPhulku devre dışı bıraktığı zaman sizce bruteforce ile tekrar kırılabilme ihtimali daha yüksek değil mi?
  • 13-12-2013, 14:50:27
    #12
    Epey geçmiş konunun üzerinden ama, bilgi bilgidir:

    Top komutu bu durumda güvenilir olmaz.
    ps aux | grep Inetinfo
    yazarak filtreli şekilde çalışan uygulamaları görebilirsiniz. Tabi ki bu o kodun içinde kendini kopyalayıp farklı isimlerde çoğaltan birşey varsa işe yaramaz. ps komutunu grep olmadan yazıp çalışan bütün uygulamaları kontrol etmeniz önerilir.
    Ek olarak cron dosyalarınızı, syslog ve messages loglarını kontrol edin.

    Brute force atakları için birkaç güvenlik önlemi var. Ssh portunu değiştirmek basit bir çözüm olsa da yine de tam anlamıyla bir çözüm değil.

    Bu konuyla ilgili nacizane birkaç önerim:
    1. Uzaktan root loginine izin vermeyin
    /etc/ssh/sshd_config dosyasında PermitRootLogin yes yazan yeri PermitRootLogin no olarak güncelleyin.
    Daha sonra servisi yeniden başlatın: service ssh restart
    Bundan sonra sunucuya sadece normal kullanıcı hesapları ile erişebileceksiniz. Normal kullanıcı hesabı ile bağlandıktan sonra sudo ile veya su root olarak root login olabileceksiniz. Böylelikle saldırgan kişinin size ait kullanıcı ismini de bilmesi gerekir...
    2. Giriş yapabilen kullanıcıları sınırlayın
    Yine /etc/ssh/sshd_config dosyasında en alt satıra AllowUsers username ibaresini ekleyin (username: giriş yapmasını istediğiniz kullanıcı). Birden fazla kullanıcı için aralarda boşluk bırakarak yazabilirsiniz. Bu işlemlerden sonra ssh servisini yeniden başlatın, artık uzaktan erişim ile yalnızca belirttiğiniz kullanıcılar sisteme giriş yapabilecek.
    3. Parola denemelerini sınırlandırın
    Sisteme giriş yapmaya çalışan ve x sayıdan sonra başarısız olan kullanıcıları sistemden bir süreliğine banlayın. Bunu yapmak için güzel yazılımlar var. Fail2ban uygulamasını tavsiye ederim. Belirttiğiniz aralıkta belirttiğiniz sayıda hatalı giriş denemesi sonrasında istediğiniz süre kadar ip'yi banlayabiliyorsunuz vs. vs. özellikleri bulunmakta.
    4. Root login olunca kendinize mail göndertin
    Basit bir yöntemde olsa root login esnasında anında kendinize mail gelmesini istiyorsanız şunu yapın:
    Sunucuya root olarak login olun. /root/.bashrc dosyasını açın ve en alt satırına şunu yapıştırın:
    echo 'ALERT - Root Shell Access (SERVERNAME) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" example@you.com
    5. Sadece size ait olmasını istediğiniz şeyleri VPN arkasına alın
    Ssh, mysql, ftp gibi izin vermediğiniz ve çok az kişinin kullanabilmesini istediğiniz şeyleri VPN arkasına alın.
    Birinci adım; Vpn sunusu kurun (örn pptpd). Production sunucunuzda da olabilir bu, fark etmez.
    İkinci adım; firewall kullanarak (iptables vs) ilgili portları sadece sizin izin verdiğiniz ip adreslerine (VPN adresi) erişmesini ayarlayın. Böylelikle VPN'e bağlı olmadan belirttiğiniz portlara erişim mümkün olmaz.

    Bu liste daha çokça uzar gider, ama bu kadarı yeterli..
    Kolay gelsin.