Skocz do zawartości
Zaloguj się, aby obserwować  
Pjo

OVH Hack Detection - Jak naprawić?

Polecane posty

Witam,

Dziś dosłownie kilka minut temu serwer został zablokowany przez "Hack Detection". Poczytałem troszkę, lecz mam kilka pytań -

 

1) Jak to odblokować bez utraty danych, gdyż mój internet nie pozwala na przesył takich plików.

2) Jak jestem niewinny, to czy to coś wpłynie na dalsze użytkowanie serwera?

3) Jak z podobnymi sprawami jest w Hetznerze, bo mam zamiar się tam przenieść.

 

Mój serwer to Kimsufi 24G.

 

Logi:

 

 

- POCZATEK LOGOW -

 

Attack: many flows between 2 IPs

 

startime endtime scr:port dst:port

----------------------------------------------------------------------------------------------

2012-10-13 12:23:21 2012-10-13 12:23:21 37.59.48.89:58412 61.130.189.149:45459

2012-10-13 12:23:21 2012-10-13 12:23:21 37.59.48.89:58412 61.130.189.149:51150

2012-10-13 12:23:21 2012-10-13 12:23:21 37.59.48.89:58412 61.130.189.149:60267

2012-10-13 12:23:21 2012-10-13 12:23:21 37.59.48.89:58412 61.130.189.149:59005

2012-10-13 12:23:21 2012-10-13 12:23:22 37.59.48.89:58412 61.130.189.149:12339

2012-10-13 12:23:21 2012-10-13 12:23:21 37.59.48.89:58412 61.130.189.149:9656

2012-10-13 12:23:21 2012-10-13 12:23:21 37.59.48.89:58412 61.130.189.149:61972

2012-10-13 12:23:21 2012-10-13 12:23:21 37.59.48.89:58412 61.130.189.149:10214

2012-10-13 12:23:21 2012-10-13 12:23:21 37.59.48.89:58412 61.130.189.149:21589

2012-10-13 12:23:21 2012-10-13 12:23:21 37.59.48.89:58412 61.130.189.149:8534

2012-10-13 12:23:21 2012-10-13 12:23:21 37.59.48.89:58412 61.130.189.149:41229

 

 

- KONIEC LOGOW -

 

 

Jest to Chińskie ip (najprawdopodobniej proxy). Co mam z tym zrobić? "Ataki" czy coś innego najdłużej trwało sekundę.

Edytowano przez Pjo (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dziś dosłownie kilka minut temu serwer został zablokowany przez "Hack Detection". Poczytałem troszkę, lecz mam kilka pytań -

 

1) Jak to odblokować bez utraty danych, gdyż mój internet nie pozwala na przesył takich plików.

2) Jak jestem niewinny, to czy to coś wpłynie na dalsze użytkowanie serwera?

3) Jak z podobnymi sprawami jest w Hetznerze, bo mam zamiar się tam przenieść.

 

Nie ma tak naprawdę rozwiązania dajacego 100% pewność. Widziałem już hack detection za "dziwne" (wg OVH) zapytania na port 80, oczywiście podane w formie takiej tabelki jak wyżej, z której niewiele wynika, więc równie dobrze jak masz czysty serwer możesz załapać tego typu blokadę ;-)..

 

Odblokuj serwer w panelu, zainstaluj firewalla, pozamykaj zbędne porty, jeśli nie potrzebujesz to wywal ruch UDP, sprawdź czy nie masz żadnej dziury w skryptach (ostatnio Joomla daje czadu), przejrzyj logi z godzin, kiedy był dokonywany "atak" itd.

 

A potem poszukaj serwerowni z normalniejszą polityką w tych sprawach (chociażby slaskdatacenter.pl) bo OVH przy okazji następnej tego typu wpadki już tego serwera bez formatu nie odblokuje :).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hmm... Dzięki za obecne rady, lecz mam jeszcze jedno pytanie. Jak sprawdzić czy nie mam wirusów na linuxie. A po drugie - zastanawia mnie to ip z Chin.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×