[OVH] Blokada serwera

[nesti 67]

Witam,

 

ostatnio zablokowano mi serwer w ovh, z powodu ataków które są wykonywane z mojego serwera. Musiałem przeinstalować serwer, zrobiłem to. Postawiłem nowy system z directadminem, nie zdążyłem jeszcze skończyć konfiguracji i znowu mój serwer został zablokowany z komunikatem.

- POCZATEK LOGOW -Attack detail : 481pps/5Mbps            dateTime              srcIp:srcPort            dstIp:dstPort              bytes    protocol25 Sep 2013 15:49:03:475 GMT      37.187.76.195          151.229.196.114               2272         UDP        fragment    25 Sep 2013 15:49:03:464 GMT      37.187.76.195          151.229.196.114               2272         UDP        fragment    25 Sep 2013 15:49:03:446 GMT      37.187.76.195          151.229.196.114               2272         UDP        fragment    25 Sep 2013 15:49:03:464 GMT      37.187.76.195          151.229.196.114               6560         UDP        fragment    25 Sep 2013 15:49:03:447 GMT      37.187.76.195          151.229.196.114               6560         UDP        fragment    25 Sep 2013 15:49:03:475 GMT      37.187.76.195          151.229.196.114               6560         UDP        fragment    25 Sep 2013 15:49:03:444 GMT      37.187.76.195          151.229.196.114               6560         UDP        fragment    25 Sep 2013 15:49:03:476 GMT      37.187.76.195          151.229.196.114               6560         UDP        fragment    25 Sep 2013 15:49:03:464 GMT      37.187.76.195          151.229.196.114               6560         UDP        fragment    25 Sep 2013 15:49:03:444 GMT      37.187.76.195          151.229.196.114               6560         UDP        fragment    -  KONIEC LOGOW  -

Czy to na pewno leci z mojego serwera, a nie przypadkiem ktoś celuje we mnie? Nie wiem dokładnie czego szukać, gdzie leży przyczyna.

Edytowano Wrzesień 25, 2013 przez nesti (zobacz historię edycji)

[Pan Kot 1535]

src to zródło, dst to cel. Pakiety lecą src -> dst.

Jakbyś podał port to bym mógł więcej powiedzieć. W ciemno strzelam na OpenRelay BIND9'a, który masz preinstalowany na serwerze.

[nesti 67]

Wysokie porty jak np 55705 bind jest instalowany razem z directadminem z tego co pamietam. Co sprawdzić?

[Pan Kot 1535]

Chodzi bardziej zarówno o porty SPT jak i DPT .

[mmmm21 98]

Widzę utrzymujesz domeny na swoim serwerze w ovh, obstawiam złą konfigurację binda. Sprawdź w pliku named.conf.options, czy masz zablokowaną rekursywność dnsa, jeżeli nie masz poniższych linii dopisz je:

 

 

options {
allow-recursion { twój_ip; };

// Do not allow access to cache
allow-query-cache { twój ip; };

// This is the default
allow-query { any; };

// Do not provide recursive service
// recursion no;

};

 

W chwili obecnej usługa dns na Twoim serwerze nie odpowiada.

Edytowano Wrzesień 25, 2013 przez mmmm21 (zobacz historię edycji)

[nesti 67]

mój named.conf.options

options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing
    // the all-0's placeholder.

    // forwarders {
    //     0.0.0.0;
    // };

    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { ::1; };
    listen-on { 127.0.0.1; };
    allow-recursion { 127.0.0.1; };

};

Więcej nic nie mogę powiedzieć, na infolinii mi powiedzieli, że mój serwer sieje zbyt dużymi pakietami w adres ip i podejrzewają backdoora u mnie na serwerze - ze względów bezpieczeństwa mi go zablokowali.

Mam tyle logów co w pierwszym poście, żadnych informacji więcej mi nie podali. Włączyli mi serwer w trybie ftp rescue każą skopiować dane i przeinstalować serwer.. Nie mam siły po prostu

 

Edytowano Wrzesień 25, 2013 przez nesti (zobacz historię edycji)

[Gość Kamikadze]

Zrób backup i zainstaluj czysty system. Zobacz czy problem się powtórzy.

[t4t4v4 3]

A spróbuj wyciąć wszystko poza SSH na zaporze: http://www.webhostingtalk.pl/topic/45080-ovh-anty-ddos/, mógłbyś sprawdzić co takiego dzieje się na serwerze.

Wydaje mi się, że powinieneś nasłuchiwać na wszystkich adresach:

listen-on { any; };

[Pan Kot 1535]

Ja bym po prostu zaczął od apt-get purge bind9* .