Domain - Hosting - Reseller - Dedicated Server - Virtual Server - IRC Shell - Seedbox
Server Uzaktan Erişim Güvenliği?
Server Uzaktan Erişim Güvenliği?
-
Serverın olay görüntüleyicisini her gün kontrol ediyorum ve her gün minimum 6 saat boyunca uzaktan erişime saldırı aldığımı görüyorum (6 saat boyunca saniyede 3 ~4 deneme duraklamadan) bu 12 ~15 saate bile çıkıyor.. genelde administrator, adminisdrator, administrateur, atministrator, admin, www gibi kullanıcılar denenmiş oluyor tabiki kıramıyor ancak bu beni deli ediyor. Ftplere de aynı saldırı var ftplere yapılan saldırılarda ipleri tespit edebiliyorum genelde yurtdışından 4 5 farklı şirket üzerinden 2 veya 3 ip oluyor bunları serverdan yasaklıyorum ama uzaktan erişime yapılan saldırıların iplerini göremiyorum.
Şimdi sorularıma geçeyim;
1. Uzaktan erişime yapılan saldırılardaki ipleri nerden tespit edebilirim loglanıyor mu?
2. Yapılan saldırı sunucuyu etkiliyor ve bağlantıda problem yaşıyorum uzaktan erişimi ve ftpleri iptal etsem bunu önleyebilir miyim?
3. Yapılan saldırı ne tür bir saldırı fikri olan var mı?
-
öncelikle server'ın linux mu windows mu?Linuxa eger
/var/log dosyası altında loglanmış dosyalar var ama eger bu konuda yeniysen biraz zorlanabilirsin.
uzaktan erişimi ve ftpleri iptal edersen müşterin ve senin ulaşmanda bir sorun olmaz mı?Bence BFD kur brute force saldırıları için etkili br linux modülü.
-
windowsmu linux mu
windows ise sygate personal firewall kur derim
-
Gece gece yazmayı unutmuşum windows + plesk kullanıyorum. Müşterilerime panel ftp gibi şeyler vermiyorum erişim tamamen bana ait o nedenle kapatabilirim sorun değil. herhangi bir firewall vs kuramam dr web kullanıyorum ve cpu + ram kullanımım 7/24 en üst seviyede. Uzaktan erişime yapılan saldırıların iplerini bulmam lazım sabahın 6 sında yine saldırı olmuş şuan da devam ediyor :/
-
ha o zaman uzaktan baglanıcaksın event logger var orda tüm hatalar izinsiz girişler loglanır oradan bakabilirsin.Yapılan saldırının türü BruteForce hani ftp ve uzaktan erişimi kapatmak bir ölcüde olsa rahatlatırmı sanırsam evet ama anladıgım kadarıyla server limitlerinde yaşıyor:) daha iyisine geçmeyide düşün:)
-
daha iyisi maddi açıdan zorluyor :d zaten saldırıları event log kısmından görüyorum ancak ipleri göstermiyor sorun da orda zaten bahsettiydim
-
Dediğin gibi sık saldırılar oluyorsa büyük ihtimalle wormdur.
-
Remote desktopa girmeye calışıyorsa eğer,
en güzeli portu değiştirmektir
standart remote desktop portu 3389 dur 3489 yapabilirsin örneğin...
al hemen reg dosyasınıda veriyim sana
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00000da1port number 3489 a göre ayarlıdır registryde numberi dword yaparsan otomatik convert eder sayıyı...
ftp için ise komplike bir username ve password ver, örneğin usernamelerin administrator olmasın yada site ismi www.google.com sa username i google.com olmasın...
birde karışık bir şifre ver ve ftp server güvenliğinden şifre 3 saat üst üste yanlış girilirse 1 saat giriş yapılamasın tarzında bir seçenek olması lazım onu aktif et bitti gitti...
ama eğer ftp yi sadece sen kullanıyorsan onunda portunu değiştirebilirsin en iyisidir...
-
rene hocam port değiştirme aklıma yattı yapıcam saol çözüm için