با سلام
بنده از یه شرکتی سرور سو یو استارت خریداری کردم که بعد از یک ماه در یک رنج خاص بهمون گفتن ابیوز اومده و اتک زده شده
در حالی که از بیشتر ون آی‌پی‌ها هنوز استفاده نشده بود برا سرور مجازی
تقاضای نصب مجدد سیستم عامل VMWare دادیم گفتیم شاید سرور اختصاصی آلوده شده باشه
بعد از یک ماه که بیشتر از نصف این رنج مورد استفاده قرار گرفته شد و همگی روشون اوبونتو نصب شد و هنوز مابقی خالی بودن بازم ابیوز اومد از اون رنج و این دفعه دیگه کلا آی پیامو بستن
لازم به ذکره که اتک به دو آی پی و با پورت‌های یکسان بوده
کسی میتونه توضیح بده که این چطور ممکنه؟
با تشکر

با سلام و عرض ادب

واقعاً توضیح خاصی برای مورد شما وجود ندارد چرا که منشأ مشکل ممکن است مربوط به هر چیزی باشد اما شما با کانفیگ یک روتر به سادگی میتوانید از دریافت هرگونه ابیوز جلوگیری کنید.

سلام . لطفا ایمیل ابیوز رو قرار بدین .

چه پورتی بوده دوست عزیز ؟

من احتمال میدم مشکل از فایل سیستم عامل ESXi هست که برام نصب کردن
هر بار هم فقط 10 تا آیپی رو نشونه رفته و از اونا اتک زده میشه به آیپی چین
دو سه تا از اون سرورا رو به سرور دیگه‌ام از سو یو استارت که بازم توسط این شرکت خریدم منتقل کردم که بعد از چند ساعت پنج شیش تا آیپی که سرورشون منتقل شده و جندتا آیپی که تو همون سرور ساخته شده بودن و چند تا آیپی که اصلا تابحال باهاشون سرور ساخته نشده ابیوز اومد.
میشه برای کانفیگ روتر یه لینکی چیزی بدید که مطالعه کنم؟
با تشکر

- - - Updated - - -

خیلی زیاده
این اولینشه

Dear Customer,

Abnormal activity has been detected on 51.255.99.25.

Please don't hesitate to contact our technical support team so that this situation does not become critical.

You can find the logs brought up by our system which lead to this alert.

- START OF ADDITIONAL INFO -

Attack detail : 3Kpps/21Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2018.01.21 17:21:41 CET ********.25:53548 223.167.223.51:8611 TCP SYN 921 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:18477 223.167.223.51:8611 TCP SYN 902 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:35374 223.167.223.51:8611 TCP SYN 924 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:27099 223.167.223.51:8611 TCP SYN 905 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:42286 223.167.223.51:8611 TCP SYN 925 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:54175 223.167.223.51:8611 TCP SYN 919 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:38053 223.167.223.51:8611 TCP SYN 932 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:1182 223.167.223.51:8611 TCP SYN 892 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:37637 223.167.223.51:8611 TCP SYN 925 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:43757 223.167.223.51:8611 TCP SYN 916 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:23653 223.167.223.51:8611 TCP SYN 930 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:40877 223.167.223.51:8611 TCP SYN 919 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:44918 223.167.223.51:8611 TCP SYN 921 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:1936 223.167.223.51:8611 TCP SYN 917 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:57242 223.167.223.51:8611 TCP SYN 927 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:63884 223.167.223.51:8611 TCP SYN 897 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:40642 223.167.223.51:8611 TCP SYN 930 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:58915 223.167.223.51:8611 TCP SYN 902 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:25166 223.167.223.51:8611 TCP SYN 904 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:33712 223.167.223.51:8611 TCP SYN 917 ATTACK:TCP_SYN



- END OF ADDITIONAL INFO -


OVH Customer Support.

SoYouStart Customer Service

- - - Updated - - -


چه پورتی بوده دوست عزیز ؟
متن ابیوز رو بالاتر قرار دادم

با سلام
فایل iso استاندارد و مربوط به خود دیتاسنتر است و در سویو استارت کسی نمیتواند بدون پرداخت هزینه 30 یورویی برای kvm برای یک روز سیستم عامل کاستوم نصب نماید .
لذا همین iso که برای شما استفاده شده است برای سایر سرور های موجود در آن دیتاسنتر نیز استفاده شده است .
این مشکل مربوط به کاربران شماست و شما می بایست در سمت کاربران خودتان این مورد را جست و جو نمایید و این اتفاقی و یا هک 99 درصد نیست و به صورت عمدی در حال استفاده است .

با سلام
فایل iso استاندارد و مربوط به خود دیتاسنتر است و در سویو استارت کسی نمیتواند بدون پرداخت هزینه 30 یورویی برای kvm برای یک روز سیستم عامل کاستوم نصب نماید .
لذا همین iso که برای شما استفاده شده است برای سایر سرور های موجود در آن دیتاسنتر نیز استفاده شده است .
این مشکل مربوط به کاربران شماست و شما می بایست در سمت کاربران خودتان این مورد را جست و جو نمایید و این اتفاقی و یا هک 99 درصد نیست و به صورت عمدی در حال استفاده است .

وقتی که ما از یه شرکت دیگه هم سرور سو یو استارت خریداری کردیم و دقیقا همان مشتریانمون با همان استفاده دارن توش سرویس‌دهی میشن هیچ ابیوزی دریافت نمیشه اما روی دو تا از سرورهایی که از شما تهیه نموده‌ایم مدام ابیوز دریافت میشه. این خودش شک‌برانگیز نیست؟
از کجا معلوم به آی‌پی‌های شما دسترسی پیدا نکردند و این مشکلی که به ما به وجود اومده از جانب رقبا و دشمنان شما نبوده باشه؟
مشتریان بنده هیچ فرقی ندارن و استفاده‌هاشون از قبل معلوم هست برای چیه
ما ابیوز از سرورهایی دریافت میکنیم که کاملا مطمئن هستیم به صاحب اون سرور!!!!

وقتی که ما از یه شرکت دیگه هم سرور سو یو استارت خریداری کردیم و دقیقا همان مشتریانمون با همان استفاده دارن توش سرویس‌دهی میشن هیچ ابیوزی دریافت نمیشه اما روی دو تا از سرورهایی که از شما تهیه نموده‌ایم مدام ابیوز دریافت میشه. این خودش شک‌برانگیز نیست؟
از کجا معلوم به آی‌پی‌های شما دسترسی پیدا نکردند و این مشکلی که به ما به وجود اومده از جانب رقبا و دشمنان شما نبوده باشه؟
مشتریان بنده هیچ فرقی ندارن و استفاده‌هاشون از قبل معلوم هست برای چیه
ما ابیوز از سرورهایی دریافت میکنیم که کاملا مطمئن هستیم به صاحب اون سرور!!!!

سلام
اصلا من نمیدونستم که شما از ما سرویس دارید یا ندارید این مورد اول
مورد دوم اینکه لحن صحبتتون رو درست تر بکنید که بتوانید به نتیجه بهتری برسید من میتونم بهتون جواب ندم و خیلی ساده است ندادیده گرفتن تاپیک شما در یک انجمن ثالث اما برای اینکه دانش شما بالا بره توی انجمن میگم که کسه دیگه هم این مورد را بدونند و اگر یک روزی به کارشون اومد استفاده بکنند .
سرور شما بهش اتک نمیشه بلکه ازش اتک میشه این گزینه اول پس اگر حتی رنجی از ما لو بره که اصلا این مورد هیچگاه میسر نیست چون رنج شما یک رنج است و رنج بعدی هم رندم دیتاسنتر است اما به هر حال مهم نیست حتی اگر لو بره شما باید اتک بشوید نه اینکه از سرورتون اتک بزنید .
اگر اتک میخوردید که مشکلی نبود و شما مورد ظلم یک نفر دیگه قرار گرفتید اما الآن داره از سرور شما به یک شخص یا شرکت ثالث ظلم میشه اینه که در دنیای اینترنت مشکل ساز است .
کسی که اتک میخوره نهایتا دیتاسنتر نمیتونه میزبانیش بکنه میگه عذر میخوام و نمیتونم میزبانی بکنم ولی وقتی شما دارید اتک میزنید کسی با ملاطفت در دیتاسنتر با شما برخورد نخواهد کرد ، نه با شما بلکه با ما هم همینطور هستند چرا که آنها ما رو میشناسند و اینکه ما به شما سرویس دادیم و یا ندادیم بهشون هیچ ارتباطی ندارند همانطور که به ما ارتباطی ندارد شما به کی سرویس دادید .
چیزی که مشخص است شما دارید اتک میفرستید و یک نفر رو نمیتونید توی این انجمن یا جا های دیگه پیدا بکنید که بگه اخطار ارسالی از جانب OVH اشتباه است اونم برای نزدیک به 20 آی پی شما که فقط هم برای شماست و این مورد برای ما قابل اثبات است .
این یعنی در سرور شما داره کاری انجام میشه و هیچ شکی به آن نداشته باشید .
سرور اختصاصی شما iso خوده دیتاسنتر است که بایت به بایت در دریافت آن سخت گیری میشود و مشکلی در آن وجود ندارد اما اگر مایل بودید میتونیم براتون KVM بگیریم و 30 یورو برایتان فاکتور بکنیم خودتان هر iso که میخواهید را نصب بکنید اما با این سرور های مجازی که دارید و طبیعتا مجدد همین اتفاق برایتان پیش خواهد آمد .

با سپاس
عیسی لو

ممنون از پاسخ‌گوییتون
چند مورد هست که بنده متوجه نمیشم
1) سرور مجازی‌ای که قبل از خاموش شدن سرور بنده هیچ مشکلی نداشت و یک باره بدون اطلاع قبلی سرور رو خاموش کردیم و بعد از روشن کردن بعد از چند دقیقه ابیوز اومد که از آیپی این سرور اتک داده شده!! سوال اینجاست چرا قبل از خاموشی سرور ابیوزی داده نمیشد در حالی که چند روزی از ساخته شدن اون سرور گذشته بود

2) ما قبل از اینکه از شما سرویسی خریداری کنیم از شرکت دیگری سرور سو یو استارت خریده بودیم. چرا فقط ابیوزها از سمت سرورهای خریداری شده از سمت شما بوده در حالی که حدود 6 ماه میگذره از سروری که از شرکت قبلی تهیه کردیم فقط و فقط یکبار ابیوز اتک داشتیم که اونم به ماه اول مربوط میشد و بعد از اون دیگه هیچ ابیوزی دریافت نشد و گفتنی هست که هر سرور مجازی که از ما خریده میشد بصورت رندوم بین 3 سرور اختصاصی انتخاب شده و سرویس‌دهی میشد

3) ما گفتیم بار شبکه رو چک کنید و شما گفتید چک شد و هیچ فعالیت مشکوکی دیده نمیشه و درست بعد از روشن شدن سرور اختصاصی ابیوزها اومدن یعنی یه نفر فقط نشسته و منتظر مونده سر صبحی تا من سرورا رو روشن کنم و بیاد اتک بزنه

سلام

بزرگوار فرمودید سرورها ابونتو بودند. ویروسی روی ابونتو هست که نفوذ میکنه و دقیقا به آیپی چین اتک میزنه. سورس ایپی هم بصورت رندوم روی همون سابنتی که شما دارید میزاره. مثلا سرور شما دارای ایپی 1.2.3.4 هست, ایپی رو 1.2.3.0/24 ست میکنه بعنوان سورس ایپی. برای همین کل رنج شما بلاک میشه

او وی اچ کاری نداره مک چی هست چی نیست, درجا میزنه رنج رو بلاک میکنه. و همین مورد هم درمورد شما صدق میکنه

یه روتر نصب و کانفیگ کنید (کانفیگ درست و کامل که ماشین مجازی نتونه از ایپیهای دیگر ماشینها استفاده کنه), تمامی ماشین های مجازی رو اول از همه ری اینستال و کانفیگ کنید و بعد گیتوی رو ایپی روتر ست کنید. مشکلتون رفع میشه.

از کجا معلوم به آی‌پی‌های شما دسترسی پیدا نکردند و این مشکلی که به ما به وجود اومده از جانب رقبا و دشمنان شما نبوده باشه؟


سلام
در دیتاسنتر OVH هر آی پی به یک Mac-Address محدود شده و فروشنده سرور اختصاصی توانایی [سوء] استفاده از آی پی رو نداره.
لطفا موارد رو از جانب خودتون چک کنید.

با سلام
بنده از یه شرکتی سرور سو یو استارت خریداری کردم که بعد از یک ماه در یک رنج خاص بهمون گفتن ابیوز اومده و اتک زده شده
در حالی که از بیشتر ون آی‌پی‌ها هنوز استفاده نشده بود برا سرور مجازی
تقاضای نصب مجدد سیستم عامل VMWare دادیم گفتیم شاید سرور اختصاصی آلوده شده باشه
بعد از یک ماه که بیشتر از نصف این رنج مورد استفاده قرار گرفته شد و همگی روشون اوبونتو نصب شد و هنوز مابقی خالی بودن بازم ابیوز اومد از اون رنج و این دفعه دیگه کلا آی پیامو بستن
لازم به ذکره که اتک به دو آی پی و با پورت‌های یکسان بوده
کسی میتونه توضیح بده که این چطور ممکنه؟
با تشکر

سلام و احترام شما دارید میگید از یه جا اتک میخورید! وقتی که سورسی که داره بهتون اتک میده مشخص هست چرا اون کشور رو از فایر وال ESXi کلا بلاک نمیکنید؟
مورد دوم اینه همکاران عرض کردن و نیازی به گفتن مجدد نیست .

یه روتر نصب و کانفیگ کنید (کانفیگ درست و کامل که ماشین مجازی نتونه از ایپیهای دیگر ماشینها استفاده کنه), تمامی ماشین های مجازی رو اول از همه ری اینستال و کانفیگ کنید و بعد گیتوی رو ایپی روتر ست کنید. مشکلتون رفع میشه.

متاسفانه پشتیبانی سرور من از همون اول یا به خودم اتهام اتک زدن میزد یا به مشتریان خودم و بارها هم میگفته که سروراتون نه کرک شده و نه ویروسی ششده و توسط خود اشخاص اتک زده میشه
آیا منظور شما میکروتیک هست؟
میشه یه لینک آموزشی در مورد نصب و کانفیگ روتر در اختیارم قرار بدید؟
با تشکر

- - - Updated - - -



در دیتاسنتر OVH هر آی پی به یک Mac-Address محدود شده و فروشنده سرور اختصاصی توانایی [سوء] استفاده از آی پی رو نداره.
لطفا موارد رو از جانب خودتون چک کنید.

ممنون از پاسختون آقای یگانه‌مهر
به نظرم جعل مک آدرس امکانش هست و بازم ضریب امنیتی قوی نداره
همونطور که مستحضرید بنده از جی سرور سرور سو یو استارت دارم و هیچ مشکلی باهاش ندارم و دقیقا همون کارایی رو انجام میدم که در سرورهای جدیدم هم انجام میدم اما چرا باید دو سرور جدیدم آلوده بشن اما سرور قدیمیم آلوده نشه!

- - - Updated - - -


سلام و احترام شما دارید میگید از یه جا اتک میخورید! وقتی که سورسی که داره بهتون اتک میده مشخص هست چرا اون کشور رو از فایر وال ESXi کلا بلاک نمیکنید؟
مورد دوم اینه همکاران عرض کردن و نیازی به گفتن مجدد نیست .
متوجه عرض بنده نشدید
از آی‌پی‌های من اتک زده میشه

متاسفانه پشتیبانی سرور من از همون اول یا به خودم اتهام اتک زدن میزد یا به مشتریان خودم و بارها هم میگفته که سروراتون نه کرک شده و نه ویروسی ششده و توسط خود اشخاص اتک زده میشه
آیا منظور شما میکروتیک هست؟
میشه یه لینک آموزشی در مورد نصب و کانفیگ روتر در اختیارم قرار بدید؟
با تشکر


این اتهام نیست شما میگید ما انجام ندادیم و برای ما هم مهم نیست که چه کسی انجام داده ، شما میگید چطور ممکنه و ما به شما گفتیم ممکن است
این ها اتهام نیستند شما ما رو مسئول در مدیریت سرورخودتان میدونید در صورتی که ما قرار دادی مبنی بر مدیریت سرور با شما نداشته ایم .
ما گفتیم سرور اصلی و فایل iso مشکل ندارد بلکه این مشکل از سمت سرور های مجازی و کاربران شما هستند چون روی یک سرور مشکل داشتید و به یک سرور دیگر انتقال دادید همین کاربران رو و مستندش هست که گفتید انتقال دادید به محض انتقال روی آی پی های جدید هم مشکل داشتید .



سلام

بزرگوار فرمودید سرورها ابونتو بودند. ویروسی روی ابونتو هست که نفوذ میکنه و دقیقا به آیپی چین اتک میزنه. سورس ایپی هم بصورت رندوم روی همون سابنتی که شما دارید میزاره. مثلا سرور شما دارای ایپی 1.2.3.4 هست, ایپی رو 1.2.3.0/24 ست میکنه بعنوان سورس ایپی. برای همین کل رنج شما بلاک میشه

او وی اچ کاری نداره مک چی هست چی نیست, درجا میزنه رنج رو بلاک میکنه. و همین مورد هم درمورد شما صدق میکنه

یه روتر نصب و کانفیگ کنید (کانفیگ درست و کامل که ماشین مجازی نتونه از ایپیهای دیگر ماشینها استفاده کنه), تمامی ماشین های مجازی رو اول از همه ری اینستال و کانفیگ کنید و بعد گیتوی رو ایپی روتر ست کنید. مشکلتون رفع میشه.

مهندس حرف شما درست اما این در صورتی صدق میکنه که بتونه این آی پی رو روی سروشون ست بکنند وقتی ست نشه این آی پی عملا ازش نمیتونه حتی یک بیت ترافیک خارج بشه .
در سویو استارت و ovh مک هست و تا زمانی که مک ها یکسان نشوند نمیشه از آی پی های هم استفاده کرد مگر اینکه بتونه به نحوی مک های دیگر را استفاده بکند که معمولا این مورد میسر نیست غیر از نشتی اطلاعات سمت ادمین سرور .