سلام
متاسفانه چند روزیست که سرورم مجازیم (centos 9.10)به قول نمایندگیم ebus شده و ip بلاک توسط دیتا سنتر میشه .

نمایندگی میگه که مدام request ارسال میکنه به ip های دیگه بقول معروف بمب میکنه و دیتا سنتر بلاکش میکنه .

احتمالا هک شدم

یبار درخواست بازگشایی دادم و پسورد رو تعویض کردم با کد top که فعالیت عجیبی ندیدم

لطفا راهنمایی بفرمایید چطور میتونم این مشکل رو حل کنم ؟

سپاس گذارم

ip 12.12.12.12 واقعی نیست
################################################## ########################
# Netscan detected from host 12.12.12.12 #
################################################## ########################


time protocol src_ip src_port dest_ip dest_port
---------------------------------------------------------------------------
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51447 => 192.168.3.2 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51449 => 192.168.3.3 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51450 => 192.168.3.4 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51452 => 192.168.3.5 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51453 => 192.168.3.6 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51455 => 192.168.3.7 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51457 => 192.168.3.8 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51459 => 192.168.3.9 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51461 => 192.168.3.10 7

با سلام
این امر دلایل مختلفی می تواند داشته باشد.ولی عمدتا 2 دلیل زیر عمومی تر است.
1- وجود فایل مخرب در یکی از وب سایت های میزبانی شده در سرور
2- وجود فایل مخرب در فایل های سرور
در هر 2 حالت باید سرور شما بررسی شود و سپس Outgoing traffic سرور شما آنالیز شود تا پس از بررسی بتوان راهکار منطقی چهت پیشگیری از این مشکل ارایه داد. ولی اجالتا می توانید سرور خود را اسکن نموده و سپس outgoing پورت های سرور خود را مسدود نمایید.
باتشکر

پورت پیش فرض پوتی رو تغییر داده اید ؟

کدام دیتاسنتر هستید ؟

اگر هتزنر هستید مشکلی نیست بزارید آی پی بلاک باشد سپس lara درخواست کنید و با بنده تماس بگیرید تضمین صدرصد براتون رفع خواهیم کرد.

سرور بنده سایت روش نصب نیست open... + ibsng یه سرور مجازی با مشخصات سخت افزاری بسیار پایین برای استفاده شخصی
بله هتزنز آلمان هست
پورت پوتی همون 22 ،،، تغییرش بدم ؟
چطوری اسکن کنم و پورت های خروجی شو ببندم با این حال مشکلی برای خودم پیش نیاد ؟

سرور بنده سایت روش نصب نیست open... + ibsng یه سرور مجازی با مشخصات سخت افزاری بسیار پایین برای استفاده شخصی
بله هتزنز آلمان هست
پورت پوتی همون 22 ،،، تغییرش بدم ؟
چطوری اسکن کنم و پورت های خروجی شو ببندم با این حال مشکلی برای خودم پیش نیاد ؟


حتما پورت 22 رو تغییر بدید و در فایروال 22 را مسدود کنید
موارد مشابه قبلا داشتیم با این روش بر طرف شده

پورت رو در فایروال قرار دهید به احتمال زیاد درست میشه !

ممنونم
روش تغییر پورت ssh رو میدونم
فقط میشه روش بستن پورت 22 رو از طریق iptables برام بنویسین
سپاس

ممنونم
روش تغییر پورت ssh رو میدونم
فقط میشه روش بستن پورت 22 رو از طریق iptables برام بنویسین
سپاس

برای بستن پورت :

iptables -A INPUT -p tcp --dport # -j DROP
iptables -A INPUT -p udp --dport # -j DROP
service iptables save
service iptables restart

به جای # شماره پورت را وارد نمایید
یک مطلب کامل در این رابطه :

Linux: Block Port With IPtables (http://www.cyberciti.biz/faq/iptables-block-port/)

در اول کار شما باید تمامی پورت ها و آی پی های مورد نیاز سرور را شناسایی کنید.

سپس بقیه پورت هایی که لازم ندارید را ببندید.

این مشکل جدید توی هتزنر برای سرورهای ماهم ارسال شده به مشتری ها که ریپورت میدیم و پیگیر میشن اکثرا ای بی اس ان جی هست و یا اکانتینگ
فعلا اومدیم یکسری پورتهارو توی روتر بستیم و حل شده تا الان
دقیقا این ابیوز میاد بلافاصله ای پی بلاک میشه دیگه وقت نمیدن

دوستان پورت پوتی رو تغییر دادم ولی وقتی همه پورت های incoming رو بستم


iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP

اکانتینگ ibsng از کار میوفته و نمیشه لاگ شد بهش

پورت های 80 - 443 - 808 - 8000- 1812 - 1813 رو هم باز کردم مشکل رفع نشد

راهنمایی میفرمایید بچه پورتهایی لازم داره ibsng

مرسی

فکر کنم باید 2 پورت 1645 و 1700 را هم باز کنید.