We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Anti-hack - pytanie


no4b
09-07-2014, 20:53
Naturalnie

HTC96
09-07-2014, 19:27
Niestety, zostałem własnie zablokowany 2 raz. Czy jest ktoś wstanie odpłatnie pomóc?

borec
09-07-2014, 00:01
Sprawdź czy gry używają UDP, jeśli tak, to ich porty też odblokuj. To jest jednak tylko obejście problemu, bo musisz znaleźć przyczynę, czyli jakie procesy/programy robią te ataki i skąd one się*wzięły na serwerach.

HTC96
08-07-2014, 23:45
Cytat Napisał borec
Sprawdz jakie procesy wysylaja te pakiety UDP, np.
netstat -tapun | grep xxx
Gdzie xxx to port zrodlowy ataku.

Nastepnie zablokuj na iptables ruch wychodzacy UDP oprocz dns (port 53) zeby uniknac zgloszen z OVH.
W związku z Twoja odpowiedzią mam kilka pytań. Jeśli to są serwery gier, które działają na portach (w różnych przedziałach) nie będzie w związku z tym żadnych problemów?

borec
08-07-2014, 23:29
Sprawdz jakie procesy wysylaja te pakiety UDP, np.
netstat -tapun | grep xxx
Gdzie xxx to port zrodlowy ataku.

Nastepnie zablokuj na iptables ruch wychodzacy UDP oprocz dns (port 53) zeby uniknac zgloszen z OVH.

HTC96
08-07-2014, 23:08
Cytat Napisał borec
Pokaż te logi ze zgłoszenia. Któryś*klient musiał coś*wrzucić albo ma wirusa który wykrada dane FTP i wrzuca jakiś*syf.
Bardzo dziękuje za odpowiedź, w nawiązaniu do prośby udostępniam logi.

Szanowni Panstwo,

Panstwa serwer ***.***.eu stanowi zagrozenie dla naszej sieci.
W zwiazku z tym zostal uruchomiony w trybie 'rescue FTP'. Na
Panstwa adres e-mail zostala wyslana wiadomosc zawierajaca dane
do logowania. W trybie tym mozna odzyskac dane zapisane na serwerze.

W celu uzyskania dodatkowych informacji, prosimy o kontakt z
naszymi konsultantami:
telefonicznie pod numerem 71 718 23 70
poprzez ticket w panelu administracyjnym:
https://www.ovh.pl/managerv3/service...l?level=normal

Ponizej znajduja sie logi dostepne w naszym systemie.

- POCZATEK LOGOW -

Attack detail : 145Kpps/119Mbps
dateTime srcIp:srcPort dstIp:dstPort bytes protocol

07 Jul 2014 20:15:10:959 GMT ipserwera:45859 91.224.116.2:80 108 UDP
07 Jul 2014 20:15:10:943 GMT ipserwera:45859 91.224.116.2:80 108 UDP
07 Jul 2014 20:15:11:948 GMT ipserwera:50383 91.224.116.2:80 108 UDP
07 Jul 2014 20:15:10:905 GMT ipserwera:34277 91.224.116.2:80 108 UDP
07 Jul 2014 20:15:10:921 GMT ipserwera:45859 91.224.116.2:80 108 UDP
07 Jul 2014 20:15:11:905 GMT ipserwera:50383 91.224.116.2:80 108 UDP
07 Jul 2014 20:15:11:938 GMT ipserwera:50383 91.224.116.2:80 108 UDP
07 Jul 2014 20:15:11:950 GMT ipserwera:50383 91.224.116.2:80 108 UDP
07 Jul 2014 20:15:11:793 GMT ipserwera:45859 91.224.116.2:80 108 UDP
07 Jul 2014 20:15:11:950 GMT ipserwera:45859 91.224.116.2:80 108 UDP



- KONIEC LOGOW -

Z powazaniem,

Biuro Obslugi Klienta OVH.
Szanowni Panstwo,

Panstwa serwer ************.eu stanowi zagrozenie dla naszej sieci.
W zwiazku z tym zostal uruchomiony w trybie 'rescue FTP'. Na
Panstwa adres e-mail zostala wyslana wiadomosc zawierajaca dane
do logowania. W trybie tym mozna odzyskac dane zapisane na serwerze.

W celu uzyskania dodatkowych informacji, prosimy o kontakt z
naszymi konsultantami:
telefonicznie pod numerem 71 718 23 70
poprzez ticket w panelu administracyjnym:
https://www.ovh.pl/managerv3/service...l?level=normal

Ponizej znajduja sie logi dostepne w naszym systemie.

- POCZATEK LOGOW -

Attack detail : 61Kpps/50Mbps
dateTime srcIp:srcPort dstIp:dstPort bytes protocol

07 Jul 2014 22:02:51:689 GMT ************.:55088 83.4.111.28:80 108 UDP
07 Jul 2014 22:02:51:669 GMT ************.:55088 83.4.111.28:80 108 UDP
07 Jul 2014 22:02:51:689 GMT ************.:55088 83.4.111.28:80 108 UDP
07 Jul 2014 22:02:51:670 GMT ************.:55088 83.4.111.28:80 108 UDP
07 Jul 2014 22:02:51:702 GMT ************.9:55088 83.4.111.28:80 108 UDP
07 Jul 2014 22:02:51:642 GMT ************.:55088 83.4.111.28:80 108 UDP
07 Jul 2014 22:02:51:669 GMT ************.:55088 83.4.111.28:80 108 UDP
07 Jul 2014 22:02:51:639 GMT ************.:55088 83.4.111.28:80 108 UDP
07 Jul 2014 22:02:51:627 GMT ************.:55088 83.4.111.28:80 108 UDP
07 Jul 2014 22:02:51:622 GMT ************.:55088 83.4.111.28:80 108 UDP



- KONIEC LOGOW -

Z powazaniem,

Biuro Obslugi Klienta OVH.
Szanowni Panstwo,

Panstwa serwer ********************.eu stanowi zagrozenie dla naszej sieci.
W zwiazku z tym zostal uruchomiony w trybie 'rescue FTP'. Na
Panstwa adres e-mail zostala wyslana wiadomosc zawierajaca dane
do logowania. W trybie tym mozna odzyskac dane zapisane na serwerze.

W celu uzyskania dodatkowych informacji, prosimy o kontakt z
naszymi konsultantami:
telefonicznie pod numerem 71 718 23 70
poprzez ticket w panelu administracyjnym:
https://www.ovh.pl/managerv3/service...l?level=normal

Ponizej znajduja sie logi dostepne w naszym systemie.

- POCZATEK LOGOW -

Attack detail : 500Kpps/412Mbps
dateTime srcIp:srcPort dstIp:dstPort bytes protocol

08 Jul 2014 18:03:11:324 GMT ********************.:56081 79.191.121.33:80 108 UDP
08 Jul 2014 18:03:11:260 GMT ********************.:33241 79.191.121.33:80 108 UDP
08 Jul 2014 18:03:11:253 GMT ********************.:56081 79.191.121.33:80 108 UDP
08 Jul 2014 18:03:11:357 GMT ********************.:41800 79.191.121.33:80 108 UDP
08 Jul 2014 18:03:11:259 GMT ********************.:52252 79.191.121.33:80 108 UDP
08 Jul 2014 18:03:11:229 GMT ********************.:33241 79.191.121.33:80 108 UDP
08 Jul 2014 18:03:11:285 GMT ********************.:52252 79.191.121.33:80 108 UDP
08 Jul 2014 18:03:11:325 GMT ********************.:57928 79.191.121.33:80 108 UDP
08 Jul 2014 18:03:11:284 GMT ********************.:33241 79.191.121.33:80 108 UDP
08 Jul 2014 18:03:11:268 GMT ********************.:33241 79.191.121.33:80 108 UDP



- KONIEC LOGOW -

Z powazaniem,

Biuro Obslugi Klienta OVH.

borec
08-07-2014, 22:57
Pokaż te logi ze zgłoszenia. Któryś*klient musiał coś*wrzucić albo ma wirusa który wykrada dane FTP i wrzuca jakiś*syf.

HTC96
08-07-2014, 22:12
Witam Serdecznie,

na wstępie chciałem się przywitać ponieważ jestem nowy na forum i wychodzę z pytaniem o co dokładnie chodzi z Anti-hackiem?
Posiadam kilkanaście serwerów w OVH i od dwóch dni po kolei wszystkie są blokowane, z mojej strony żadne ataki nie są wykonywane, na serwery loguje się na prawdę rzadko ponieważ wszystko kontroluje system. Na serwerach posiadam klientów z dostępem do FTP. W przesyłanych logach są IP oraz porty, które widzę pierwszy raz na oczy. Co najciekawsze na serwerach nie ma nic innego niż java oraz użytkownicy FTP + wiadomo serwery gier klientów, więc reinstalacja jest tutaj bezużyteczna. Wykonam ją i wgram ponownie pliki klientów? to raczej problem gdzieś indziej. W ten sposób raczej nie można nic zrobić - jeśli myślę inaczej podpowiedzcie coś bo rozkładam ręce. Jakaś podpowiedź w jakich logach szukać odpowiedzi i czego dokładnie?

miłego wieczoru.