سلام
یه چند روزه دو تا از سرورهامون زیره اتکه و دیتا سنتر همش آی پی رو بلاک می کنه
اینم تو آنتی هک می زنه

Attack detail : 128Kpps/114Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2015.08.06 06:59:57 CEST 158.69.151.35:20362 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:65480 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:43516 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:63727 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:4035 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:433 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:25752 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:1991 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:26647 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:33644 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:55279 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:1844 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:58538 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:47442 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:41008 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:30677 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:46748 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:17001 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:31186 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.06 06:59:57 CEST 158.69.151.35:32878 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN

یه فایروال داره خوده دیتاسنتر اما رول نویسیش رو من دیدم می شه یه آی پی داد
آیا راهی هست که به فایروال بگیم آی پی ها رو بن کنه و دیگه همش دیتاسنتر نبنده ؟
دیتاسنتر هم ovh کانادس

لاگ بالا رو دیتا سنتر برای شما ارسال کرده؟
ovh به خاطر این اتک کوچولو هیچ وقت آی پی شما را بلاک نمی کند.
اگه کل لاگ اتک همینه نیاز به فایروال سخت افزاری هم ندارید و با CSF می تونید اونو مهار کنید

درود
دوست عزیز این لاگ single ip attack هستش و ساده ترین نوع attack میباشد و چون آیپی محدود هستش براحتی توئسط فایروال قابل جلوگیری میباشد و معمولا دیتاسنترها سر این مسئله به سرورها abuse نمیدن

والا بالای 6 بار تو 5 روز گذشته بلاک کرده و همه گزارش هاشم همین جور بوده
اینم یکی دیگش

Attack detail : 135Kpps/121Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2015.08.03 05:32:37 CEST 158.69.151.35:64271 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:11018 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:56449 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:9323 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:38848 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:9707 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:26553 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:17447 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:37255 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:42927 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:8010 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:20302 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:6460 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:9656 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:52024 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:31986 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:50547 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:45431 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:34433 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:38422 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN

- - - Updated - - -

والا هشدار نمی ده در جا آی پی رو بلاک می کنه
من همش می رم از پنل آنبلاک می کنم
خب تظیمات چی براش انجام بدم
دو تا سرور لینوکسمون این مشکل رو دارن که هر چی هم باز می کنم باز چند ساعت بعد بلاک می شه

والا بالای 6 بار تو 5 روز گذشته بلاک کرده و همه گزارش هاشم همین جور بوده
اینم یکی دیگش

Attack detail : 135Kpps/121Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2015.08.03 05:32:37 CEST 158.69.151.35:64271 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:11018 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:56449 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:9323 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:38848 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:9707 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:26553 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:17447 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:37255 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:42927 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:8010 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:20302 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:6460 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:9656 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:52024 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:31986 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:50547 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:45431 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:34433 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN
2015.08.03 05:32:37 CEST 158.69.151.35:38422 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN

- - - Updated - - -

والا هشدار نمی ده در جا آی پی رو بلاک می کنه
من همش می رم از پنل آنبلاک می کنم
خب تظیمات چی براش انجام بدم
دو تا سرور لینوکسمون این مشکل رو دارن که هر چی هم باز می کنم باز چند ساعت بعد بلاک می شه

آیپی
158.69.151.35

برای شما هست درسته ؟

با توجه به برخورد مرکزتون و لاگ دومی هم که دادید بنده فکر کنم شما دارید اتک میزنید نه کسی به شما.

الان جمعه شب همکاران بخش کور نیستند وگرنه حتما سوال میکردم ازشون و کاملتر خدمتتون میگفتم ولی بنده الان اینطور فهمیدم که این یعنی مشکل امنیتی سرورتون.

باتشکر رضایی

بله این آی پی ما هست

سلام و درود.
اگه این اتک هستش که با فایروالی مثل csf میشه جلوشو گرفت.اینقدری بزرگ نیست که بگیم خیلی زیاده و ..........
اما اینطوری که یک چیزی هست که کسی نمیدونه و فقط مسئول خود سرور میدونه,احتمال اتک دادن از سمت شما به یک سرور وجود داره
من یک چک کردم سیستم عامل لینوکس نیست وی ویندوزه.اگه اشتباه نکرده باشم.با برنامه چک کردم و اشتباه هم داره.اگه ویندوز باشه درصد اینکه مشکل از سمت شما باشه زیاده.
و این پیغام هم فقط داره میگه که به یک پورت با آیپی .... دارید پکت زیاد میفرستید.
جالب هم اینجاست که آیپی 190.93.247.235 نوشته کلوفایر
با بد کسی طرفین :D

سلام و درود.
اگه این اتک هستش که با فایروالی مثل csf میشه جلوشو گرفت.اینقدری بزرگ نیست که بگیم خیلی زیاده و ..........
اما اینطوری که یک چیزی هست که کسی نمیدونه و فقط مسئول خود سرور میدونه,احتمال اتک دادن از سمت شما به یک سرور وجود داره
من یک چک کردم سیستم عامل لینوکس نیست وی ویندوزه.اگه اشتباه نکرده باشم.با برنامه چک کردم و اشتباه هم داره.اگه ویندوز باشه درصد اینکه مشکل از سمت شما باشه زیاده.
و این پیغام هم فقط داره میگه که به یک پورت با آیپی .... دارید پکت زیاد میفرستید.
جالب هم اینجاست که آیپی 190.93.247.235 نوشته کلوفایر
با بد کسی طرفین :D
خیر ما اتک نمی دیم جایی و این سرور روش دایرکت ادمینه که هنوز سایتی هم روش نیست
چطور می شه جلوش رو گرفت ؟؟

دسترسی لطفا بدین تا چک کنم.
اطلاعات سرور رو اگر خواستید بفرستید,تا فایروال بریزم و کانفیگ کنم.بعد ببینم چیزی میگن یا نه.
نکنه نال شده هستش؟
اینو تاکید کنم که سروری که ovh فرستاده که به پورت 80 پکت فرستاده شده از سمت کلود هستش ها.اینو کلا گفتم واسه یاد آوری.

دسترسی لطفا بدین تا چک کنم.
اطلاعات سرور رو اگر خواستید بفرستید,تا فایروال بریزم و کانفیگ کنم.بعد ببینم چیزی میگن یا نه.
نکنه نال شده هستش؟
اینو تاکید کنم که سروری که ovh فرستاده که به پورت 80 پکت فرستاده شده از سمت کلود هستش ها.اینو کلا گفتم واسه یاد آوری.

ارسال شد خدمتتون

- - - Updated - - -


مشکل از همون ای پی
158.69.151.35 هست. از سرور دارن اتک میزنن.

یه بار دیگه عوض کردم هم او اس رو هم دایرکت ادمین رو

w2ir جان,آیپی 158.69.151.35 مال خود سرورشون هستش.
این ایبوز هم میگه که از همین ایپی داره به پورت 80 پکت میفرسته.
سرور رو چک کردم.
اطلاعاتی رو بهشون گفتم.امیدوارم که مفید باشه.
موفق باشید.

w2ir جان,آیپی 158.69.151.35 مال خود سرورشون هستش.
این ایبوز هم میگه که از همین ایپی داره به پورت 80 پکت میفرسته.
سرور رو چک کردم.
اطلاعاتی رو بهشون گفتم.امیدوارم که مفید باشه.
موفق باشید.

ممنون از لطفت در پیام شخصی پاسخ دادم
گفتم این سرور کلا برا خودمه و اون قضیه ای که شما فکر می کنید نبوده
تو همی جا هم گفتم که اینقدر اذیت کرد او اس رو عوض کردن کردم و از اول همه چی رو ریختم

سرور ویندوز هست یا لینوکس ؟

اگر لینوکس هست پورت ssh رو تغییر دادید ؟ اگر ویندوز هست آیا آپدیت کردید و پورت ریموت رو تغییر بدین ؟