抱歉,如果之前有人问过这个问题,但是我查看了其他问题,没有找到匹配项。 我的 Win Server 2008 VPS 遭受了很多登录类型 2 和 3 攻击(来自不同的 IP)。我一直在想处理这些问题的最佳方法是什么? 我还注意到攻击者使用新创建的管理员用户名(而不是默认的“管理员”),因此他们以某种方式从我的 VPS Active Directory 中获取此信息。我确实启用了 RDP 访问权限(但不是通过标准 RDP 端口)。我知道这是一个安全问题,但我需要访问权限。 附注:使用 ShieldsUp 我发现端口 135(DCOM 服务控制管理器)和 ...
如果脚本尝试使用常用帐户名列表通过 SSH 进行登录,或者尝试为“root”或“mail”(或类似)输入多个密码,这是否仍被视为“端口扫描”?我希望找到一种方法来阻止这些行为,但我不知道该搜索什么。 当我想到这个术语时,port scan我会想到使用 NMAP(或同等工具)来查找 iptables 中打开的内容。只是好奇这是否属于同一类别。 我的一些系统每天记录几千条信息。这很烦人。 系统都是CentOS/RHEL。 编辑:iptables“限制”看起来非常有希望。最后我可能必须为所有有效流量设置 VPN,并在公共服务器上使用类似“fail2ban”...
(跳至结尾以了解较少背景信息) 我有一台 CentOS 6 机器,采取了一些安全措施 - 禁用 root 登录、设置强密码、为 FTP 和 SSH 设置用户白名单,并安装了 fail2ban。我尝试登录 SSH、FTP 和 SMTP 的次数处于“正常”水平,fail2ban 都能令人满意地处理这些情况。遗憾的是,我无法更改 SSH 端口号或强制密钥,尽管这是我在可能的情况下会做的事情。 今天我注意到一次更严重的攻击;这是我以前从未见过的。同一个 IP 反复尝试通过 SSH 进行 root 登录,但它会访问随机端口(每个端口最多尝试 3 次),但不知何故没...
我遇到过很多暴力破解数据库的尝试。可能还有其他尝试,但这是我现在关注的重点。 我整理了一份此次攻击的源 IP 地址列表。我想将它们与该列表进行比较,并实施该列表以禁止防火墙上的 IP 在哪里可以找到被报告为暴力攻击源的 IP 列表? ...
今天我收到大量来自域名而非 IP 的暴力攻击。我追踪了网站的 IP 地址并将其屏蔽,但仍然收到暴力攻击警告。我可以用 iptables 来屏蔽域名吗? alumni.xjtu.edu.cn ...
这是我的想法, 设置一个阈值,比如一分钟30次,然后阻止该IP几分钟。 但如果攻击者伪造源 IP 地址,这可能会立即阻止合法用户。 现在我很困惑。 ...
我正在帮助一位客户解决 SQL Server 2005 暴露的问题。他们不愿在防火墙或 VPN 解决方案上让步,而且他们的日志中充满了暴力攻击的迹象。 在 X 登录 SQL Server 2005 失败后,有没有办法自动禁止某个 IP 地址? ...
如果我有以下限制列表: smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rhsbl_helo dbl.spamhaus.org, reject_rhsbl_reverse_client dbl.spamhaus.org, reject_rhsbl_sender dbl.spamhaus.org, reject_rbl_client zen.spamhaus.org, reject postfix ...
我有一个基于 AKS 的网站。我的网站遭受了 DDoS 和其他类型的攻击。为了预防此类攻击,我计划使用 Azure Sentinel 服务工具。 https://learn.microsoft.com/en-us/azure/sentinel/hunting#use-the-hunting-dashboard 如何在 AZure 中存储流网站流量,并在发生异常流量冲击时与 azure + aler 集成。 提前致谢。 尝试过 Sentinel 服务。 ...
我在事件查看器中的 Windows 日志/安全中收到大量审核失败错误。参见下图。这是否意味着有人试图暴力破解我的电脑? ...
我想知道在 HP 交换机(例如 2920)上是否有类似风暴控制的功能,但只适用于单播?假设我们的网络中有一个主机,它会强行破解一些随机 IP 地址。如何关闭此接口/MAC 地址?HP 交换机仅为广播和多播提供风暴控制,但它们都不是针对随机 IP 的 300pps 的解决方案。如何处理它?我知道我们可以在防火墙上做“一些事情”,但如何在 L2 上处理它,这样流量就不会打扰我们的防火墙。 问候。 ...
就在我写下这段文字的时候,我的 Gitea 实例正在遭受暴力破解: gitea | Invalid user yinsen from 94.23.30.184 port 55154 gitea | Connection closed by invalid user yinsen 94.23.30.184 port 55154 [preauth] gitea | Invalid user zhaoyy from 94.23.30.184 port 42294 gitea | Connection closed by invalid user zhaoy...
我试图通过在登录页面前设置验证码来防止对网络应用程序的一些暴力攻击。 我无法修改应用程序本身,所以我无法更改登录表单。 我可以在 Web 应用程序前面放一些类似 Authelia 的东西,但这完全是小题大做。我不需要 2FA,只要一个简单的验证码就可以了。 我在这里和网上读了一些关于 testcookie-nginx-module 的条目,但这个条目似乎很旧,而且没有得到真正的维护。此外,我必须编译该模块并将其包含在 NGinx 中,这是我尽量避免的。其他一些帖子已有 8-14 年历史了...我找不到最新的帖子或项目。 我正在寻找一些项目(基于docker的...
我想知道是否有办法知道被禁止的 IP 是否仍在尝试联系我的服务器以及他正在尝试做什么? fail2ban.log 似乎显示了谁被禁止了,但如果被禁止的 IP 仍在尝试联系我,则不会显示,我错了吗? 如果可能的话,提前感谢任何能找到这些细节的线索:) 亲切的,Krys ...
我有一个 PBX(VOIP 服务器),电话连接到该服务器以便拨打电话。我使用的 PBX 是星号。该服务器未被使用,其唯一目的是分析攻击。 如果我有其他服务(例如 mongodb),PBX 服务并不重要,我确信互联网上的机器人会搜索漏洞来攻击该数据库。 无论如何,我正在分析到达我的服务器的 UDP 端口 5060(这是 Aterisk 监听的位置)的所有数据包,到达的数据包如下所示: IP (tos 0x0, ttl 113, id 654, offset 0, flags [none], proto UDP (17), length 521) 43....