We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

[Poszukuję] Hack: Attack: many flows between 2 IPs


sojeft
19-04-2012, 20:45
Cytat Napisał GioWDS
połączenie UDP.
'połączenie UDP'

GioWDS
17-04-2012, 13:06
Tak dla potomnych, polecam w takiej sytuacji przeszukać logi Apache - zazwyczaj oznacza to, że przez dziurę w skrypcie uploadu został wgrany plik PHP uruchamiający połączenie UDP.

elNino
29-02-2012, 08:09
Serwer do standardowy LAMP na Debianie.

elNino
29-02-2012, 08:09
Kod:
Szanowni Panstwo,

Bylismy zmuszeni zablokowac serwer dedykowany
XXX.ovh.net , aby przeciwdzialac wlamaniu. Panstwa
serwer
posiada luki w zabezpieczeniu, ktore zostaly wykorzystane
przez niepowolane osoby.

Serwer aktualnie znajduje sie w trybie, ktory umozliwia 
dostep do danych korzystajac z protokolu FTP ( hasla
dostepu
zostaly przeslane droga mailowa).
Mozecie Panstwo rowniez przeprowadzic reinstalacje serwera
z poziomu managera v3.

Jezeli chcecie Panstwo samodzielnie usunac zrodlo wlamania,
prosimy o kontakt z pomoca techniczna OVH.


---------------------------  POCZATEK LOGOW 
---------------------------

Attack: many flows between 2 IPs

    startime		    endtime		   
scr:port		dst:port
-----------------------------------------------------------
-----------------------------------
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:37265	204.188.197.5:1973
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:34736	204.188.197.5:49
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:60927	204.188.197.5:3437
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:33056	204.188.197.5:263
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:60985	204.188.197.5:4388
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:54319	204.188.197.5:5817
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:53346	204.188.197.5:4286
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:48628	204.188.197.5:4135
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:55890	204.188.197.5:4201
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:42801	204.188.197.5:133
2012-02-28 13:39:27	2012-02-28 13:39:27    
188.165.236.XXX:39196	204.188.197.5:2842


---------------------------  KONIEC LOGOW 
---------------------------
Proszę o oferty przywrócenia serwera do stanu używalności - zapewne konfiguracja firewalla. Nie wiem jakie szczegóły są jeszcze potrzebne do wyceny - proszę pytać.

Oferty proszę przesyłać na adres el@elnino.pl