PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : مشکل abuse دادن و بستن سرویس لطفا کمک کنید


ronaldo777
July 19th, 2017, 01:17
سلام امروز سرور من بالا نمیوممد و بعد از تیکت زدن اینو فرستادن لطفا کمک کنین:






363CB5:22

No reply from you regarding this ticket:

\"Dear Sir or Madam,

CERT-Bund received complaints concerning systems hosted on your
network which *actively* participated in DDoS attacks against
third parties.

The DDoS reflection attacks were performed by abusing UDP-based
services openly accessible from the Internet (DNS open-resolvers,
NTP servers with the \'monlist\' feature enabled, openly accessible
SNMP servers, etc.).

Please find below a list of systems on your network which actively
participated in the DDoS attacks. The timestamp (timezone UTC)
indicates when the first attack packet was sent by the respective
system. Additionally, each records includes the source port and
type of service abused.

Many of the services abused for the attacks have already been
reported to you by CERT-Bund on a regular basis for a longer time
and we kept asking you to close the services to prevent them
from being abused for DDoS attacks.

We would now like to ask you to check this issue and *immediately*
take appropriate action to prevent further abuse of the services
for DDoS attacks against third parties.

Additional information on this notification and advice on how to
secure the open services (HOWTOs) available at:
<https://reports.cert-bund.de/en/> (https://reports.cert-bund.de/en/%3E)

This message is digitally signed using PGP. Information on the
signature key is available at the aforementioned URL.

Please note:
This is an automatically generated message. Replies to the
sender address <reports@reports.cert-bund.de> will NOT be read
but silently be discarded. In case of questions, please contact
and keep the ticket number [CB-Report#...]
of this message in the subject line.

!! Please make sure to read our HOWTOs and FAQ available at
!! <https://reports.cert-bund.de/en/> (https://reports.cert-bund.de/en/%3E) first.

================================================== ====================

Format: ASN | IP address | Timestamp (UTC) | Source port | Service

24940 | 176.9.191.88 | 2017-07-09 23:55:06 | 53 | dns"
viasky
July 19th, 2017, 01:20
ابیوز از طرف دیتاسنتر هتزنر برای شما ارسال شده است مبنی بر اقدام به عمل ddos در بستر udp
اگر سرور مجازی این عمل و انجام داده موقف و به دیتاسنتر اطلاع بدید
اگر دسترسی ندارید نیز با دیتاسنتر مکاتبه بفرمایید تا سرویس و دریافت و شفاش سازی بفرمایید
موفق باشید
ronaldo777
July 19th, 2017, 01:22
vpsبرای من هست و بعد از تیکت زدن اینو برای من فرستادن کانفیگ های من:




options {
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
Allow-transfer {localhost; };

/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
recursion no;

dnssec-enable yes;
dnssec-validation yes;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};






zone "numbershop.ir" IN {
type master;
file "/var/named/numbershop.ir.zone";
allow-update { none; };
};

zone "94.130.1.70.in-addr.arpa" IN {
type master;
file "/var/named/94.130.1.70.rev";
allow-update { none; };
};








$TTL 86400
@ IN SOA numbershop.ir. root.numbershop.ir. (
100 ; serial
1H ; refresh
1M ; retry
1W ; expiry
1D ) ; minimum
@ IN NS ns1.numbershop.ir.
@ IN A 94.130.1.70
ns1 IN A 94.130.1.70
@ IN MX 10 mail.numbershop.ir.
mail IN A 94.130.1.70
WWW IN A 94.130.1.70
@ 86400 IN TXT "v=spf1 a mx ip4:94.130.1.70 ~all"
viasky
July 19th, 2017, 01:24
نشد
سرور در اختیار شماست یا فقط سرور مجازی و ابیوز و از طریق واسطه دارید دریافت می کنید؟
لطفا دقیق بفرمایید در چه موقعیتی قرار دارید
سرور اختصاصی یا مجازی
ارتباط مستقیم با دیتاسنتر یا واسطه
تشکر
ronaldo777
July 19th, 2017, 01:26
سرور مجازی دارم و از واسطه گرفتم :pouyanit.com
امروز سرور من داون بود تیکت زدم و این متن رو برای من فرستادن
viasky
July 19th, 2017, 01:29
سرور مجازی دارم و از واسطه گرفتم :pouyanit.com
امروز سرور من داون بود تیکت زدم و این متن رو برای من فرستادن
1. ممکنه فقط ابیوز دریافت کرده باشید و قابل پیگیری هست ( با پاسخ دادن)
2. ممکنه ابیوز دریافت کرده باشید و آی پی شما مسدود شده باشه و قابل پیگیری هست ( با پاسخ دادن به ابیوز و پیگیری موارد خواسته شده)
3. ممکن هست طبق سیاست سرویس دهنده شما سرور شما توسط ایشون متوفق و یا لغو شده باشد به جهت دریافت ابیوز
در نهایت مورد شما خیلی خاص نیست و از طرف دیتاسنتر خیلی مشکلی نیست
کافی هست با سرویس دهنده خودتون صحبت کنید و به نتیجه برسید
موفق باشید
ronaldo777
July 19th, 2017, 01:31
ممنون من تو دیتاسنتر قبلی هم چنین مشکلی داشتم چجوری میشه dns رو درست پیکر بندی کرد؟ که این مشکل دوباره پیش نیاد؟
viasky
July 19th, 2017, 01:33
ممنون من تو دیتاسنتر قبلی هم چنین مشکلی داشتم چجوری میشه dns رو درست پیکر بندی کرد؟ که این مشکل دوباره پیش نیاد؟
در صورت توافق با سرویس دهنده ترجیحا این سرور و مجدد راه اندازی کنید
بنده احتمال میدم سرور شما هک شده ( به هر طریق)
موفق باشید
ronaldo777
July 19th, 2017, 02:02
در صورت توافق با سرویس دهنده ترجیحا این سرور و مجدد راه اندازی کنید
بنده احتمال میدم سرور شما هک شده ( به هر طریق)
موفق باشید

بعید میدونم هک شده باشم ssh کاملا امن هست با pair key و پسورد قوی
ftp هم توسط پسور قوی حقاظت میشه
firewall هم csf رو نصب و کانفیگ کردم بعید میدونم هک شده باشم... :/
websazha
July 19th, 2017, 02:07
با سلام

مشکل شما به دلیل Open Dns سرور شما می باشد این مورد را سرویس دهنده باید از طریق روتر که استفاده می کند و یا فایروال دیتاسنتر مرتفع کند مشکل از شما نیست 90% سرور های مجازی به دلیل عدم مدیریت نادرست نرم افزاری از طرف سرویس دهنده ها این مشکل را دارند که یک میزبان انجام حملات می شود با این نقص ساده سرور ها.
و نیز سرویس دهنده نباید سرور شما بلاک کند زیرا این یک هشدار از طرف دیتاسنتر بوده که اعلام کرده سرسیدگی شود در واقع یک اطلاعیه پیشگیری قبل از وقوع هست.


موفق و پیروز باشید.
ronaldo777
July 19th, 2017, 02:16
خیلی ممنون از پاسختون من سوالم رو اینجام هم مطرح کردم :‌https://askubuntu.com/questions/937473/i-got-an-abuse-and-my-server-is-suspended
پس مشکل از من و کانفیگ من نیست؟
جای خوب و قیمت خوبی برای میزبانی میشناسید معرفی کنید ؟ ممنونم