Il 11/09/2016 10:40, Marco Bettini ha scritto:
Buon giorno a tutti, ho un server che in questo periodo é fortemente
sotto attacco. Allego screenshot delle notifiche di ban di fail2ban (
scusate la stupida ripetizione ) ricevuti in un arco di 2min.
Dopo un po di giorni di scansioni perdo il controllo del server e devo
ricorrere al reset fisico.
Fino ad oggi ho sempre attribuito la perdita di controllo del server a
qualche processo in starvation che consumava tutte le risorse ma ora non
ne sono più molto sicuro.
Avete qualche idea su come poter scoprire se questo sia un attacco DOS
sul server invece che un semplice scan delle password?
Grazie e buona domenica a tutti
Marco Bettini
--
Google+: google.com/+MarcoBettini <http://google.com/+MarcoBettini>
LinkedIn: http://www.linkedin.com/in/bettinim
--
Il contenuto di questa e-mail è strettamente personale ai sensi della
legge 196/03. Ogni abuso potrà essere perseguito legalmente.
--
Solo il 10% di UNIX e' in codice assembly il resto e' C!!
Only about 10 % of UNIX is assembly code the rest is C!!
Domanda.
Il servizio SSH lo usi solo tu o è a disposizione anche degli utenti?
Se lo usi solo tu, perchè non lo apri solo da IP noti della tua rete?
Io uso una VPN verso un mio FW e solo da lì posso fare ssh verso tutti
gli alti sistemi. Non ho quindi SSH aperto verso l'esterno.
In ogni caso come ti hanno già consigliato aggiungi a SSH anche una
porta alta e da fuori permetti solo accessi alla porta alta. I tentativi
di violazione crolleranno.
--
Gelpi ing. Andrea
--------------------------------------------------------------
It took the computing power of three C-64s to fly to the Moon.
It takes a 486 to run Windows 95. Something is wrong here.
--------------------------------------------------------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
