OVH Community, your new community space.

AntiHack - jak ustrzec się przed blokadą adresu IP


desavil
14-04-2013, 11:41
Cytat Napisał desavil
Ja co prawda nie mam HackDetection, ale otrzymuję dziwne pakiety - ewidentnie to wygląda na atak bo serwer 2 razy padł, wykryto usterkę i reboot.
srcip oraz dscip wgl nie dotyczy mojego serwera, a mam pełno połączeń w tcpdump. Dziwne, żebym miał informacje o dscip, które nie dotyczy mojego serwera czy ono też może być spoofed?

Wycinek z logów:
Kod:
21:58:03.507679 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10669:10710, ack 405, win 2707, length 41
21:58:03.507684 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10710:10730, ack 405, win 2707, length 20
21:58:03.507686 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10730:10750, ack 405, win 2707, length 20
21:58:03.507689 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10750:10770, ack 405, win 2707, length 20
21:58:03.507692 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10770:10790, ack 405, win 2707, length 20
21:58:03.507694 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10790:10810, ack 405, win 2707, length 20
21:58:03.507696 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10810:10830, ack 405, win 2707, length 20
21:58:03.507699 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10830:10850, ack 405, win 2707, length 20
21:58:03.507702 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10850:10870, ack 405, win 2707, length 20
21:58:03.507704 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10870:10890, ack 405, win 2707, length 20
21:58:03.507706 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10890:10910, ack 405, win 2707, length 20
21:58:03.507709 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10910:10930, ack 405, win 2707, length 20
21:58:03.509440 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.51081: Flags [P.], seq 11724:11732, ack 411, win 2707, length 8
21:58:03.509444 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.51081: Flags [P.], seq 11732:11740, ack 411, win 2707, length 8
21:58:03.509447 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.51081: Flags [P.], seq 11740:11748, ack 411, win 2707, length 8
21:58:03.509449 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.51081: Flags [P.], seq 11748:11763, ack 411, win 2707, length 15
21:58:03.509451 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.51081: Flags [P.], seq 11763:11778, ack 411, win 2707, length 15
21:58:03.510669 IP darkorbit-gameserver-eu11-pub.nue.bigpoint.net.http-alt > 5.135.251.96.49939: Flags [P.], seq 5305:5346, ack 414, win 2707, length 41
21:58:03.516117 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8568:8584, ack 393, win 2707, length 16
21:58:03.516126 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8584:8596, ack 393, win 2707, length 12
21:58:03.516129 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8596:8628, ack 393, win 2707, length 32
21:58:03.516132 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8628:8671, ack 393, win 2707, length 43
21:58:03.516134 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8671:8714, ack 393, win 2707, length 43
21:58:03.516137 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8714:8734, ack 393, win 2707, length 20
21:58:03.516139 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8734:8754, ack 393, win 2707, length 20
21:58:03.516142 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8754:8774, ack 393, win 2707, length 20
21:58:03.516196 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6658:6678, ack 487, win 2707, length 20
21:58:03.516199 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6678:6698, ack 487, win 2707, length 20
21:58:03.516201 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6698:6718, ack 487, win 2707, length 20
21:58:03.516739 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6718:6738, ack 487, win 2707, length 20
21:58:03.516745 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6738:6758, ack 487, win 2707, length 20
21:58:03.516748 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6758:6795, ack 487, win 2707, length 37
21:58:03.516751 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6795:6815, ack 487, win 2707, length 20
21:58:03.516928 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8774:8811, ack 393, win 2707, length 37
Najlepsze jest to, że adres IP 5.135.251.96, należy do OVH, a dokładniej: Organization: Location de serveur VPS

A jakie hostname.. (w tracert): WIN-L9VCK6EIT0K, WTF!?
Kod:
Śledzenie trasy do WIN-L9VCK6EIT0K [5.135.251.96]
z maksymalną liczbą 30 przeskoków:

  1     *        *        *     Upłynął limit czasu żądania.
  2     *        *       29 ms  Jaworzno-bras2.inetia.pl [195.114.190.151]
  3    35 ms    35 ms    35 ms  81.210.127.68
  4    35 ms    34 ms    35 ms  JawoH001RT09-WarsH002RT22.inetia.pl [83.238.251.
46]
  5    36 ms    35 ms     *     rbx-g2-a9.fr.eu [178.33.100.173]
  6    55 ms     *        *     ams-5-6k.nl.eu [94.23.122.109]
  7    62 ms    62 ms    61 ms  rbx-g2-a9.fr.eu [91.121.131.169]
  8    62 ms    63 ms     *     vss-6a-6k.fr.eu [91.121.128.40]
  9    61 ms    61 ms    61 ms  WIN-L9VCK6EIT0K [5.135.251.96]

Śledzenie zakończone.

@Edit
Reinstalowałem serwer i połączenia znikły.. już nie wiem o co tutaj chodzi :P
Macie jakiś pomysł co to mogło być, cały czas mi to po głowie chodzi...
Najlepsze jest to, że reinstalowałem tą maszynę i zniknęły połączenia z dstip, które nie dotyczy mojego serwera.

desavil
13-04-2013, 21:21
Ja co prawda nie mam HackDetection, ale otrzymuję dziwne pakiety - ewidentnie to wygląda na atak bo serwer 2 razy padł, wykryto usterkę i reboot.
srcip oraz dscip wgl nie dotyczy mojego serwera, a mam pełno połączeń w tcpdump. Dziwne, żebym miał informacje o dscip, które nie dotyczy mojego serwera czy ono też może być spoofed?

Wycinek z logów:
Kod:
21:58:03.507679 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10669:10710, ack 405, win 2707, length 41
21:58:03.507684 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10710:10730, ack 405, win 2707, length 20
21:58:03.507686 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10730:10750, ack 405, win 2707, length 20
21:58:03.507689 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10750:10770, ack 405, win 2707, length 20
21:58:03.507692 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10770:10790, ack 405, win 2707, length 20
21:58:03.507694 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10790:10810, ack 405, win 2707, length 20
21:58:03.507696 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10810:10830, ack 405, win 2707, length 20
21:58:03.507699 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10830:10850, ack 405, win 2707, length 20
21:58:03.507702 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10850:10870, ack 405, win 2707, length 20
21:58:03.507704 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10870:10890, ack 405, win 2707, length 20
21:58:03.507706 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10890:10910, ack 405, win 2707, length 20
21:58:03.507709 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.50267: Flags [P.], seq 10910:10930, ack 405, win 2707, length 20
21:58:03.509440 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.51081: Flags [P.], seq 11724:11732, ack 411, win 2707, length 8
21:58:03.509444 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.51081: Flags [P.], seq 11732:11740, ack 411, win 2707, length 8
21:58:03.509447 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.51081: Flags [P.], seq 11740:11748, ack 411, win 2707, length 8
21:58:03.509449 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.51081: Flags [P.], seq 11748:11763, ack 411, win 2707, length 15
21:58:03.509451 IP darkorbit-22-game-02-pub-02.nue.bigpoint.net.http-alt > 5.135.251.96.51081: Flags [P.], seq 11763:11778, ack 411, win 2707, length 15
21:58:03.510669 IP darkorbit-gameserver-eu11-pub.nue.bigpoint.net.http-alt > 5.135.251.96.49939: Flags [P.], seq 5305:5346, ack 414, win 2707, length 41
21:58:03.516117 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8568:8584, ack 393, win 2707, length 16
21:58:03.516126 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8584:8596, ack 393, win 2707, length 12
21:58:03.516129 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8596:8628, ack 393, win 2707, length 32
21:58:03.516132 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8628:8671, ack 393, win 2707, length 43
21:58:03.516134 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8671:8714, ack 393, win 2707, length 43
21:58:03.516137 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8714:8734, ack 393, win 2707, length 20
21:58:03.516139 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8734:8754, ack 393, win 2707, length 20
21:58:03.516142 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8754:8774, ack 393, win 2707, length 20
21:58:03.516196 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6658:6678, ack 487, win 2707, length 20
21:58:03.516199 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6678:6698, ack 487, win 2707, length 20
21:58:03.516201 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6698:6718, ack 487, win 2707, length 20
21:58:03.516739 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6718:6738, ack 487, win 2707, length 20
21:58:03.516745 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6738:6758, ack 487, win 2707, length 20
21:58:03.516748 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6758:6795, ack 487, win 2707, length 37
21:58:03.516751 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50810: Flags [P.], seq 6795:6815, ack 487, win 2707, length 20
21:58:03.516928 IP darkorbit-150-game-03-pub-01.nue.bigpoint.net.http-alt > 5.135.251.96.50888: Flags [P.], seq 8774:8811, ack 393, win 2707, length 37
Najlepsze jest to, że adres IP 5.135.251.96, należy do OVH, a dokładniej: Organization: Location de serveur VPS

A jakie hostname.. (w tracert): WIN-L9VCK6EIT0K, WTF!?
Kod:
Śledzenie trasy do WIN-L9VCK6EIT0K [5.135.251.96]
z maksymalną liczbą 30 przeskoków:

  1     *        *        *     Upłynął limit czasu żądania.
  2     *        *       29 ms  Jaworzno-bras2.inetia.pl [195.114.190.151]
  3    35 ms    35 ms    35 ms  81.210.127.68
  4    35 ms    34 ms    35 ms  JawoH001RT09-WarsH002RT22.inetia.pl [83.238.251.
46]
  5    36 ms    35 ms     *     rbx-g2-a9.fr.eu [178.33.100.173]
  6    55 ms     *        *     ams-5-6k.nl.eu [94.23.122.109]
  7    62 ms    62 ms    61 ms  rbx-g2-a9.fr.eu [91.121.131.169]
  8    62 ms    63 ms     *     vss-6a-6k.fr.eu [91.121.128.40]
  9    61 ms    61 ms    61 ms  WIN-L9VCK6EIT0K [5.135.251.96]

Śledzenie zakończone.

@Edit
Reinstalowałem serwer i połączenia znikły.. już nie wiem o co tutaj chodzi :P

no4b
13-04-2013, 20:53
A co za problem puścić tylko na 53 serwerów zawartych w resolv.conf i/lub forwarders?

victor
13-04-2013, 16:47
Cytat Napisał no4b
Po co w ogóle pozwalacie na wychodzący ruch UDP ze swojego serwera inny niż zapytania DNS?
osoby robiące atak wiedzą żeby swój flood puścić na port 53... Trzeba dokładniej przyblokować, po ownerze.

mikel
13-04-2013, 16:29
no4b - popieram, nie ma potrzeby używania udp na innych portach - chyba że jest to serwer gier

no4b
13-04-2013, 16:22
Po co w ogóle pozwalacie na wychodzący ruch UDP ze swojego serwera inny niż zapytania DNS?

Saper82
13-04-2013, 15:04
Mam ten sam problem
żaden user nie ma dostępu do wgrywanie własnej WWW

jak ostrzec się przed czymś takim?

Joshua
24-10-2012, 16:19
Cytat Napisał wojtekg
Witam,


- POCZATEK LOGOW -

DOS, 46bytes UDP pkts attacks. Peer2peer mode.

startime endtime src: port dst: port
----------------------------------------------------------------------------------------------
2012-10-19 22:15:04 2012-10-19 22:15:38 xxx.xxx.xxx.xxx:48452 82.76.85.225:59171
2012-10-19 22:15:38 2012-10-19 22:16:12 xxx.xxx.xxx.xxx:48452 82.76.85.225:59171
2012-10-19 22:16:47 2012-10-19 22:17:21 xxx.xxx.xxx.xxx:48452 82.76.85.225:59171
2012-10-19 22:17:21 2012-10-19 22:17:32 xxx.xxx.xxx.xxx:48452 82.76.85.225:59171

- KONIEC LOGOW -

Jak ustrzec się przed takimi pakietami/atakami?

Dzięki
Wojtek
Uniemożliwić (lub przynajmniej ograniczyć) inicjowanie połączeń użytkownikowi który obsługuje serwer WWW - to tak na początek.

heniec
24-10-2012, 12:31
Cytat Napisał wojtekg
Jak ustrzec się przed takimi pakietami/atakami?
Najczęściej pomaga wyłączenie serwera i problem mamy z głowy

wojtekg
23-10-2012, 19:56
Witam,

Po raz drugi OVH zablokowało mi jeden z adresów IP uzasadniając to tak:

Szanowni Panstwo,

Niektore z Panstwa adresow IP zostaly zablokowane, w zwiazku z otrzymywanymi
alertami.

W celu uzyskania dodatkowych informacji, prosimy o kontakt z pomoca techniczna.\

Ponizej znajduja sie logi dostepne w naszym systemie.
- POCZATEK LOGOW -

DOS, 46bytes UDP pkts attacks. Peer2peer mode.

startime endtime scrort dstort
----------------------------------------------------------------------------------------------
2012-10-19 22:15:04 2012-10-19 22:15:38 xxx.xxx.xxx.xxx:48452 82.76.85.225:59171
2012-10-19 22:15:38 2012-10-19 22:16:12 xxx.xxx.xxx.xxx:48452 82.76.85.225:59171
2012-10-19 22:16:47 2012-10-19 22:17:21 xxx.xxx.xxx.xxx:48452 82.76.85.225:59171
2012-10-19 22:17:21 2012-10-19 22:17:32 xxx.xxx.xxx.xxx:48452 82.76.85.225:59171

- KONIEC LOGOW -

Jak ustrzec się przed takimi pakietami/atakami?

Dzięki
Wojtek