DDoS/DoS? Atak na serwer dedykowany

[poppe 13]

Mam serwer dedykowany za granica, dzis mi go zablokowali poniewaz byl atak.

Chcialem sie dowiedziec czy jest mozliwe abym sam sie przed nim uchronil tylko jak?

Mam apache zainstalowane, linuxa 4, serwer to xeon.

 

edit:

 

przyslali mi taki log:

 

LOG: MAIN
<= vzmaild@df-ms-l1.server4you.de U=vzmaild P=local S=16042 \
id=kpm9re.i0yket@df-ms-l1.server4you.de
delivering 1MkkE2-0007mH-Ej
Connecting to mx3.go2.pl [193.17.41.214]:25 from 85.25.38.20 ... connected
SMTP<< 220 mx3.go2.pl ESMTP Welcome
SMTP>> EHLO df-ms-l1.server4you.de
SMTP<< 250-mx3.go2.pl
250-SIZE 150000000
250 8BITMIME
SMTP>> MAIL FROM:<vzmaild@df-ms-l1.server4you.de> SIZE=17385
SMTP<< 250 Ok
SMTP>> RCPT TO:<MOJMEILTUTA>
SMTP<< 250 Ok
SMTP>> DATA
SMTP<< 354 end with <CRLF>.<CRLF>
SMTP>> writing message and terminating "."
SMTP<< 250 OK queued as rvdQXW
SMTP>> QUIT
LOG: MAIN
=> MOJMEILTUTAJ R=dnslookup T=remote_smtp H=mx3.go2.pl [193.17.41.214]
LOG: MAIN
Completed

[m.p 0]

jeśli atak był z serwera (trochę dziwne aby blokowali jeśli ktoś Ciebie ddosuje), zapewne to wina jakiegoś dziurawego oprogramowania (np joomla albo inne).

 

linux 4 - ?

[poppe 13]

Tzn ze na moim serwerze cos bylo wlaczone co atakowalo? to nie byl atak z zewnatrz?

 

tutaj nie widze w tym logu ip mojego serwera

 

debian 4.0

[m.p 0]

Tzn ze na moim serwerze cos bylo wlaczone co atakowalo? to nie byl atak z zewnatrz?

 

a dostałeś komunikat od isp, że to z Twojego serwera zaatakowano czy to Twój serwer zaatakowano?

[poppe 13]

a dostałeś komunikat od isp, że to z Twojego serwera zaatakowano czy to Twój serwer zaatakowano?

 

Dostalem tylko od serwerowni ten log, wiec co on znaczy dokladnie?

[Miłosz 2311]

Connecting to mx3.go2.pl [193.17.41.214]:25 from 85.25.38.20 ... connected

SMTP

SMTP>> EHLO df-ms-l1.server4you.de

SMTP

250-SIZE 150000000

250 8BITMIME

SMTP>> MAIL FROM: SIZE=17385

 

wygląda na wychodzący z twojego serwera

[poppe 13]

A to:

 

"Connecting to mx3.go2.pl [193.17.41.214]:25 from 85.25.38.20 ... connected"

 

A patrzylem w whoip to te ip 85.25.38.20 = df-ms-l1.server4you.de, tak jak by jakis serwer dedykowany z ich serwerowni atakowal moj?

 

Bo co to jest? To nie jest ip mojego serwera ...

[Miłosz 2311]

niewykluczone, masz jakiegoś open relaya u siebie?

[poppe 13]

Nie raczej, mam tylko apache wgrane, a tam stronke.

serwer sluzy jako serwer do gier sieciowych. czyli stoi ich software tam.

[www.follownet.pl 8]

Nie raczej, mam tylko apache wgrane, a tam stronke.

Ale to debian, ma defaultowo exima, logi również wyglądają jak eximowe. Lepiej zobacz co siedzi w kolejce serwera pocztowego i ustal jak to się tam znalazło.

[Miłosz 2311]

może masz gdzieś dziure w swojej aplikacji php i ktoś wykorzystał ją do spamowania