سلام ، دوستان امروز برای یکی از ای پی ها ابیوز اومده :



Dear Customer,

Abnormal activity has been detected on 178.32.144.214.

Please don't hesitate to contact out technical support team so that this situation does not become critical.

You can find the logs brought up by our system which lead to this alert.

- START OF ADDITIONAL INFO -

Attack detail : 8K scans
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2014.09.01 10:28:01 CEST 178.32.144.214:65406 5.39.10.84:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65408 5.39.10.221:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65410 5.39.11.79:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65524 5.39.12.35:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65525 5.39.12.36:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65529 5.39.12.40:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65531 5.39.12.42:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65528 5.39.12.39:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65530 5.39.12.41:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65523 5.39.12.34:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65526 5.39.12.37:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65527 5.39.12.38:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65533 5.39.12.44:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:49157 5.39.12.46:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65507 5.39.12.18:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65506 5.39.12.17:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65508 5.39.12.19:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65514 5.39.12.25:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65517 5.39.12.28:3389 TCP SYN 52 SCAN:SYN
2014.09.01 10:28:01 CEST 178.32.144.214:65516 5.39.12.27:3389 TCP SYN 52 SCAN:SYN



- END OF ADDITIONAL INFO -

Regards,

OVH Customer Support.



Dear Customer,

The IP address 178.32.144.214 had to be blocked by our services due to
the various alerts received.

Please don't hesitate to contact out technical support team so that this situation does not become critical.

You can find the logs brought up by our system which lead to this alert.

- START OF ADDITIONAL INFO -

Attack detail : 12K scans
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2014.09.01 10:34:01 CEST 178.32.144.214:58769 5.135.223.220:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58771 5.135.223.222:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:61731 5.135.230.92:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58774 5.135.223.225:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:61728 5.135.230.90:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:63187 5.135.233.12:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:63191 5.135.233.15:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58795 5.135.223.253:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58793 5.135.223.251:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58794 5.135.223.252:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58797 5.135.223.255:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:63189 5.135.233.13:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:63190 5.135.233.14:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58796 5.135.223.254:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58824 5.135.224.24:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58825 5.135.224.25:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58830 5.135.224.30:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58827 5.135.224.27:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58831 5.135.224.31:3389 TCP SYN 48 SCAN:SYN
2014.09.01 10:34:01 CEST 178.32.144.214:58826 5.135.224.26:3389 TCP SYN 48 SCAN:SYN



- END OF ADDITIONAL INFO -

Regards,

OVH Customer Support.

لطفا راهنمایی کنید ، باید چیکار کنم ؟

ایمیل بزن بگو
یکی از کاربرایی بوده که سرور مجازی داشته از شرکت و شما مطلع نبودی
واز سروریس دهی بهش دیگه امتناع کردی و دیگه بهش سرویس نمیدی
او وی اچ جایی نیست که حتی اخطارر بده مراقب باشین و شبکتون رو مانیتور کنین برای این چیزا
واگر نه او وی اچ یک روز دیدین سرخود بست و دستتون به جای بند نبود البته نگران نباشین
همیشه در بدترین شرایط میشه ازشون بک اپ گرفت

ایمیل بزن بگو
یکی از کاربرایی بوده که سرور مجازی داشته از شرکت و شما مطلع نبودی
واز سروریس دهی بهش دیگه امتناع کردی و دیگه بهش سرویس نمیدی
او وی اچ جایی نیست که حتی اخطارر بده مراقب باشین و شبکتون رو مانیتور کنین برای این چیزا
واگر نه او وی اچ یک روز دیدین سرخود بست و دستتون به جای بند نبود البته نگران نباشین
همیشه در بدترین شرایط میشه ازشون بک اپ گرفت

ovh خیلی زیاد سخت گیری نمی کنه و با صحبت مشکل رفع میکنه. ابیوز confirm کنین و مشکل حل کنین

سلام
البته می توانید بگویید
سرور مورد نظر پاکسازی شده است و از اطلاع رسانی شما تشکر می کنیم
لطفا آی پی را فعال کنید
یا سرور مورد نظر حذف شده است و از اطلاع رسانی شما تشکر می کنیم

با تشکر

به نظر بنده اطلاع بدید که سرور مجازی مربوط به یک کاربر بود که حذف شد
پورت ها موجود در ابیوز را ببندید (udp - tcp)
در پاسخ به ابیوز نیز اضاف کنید که از آی پی به مدت 1 هفته استفاده نخواهد شد
به کاربر مربوط نیز دیگر سرویس نخواهیم داد
2 مورد را تاکید کنید
1. سرور مجازی پاک شده است و به کاربر سرویس نخواهید داد
2. پورت ها مسدود شد

موفق باشید

سعی کنید روی همان ip دیگر به مشتری سرویس ندید حتی در صورت رفع مشکل
ریسک مسدود شدن سرور کل رو به همراه دارد

او وی اچ حساسیت شدیدی به ابیوز دارد
حواستون باشه که به هیچ عنوان این ای پی روشن نشود
این ابیوز مشابه ابیوز های نت اسکن از هتزنر هست
این ابیوز برای اطلاع شما ارسال شده
در پاسخ بگگویید مشکل حل شد و کلا این مشترکتون رو به سرور دیگری منتقل کنید
چون 2-3 بار همین روال تکرار بشه
سرور رو ترمینیت می کنه و بتون یه دسترسی اف تی پی به سرورتون میده و دیگه این سرور رو نخواهد داشت

ممنون از پاسخ دوستان ... مشکل تقریبا حل شد ...


دوستان با توجه ب اینکه شبکه ovh مک آدرس فیلــــترینگ داره ، هیچ راهی هست ک بشه کل ترافیک رو مانیتور کرد و قبل از دیتاسنتر خود ما سرور طرف رو ساسپند کنیم ؟


من نمیدونم این کاربر با خودش چی فک کرده ک رو شبکه ovh پورت اسکن کرده ...
تو قوانینی ک موقع ثبت نام کاربر قبول میکنه ، گفته شده ک اینکار ها ممنوع هستش .

ممنون از پاسخ دوستان ... مشکل تقریبا حل شد ...


دوستان با توجه ب اینکه شبکه ovh مک آدرس فیلــــترینگ داره ، هیچ راهی هست ک بشه کل ترافیک رو مانیتور کرد و قبل از دیتاسنتر خود ما سرور طرف رو ساسپند کنیم ؟


من نمیدونم این کاربر با خودش چی فک کرده ک رو شبکه ovh پورت اسکن کرده ...
تو قوانینی ک موقع ثبت نام کاربر قبول میکنه ، گفته شده ک اینکار ها ممنوع هستش .

Mikrotik Router نصب کنید روی سرور و پورت های حساس و ببندید
حدود 350 پورت حساس موجود است

mikrotik router نصب کنید روی سرور و پورت های حساس و ببندید
حدود 350 پورت حساس موجود است

شما از شبکه ovh اطلاع دارین که این کار رو حتی رو سرور خودتون هم ممنوع میدونه ؟

شما از شبکه ovh اطلاع دارین که این کار رو حتی رو سرور خودتون هم ممنوع میدونه ؟

ما روی تمام سرور های موجود در ovh خودمون روتر نصب کردیم
اگر تاپیک فروش ما را هم مشاهده بفرمایید مشخص است که از این دیتاسنتر نیز سرویس ارائه خواهیم داد و آشنایی کامل داریم

ما روی تمام سرور های موجود در ovh خودمون روتر نصب کردیم
اگر تاپیک فروش ما را هم مشاهده بفرمایید مشخص است که از این دیتاسنتر نیز سرویس ارائه خواهیم داد و آشنایی کامل داریم

روتر میکروتیک ؟ ، در این مدت ابیوزی نداشتید ؟ ، همه پورت ها رو بستید ب جز پورت های ضرروری ؟ درسته ؟ :53:

یعنی تک تک آی پی ها رو یکبار در روتر ب همراه مک اد کردید ؟ :63:

روتر میکروتیک ؟ ، در این مدت ابیوزی نداشتید ؟ ، همه پورت ها رو بستید ب جز پورت های ضرروری ؟ درسته ؟ :53:

یعنی تک تک آی پی ها رو یکبار در روتر ب همراه مک اد کردید ؟ :63:

عزیزم روتر و آماده میکنید
فقط کاری که کافیه انجام بدید این که تنظیمات سرور مجازی و از Vmware بازکنید و شبکه را تغییر بدید که کارت شبکه جدیدی که در Vmware تعریف کردید
پورت ها هم داخل روتر ببندید - حتی می تونید اگر کسی مصرف بالایی در پورت داره اون هم محدود کنید و... خیلی امکانات دیگه
تمام اتفاقات شبکه قابل مشاهده است
کدام سرور مجازی با کدام آی پی به کجا و به چه پورتی وصل شده و چقدر دیتا ارسال میکنه و......
خیلی امکانات دیگه

سلام

سرور مجازی رو ساسپند کنید

کاربر خاطی رو جریمه کنید و از ارائه سرویس به این کاربر خود داری کنید

پورت اسکن برای ریموت دسکتاپ بوده است.

شما نمیتوانید روی شبکه OVH روتر تنظیم کنید. Subnet تمام آیپی های OVH همگی 255.255.255.255 هست یعنی فقط خودش و Broadcast را میبینه!!!:d
از طرفی حتی اگر بتوانید این کار را انجام دهید اگر کاربر شما مقداری شبکه بلد باشد با دستورانی میتواند آیپی Gateway نهایی را به دست آورده و جایگرین آیپی میکروتیک شما نماید و عملا روتر Bypass خواهد شد.(از طرح جزئیات بیشتر معذورم!!! چون ممکنه بعضی مشتریان از این قضیه سوء استفاده کرده و شما همکاران گرامی را اذیت نمایند)
این مسئله را یکبار با جناب آقای کریمی مدیریت محترم شرکت نت ایران در میان گذاشتم و ایشان فرمودند ساده ترین راه بستن پورت های خطرناک از طریف Network Firewall خود OVH می باشد. که به نظرم این ساده ترین و بهترین راه می باشد.

شما نمیتوانید روی شبکه OVH روتر تنظیم کنید. Subnet تمام آیپی های OVH همگی 255.255.255.255 هست یعنی فقط خودش و Broadcast را میبینه!!!:d
از طرفی حتی اگر بتوانید این کار را انجام دهید اگر کاربر شما مقداری شبکه بلد باشد با دستورانی میتواند آیپی Gateway نهایی را به دست آورده و جایگرین آیپی میکروتیک شما نماید و عملا روتر Bypass خواهد شد.(از طرح جزئیات بیشتر معذورم!!! چون ممکنه بعضی مشتریان از این قضیه سوء استفاده کرده و شما همکاران گرامی را اذیت نمایند)
این مسئله را یکبار با جناب آقای کریمی مدیریت محترم شرکت نت ایران در میان گذاشتم و ایشان فرمودند ساده ترین راه بستن پورت های خطرناک از طریف Network Firewall خود OVH می باشد. که به نظرم این ساده ترین و بهترین راه می باشد.

عزیزم میشه روتر و جوری تعریف کرد که با همان آی پی گت وی کار کنه
ما هم یک سرور از آقای کریمی داریم (OVH) روتر هم کانفیگ شده
در این صورت شما روتر و با همان گت وی پیشفرض نهایی خواهید داد
و تنها چیزی که یک سرور مجازی و به روتر متصل خواهد کرد اینکه که کارت شبکه سرور مجازی و تغییر بدید
ما اصلا کاری به Gateway نداریم
این روشی که می فرمایید آی پی میکروتیک و به عنوان گت وی سرور های مجازی تعریف کنیم
هم در OVH برای شما ابیوز خواهد آمد و یک روش مبتدی می باشد
شاد باشید

ایمیل بزن بگو
یکی از کاربرایی بوده که سرور مجازی داشته از شرکت و شما مطلع نبودی
واز سروریس دهی بهش دیگه امتناع کردی و دیگه بهش سرویس نمیدی
او وی اچ جایی نیست که حتی اخطارر بده مراقب باشین و شبکتون رو مانیتور کنین برای این چیزا
واگر نه او وی اچ یک روز دیدین سرخود بست و دستتون به جای بند نبود البته نگران نباشین
همیشه در بدترین شرایط میشه ازشون بک اپ گرفت

سلام
نه دیگر دیتاسنتر ovh مثل قبل نیست که خیلی به اخطار ها حساسیت نشون بده
خیلی بهتر از جا های دیگر دارد برخورد میکند

سعی کنید روی همان ip دیگر به مشتری سرویس ندید حتی در صورت رفع مشکل
ریسک مسدود شدن سرور کل رو به همراه دارد



خیر دیگر مانند قبل اذیت نمیکند روی اخطار ها و اینچنین که میفرمایید حساس نیست
شما این کاربر را مسدود بکن بعد آی پی را از پنل باز بکنید و بعد از نهایت 1 ماه ازش به صورت عادی استفاده بکنید

دیتاسنتر ovh شبکه فوق العاده تمیزی دارد به طوری که خودش پورت ها را مدیریت میکنه و نیازی به حتی روتر هم نداره که همکاران دارن در موردش توضیحات فنی میدهند
شما در ovh قبلا در هفته واسه سرور 1-2 تا اخطار را داشتید اما خوب استارتر میتونند خودشون شهادت بدهند که چند ماهه اخطار نداشتند
دیگر اون حساسیت های قبلی را ندارد


او وی اچ حساسیت شدیدی به ابیوز دارد
حواستون باشه که به هیچ عنوان این ای پی روشن نشود
این ابیوز مشابه ابیوز های نت اسکن از هتزنر هست
این ابیوز برای اطلاع شما ارسال شده
در پاسخ بگگویید مشکل حل شد و کلا این مشترکتون رو به سرور دیگری منتقل کنید
چون 2-3 بار همین روال تکرار بشه
سرور رو ترمینیت می کنه و بتون یه دسترسی اف تی پی به سرورتون میده و دیگه این سرور رو نخواهد داشت


تو رو خدا بنده خدا رو اینقدر نترسونتید:-*

وقتی اخطار دریافت میکنید فقط کافیه خونسرد باشید همین :105:


ممنون از پاسخ دوستان ... مشکل تقریبا حل شد ...


دوستان با توجه ب اینکه شبکه ovh مک آدرس فیلــــترینگ داره ، هیچ راهی هست ک بشه کل ترافیک رو مانیتور کرد و قبل از دیتاسنتر خود ما سرور طرف رو ساسپند کنیم ؟


من نمیدونم این کاربر با خودش چی فک کرده ک رو شبکه ovh پورت اسکن کرده ...
تو قوانینی ک موقع ثبت نام کاربر قبول میکنه ، گفته شده ک اینکار ها ممنوع هستش .


پیش میاد زیاد مهم نیست
شما کاری که خدمتتان گفته شد را انجام بدهید مشکلی نخواهید داشت:53:

با تشکر

عزیزم میشه روتر و جوری تعریف کرد که با همان آی پی گت وی کار کنه
ما هم یک سرور از آقای کریمی داریم (OVH) روتر هم کانفیگ شده
در این صورت شما روتر و با همان گت وی پیشفرض نهایی خواهید داد
و تنها چیزی که یک سرور مجازی و به روتر متصل خواهد کرد اینکه که کارت شبکه سرور مجازی و تغییر بدید
ما اصلا کاری به Gateway نداریم
این روشی که می فرمایید آی پی میکروتیک و به عنوان گت وی سرور های مجازی تعریف کنیم
هم در OVH برای شما ابیوز خواهد آمد و یک روش مبتدی می باشد
شاد باشید

آموزش کانفیگ میکروتیک و همین مورد رو میتونید بگزارید یا توضیح بدید

ممنون از پاسخ دوستان ... مشکل تقریبا حل شد ...


دوستان با توجه ب اینکه شبکه ovh مک آدرس فیلــــترینگ داره ، هیچ راهی هست ک بشه کل ترافیک رو مانیتور کرد و قبل از دیتاسنتر خود ما سرور طرف رو ساسپند کنیم ؟


من نمیدونم این کاربر با خودش چی فک کرده ک رو شبکه ovh پورت اسکن کرده ...
تو قوانینی ک موقع ثبت نام کاربر قبول میکنه ، گفته شده ک اینکار ها ممنوع هستش .

سلام

دوست عزیز در 99%موارد کاربر بیچاره شما هیچ گناهی ندارد.مشکل از ویروسی بودن یا ویروسی شدن VM شما هست.نیاز با انتقال یا ساسپند کردن نیست.کارایی که بهتون میگم انجام بدید مشکل حل خواهد شد.
ابتدا Endpoint security Nod32 را نصب کنید و فول اپدیت و اسکن کنید تا از تمیز بودن vmخود اطمینان حاصل کنید.سپس پورت ریموت دسکتاپ را از 3389 به یک پورت safe و غیر ویروسی تغییر داده و پورت 3389 را روی فایروال بلاک کنید.اگر مقدور است نیز رنج ای پی که به ای پی شما اسکن کرده یا از ای پی شما اسکن شده روی فایروال بلاک کنید.سپس تیکت زیر را به دیتا سنتر ارسال کنید:

Dear Sir/Mam,

According to our investigating the issue,we've install Endpoint security on the OS and find some malwares,we've removed all infection and for more confidence
, we've blocked TCP 3389 on the firewall and changed RDP from 3389 to 7175,then the IP range that had scanned now is in our black list, if you need any proof about
handle the issue please let us know,

Cheers,


در صورتی که سیستم عامل شما چیزی به غیر از ویندوز هست اطلاع دهید تا نحوه برخورد با ان را برای شما شرح دهم.