با سلام


دسوتان عزیز من یک سرور مجازی داخل ایران دارم همه چی اوکی بود 2ماهیی میشد داشتم استفاده میکردم که یکدفعه دیروز سرور بالا نیومد

از دیتا سنتر پیگیری کردم گفتن سرورتون abuse داره


حالا من اصلا نمیدونم این چی هست و چیکار باید بکنم که اوکی شه


این مورد خیلی حیاطی هست برام خواهشا کمک کنید که چطور برگردونم سرور رو و از این مشکل جلوگیری کنم

از سرور چه استفاده ای می کردید؟
خب ابیوز یعنی یک کار خلاف قوانین دیتاسنتر انجام دادید مثلا اسپم ایمیل می فرستادید یا مثلا تورنت می کردید یا پورت اسکن می زدید و ...
خلاصه بپرسید ازشون چه ابیوز اومده و مشکل رو حل کنید

والا در زمینه ی تورنت فکر نمیکنم باشه چون دیتاسنتر ایران هست نمیدونم حالا چجوریه اما موردی که گفتن فکر میکنم برای اسپم ایمیل باشه این متن رو برام فرستادن



Hello Abuse-Team,

your Server with the IP: 185.2.1x.x has attacked one of our server on the service:
"postfix" on Time: Fri, 21 Nov 2014 09:41:06 +0100
The IP was automatically blocked for more than 10 minutes. To block an IP, it needs
3 failed Logins, one match for "invalid user" or a 5xx-Error-Code (eg. Blacklist)!

Please check the machine behind the IP 185.2.1x.x (unknown) and fix the problem.

real-time data for this day available at:



You can parse this Mail with X-ARF-Tools (1. attachment = Details, 2. attachment = Logs).
You found more Information about X-Arf under

If you have a special x-arf email contact, please drop us a note.

In the attachment of this mail you can find the original protocols of our systems.

yours

Gerhard W. Recher
(CTO)

net4sec UG (haftungsbeschraenkt)

Leitenweg 6
D-86929 Penzing

GSM: ++49 171 4802507

Handelsregister Augsburg: HRB 27139
Geschaeftsfuehrer:Martina Recher
EG-Identnr: DE283762194

w3: http://www.clean-mx.de (http://www.clean-mx.de/)
e-Mail: mailto:abuse@clean-mx.de
PGP-KEY: Fingerprint: A4E317B6DC6494DCC9616366A75AB34CDD0CE552 id: 0xDD0CE552
Location: http://www.clean-mx.de/downloads/abuse-at-clean-mx.de.pub.asc

Evidence:
attacked server: relay1.netpilot.net
envelopesender: parkbratbb3@hezarnevis.com
enveloperecpient: parkbrat@avdyn.com
Helo: 185-2-1x-x.hezarnevis.com
source-ip: 185.2.1x.x
protocol: ESMTP
instance: predata05.6e63.546efaa2.1c990.0
size: 0
reason: 5 -->554 User (%s) not known to us please verify your adressbook for any typos in this email adress or inquire manually
Evidences so far in total for this ip:2
*******
Notice: We have no headers, because we block these communication before DATA phase
******

---
Reported-From: abuse@clean-mx.de
Category: info
Report-Type: harvesting
Service: postfix
Version: 0.1
User-Agent: V2.1.8(09.10.2013) anti-scam-bot clean-mx.de
Date: Fri, 21 Nov 2014 09:41:06 +0100
Source-Type: ip-address
Source: 185.2.1x.x
Port: 25
Report-ID: 98597976@postfix.clean-mx.de
Schema-URL: http://support.clean-mx.de/schema/xarf.json
Attachment: text/plain

attacked server: relay1.netpilot.net
envelopesender: parkbratbb3@hezarnevis.com
enveloperecpient: parkbrat@avdyn.com
Helo: 185-2-1x.x.hezarnevis.com
source-ip: 185.2.1x.x
protocol: ESMTP
instance: predata05.6e63.546efaa2.1c990.0
size: 0
reason: 5 -->554 User (%s) not known to us please verify your adressbook for any typos in this email adress or inquire manually
Evidences so far in total for this ip:2
*******
Notice: We have no headers, because we block these communication before DATA phase

والا در زمینه ی تورنت فکر نمیکنم باشه چون دیتاسنتر ایران هست نمیدونم حالا چجوریه اما موردی که گفتن فکر میکنم برای اسپم ایمیل باشه این متن رو برام فرستادن



Hello Abuse-Team,

your Server with the IP: 185.2.1x.x has attacked one of our server on the service:
"postfix" on Time: Fri, 21 Nov 2014 09:41:06 +0100
The IP was automatically blocked for more than 10 minutes. To block an IP, it needs
3 failed Logins, one match for "invalid user" or a 5xx-Error-Code (eg. Blacklist)!

Please check the machine behind the IP 185.2.1x.x (unknown) and fix the problem.

real-time data for this day available at:



You can parse this Mail with X-ARF-Tools (1. attachment = Details, 2. attachment = Logs).
You found more Information about X-Arf under

If you have a special x-arf email contact, please drop us a note.

In the attachment of this mail you can find the original protocols of our systems.

yours

Gerhard W. Recher
(CTO)

net4sec UG (haftungsbeschraenkt)

Leitenweg 6
D-86929 Penzing

GSM: ++49 171 4802507

Handelsregister Augsburg: HRB 27139
Geschaeftsfuehrer:Martina Recher
EG-Identnr: DE283762194

w3: http://www.clean-mx.de (http://www.clean-mx.de/)
e-Mail: mailto:abuse@clean-mx.de
PGP-KEY: Fingerprint: A4E317B6DC6494DCC9616366A75AB34CDD0CE552 id: 0xDD0CE552
Location: http://www.clean-mx.de/downloads/abuse-at-clean-mx.de.pub.asc

Evidence:
attacked server: relay1.netpilot.net
envelopesender: parkbratbb3@hezarnevis.com
enveloperecpient: parkbrat@avdyn.com
Helo: 185-2-1x-x.hezarnevis.com
source-ip: 185.2.1x.x
protocol: ESMTP
instance: predata05.6e63.546efaa2.1c990.0
size: 0
reason: 5 -->554 User (%s) not known to us please verify your adressbook for any typos in this email adress or inquire manually
Evidences so far in total for this ip:2
*******
Notice: We have no headers, because we block these communication before DATA phase
******

---
Reported-From: abuse@clean-mx.de
Category: info
Report-Type: harvesting
Service: postfix
Version: 0.1
User-Agent: V2.1.8(09.10.2013) anti-scam-bot clean-mx.de
Date: Fri, 21 Nov 2014 09:41:06 +0100
Source-Type: ip-address
Source: 185.2.1x.x
Port: 25
Report-ID: 98597976@postfix.clean-mx.de
Schema-URL: http://support.clean-mx.de/schema/xarf.json
Attachment: text/plain

attacked server: relay1.netpilot.net
envelopesender: parkbratbb3@hezarnevis.com
enveloperecpient: parkbrat@avdyn.com
Helo: 185-2-1x.x.hezarnevis.com
source-ip: 185.2.1x.x
protocol: ESMTP
instance: predata05.6e63.546efaa2.1c990.0
size: 0
reason: 5 -->554 User (%s) not known to us please verify your adressbook for any typos in this email adress or inquire manually
Evidences so far in total for this ip:2
*******
Notice: We have no headers, because we block these communication before DATA phase


سلام

این ابیوز میگه شما به سرورهاشون اتک دادید و از دست کسی کاری ساخته نیست جز با مدیر سرورتون صحبت کنید و به
هزار نویس بگید ؟

سلام

این ابیوز میگه شما به سرورهاشون اتک دادید و از دست کسی کاری ساخته نیست جز با مدیر سرورتون صحبت کنید و به
هزار نویس بگید ؟
طبق این ریپورت از پورت 25 بوده ؟ و پرتوکول esmtp ؟

اخه من کاری روی سرور انجام نمیدم فقط یک نرم فازار اکانتینگ نصبه ...

با سلام
از چه سیستم عاملی استفاده میکردین ؟

سیستم عامل چیه ؟
پورت 25 میتونید ببندید روی سرور مجازی

سیستم عامل سرور 2003 هست

سلام

postfix که برای لینوکس باید باشه.سرور مجازی شما هک شده و در حال ارسال ایمیل است.بهترین راه نصب مجدد سیستم عامل و رعایت موارد امنیتی چون استفاده از پسورد قوی و تغییر پورت است.

سلام

postfix که برای لینوکس باید باشه.سرور مجازی شما هک شده و در حال ارسال ایمیل است.بهترین راه نصب مجدد سیستم عامل و رعایت موارد امنیتی چون استفاده از پسورد قوی و تغییر پورت است.

نه عزیز سرور 2003 هست

مدیریتی روی پورت های سرور دارید ؟ فایروال ؟
پیشنهادات بالا را هم رعایت کنید

نه عزیز سرور 2003 هست


در هر صورت سرور مجازی شما یا هک شده یا توسط Malware الوده شده و این مورد کاملا مشهود است.تقاضا کنید دسترسی را برگردانند تا این مشکل را برای شما حل کنیم.
در صورت تمایل با بنده میتوانید در ارتباط باشید.

مدیریتی روی پورت های سرور دارید ؟ فایروال ؟
پیشنهادات بالا را هم رعایت کنید

در حال حاضر دیتا سنتر سرور رو برگردوند و من هم یکسری پورت رو روی rras بستم حالا فعلا که اوکی هست البته اینم بگم تست کردم یوزر نمیدوته از اون پورت هایی که تعریف کردم استفاده کنه حالا اگه باز مسعله ی دیگهه به وجود بیاد اطلاع میدم اینجا

- - - Updated - - -


در هر صورت سرور مجازی شما یا هک شده یا توسط Malware الوده شده و این مورد کاملا مشهود است.تقاضا کنید دسترسی را برگردانند تا این مشکل را برای شما حل کنیم.
در صورت تمایل با بنده میتوانید در ارتباط باشید.

چطور تشخیص بدم malware وجود داره یا نه ؟ و درصورت وجود داشتن چطور برطرف کنم ؟

در حال حاضر دیتا سنتر سرور رو برگردوند و من هم یکسری پورت رو روی rras بستم حالا فعلا که اوکی هست البته اینم بگم تست کردم یوزر نمیدوته از اون پورت هایی که تعریف کردم استفاده کنه حالا اگه باز مسعله ی دیگهه به وجود بیاد اطلاع میدم اینجا
بهتر بود فایل های مورد نیاز را بر میداشتید و سیستم عامل را مجدد نصب میکردید
در هر صورت امیدوارم موفق باشید .

در حال حاضر دیتا سنتر سرور رو برگردوند و من هم یکسری پورت رو روی rras بستم حالا فعلا که اوکی هست البته اینم بگم تست کردم یوزر نمیدوته از اون پورت هایی که تعریف کردم استفاده کنه حالا اگه باز مسعله ی دیگهه به وجود بیاد اطلاع میدم اینجا

دوست عزیز این مورد به بستن پورت ها هیچ ارتباطی ندارد.حتی اگر کلیه پورت های اسپم را ببندید شک نکنید مجددا مشکل شما تکرار خواهد شد.در هر صورت اگر مشکل تکرار شد بنده در خدمت هستم.