PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : کسی به سرور مجازیم نفوذ میکنه.نیازمند راهنمایی هستم!


Meistero
February 4th, 2018, 01:00
با درود!

1.من یک یوزر هستم و نه یک سرویس دهنده.دو سالی هست این VPS رو دارم.روش CCP roxy نصب کردم و به تنهایی ازش برای تغییر IP استفاده میکنم.سه IP داره.

2.دیروز 2 تا ایمیل Abuse دریافت کردم که یکیش احتمالا شرکت در حمله DDOS بوده (فکر کنم سرورم Bot شده بوده).شکایت از IP بود که مدتها ازش استفاده نکرده بودم.
سرور رو خاموش کردم و درخواست reinstall کردم.سرور جدیدو آپدیت کردم و مدیر سرور هم IP هام رو از بلاک درآورد.و دوباره CCP roxy نصب کردم و رفتم خوابیدم.البته اون IP که abuse بود رو به سرورم اضافه نکردم.
امروز 2 ایمیل جدید دریافت کردم که شکایت از سو استفاده از 2 تا IP دیگه م بود.دوباره بلاک شدمو نمیدونم چکارش کنم.

با آنتی خود ویندوز و همینطور Malwarebytes اسکن کردم.بدافزاری پیدا نشد.

اگر عزیزان راهنماییم کنن ممنون خواهم شد!
sarwhost
February 4th, 2018, 01:46
با درود!

1.من یک یوزر هستم و نه یک سرویس دهنده.دو سالی هست این VPS رو دارم.روش CCP roxy نصب کردم و به تنهایی ازش برای تغییر IP استفاده میکنم.سه IP داره.

2.دیروز 2 تا ایمیل Abuse دریافت کردم که یکیش احتمالا شرکت در حمله DDOS بوده (فکر کنم سرورم Bot شده بوده).شکایت از IP بود که مدتها ازش استفاده نکرده بودم.
سرور رو خاموش کردم و درخواست reinstall کردم.سرور جدیدو آپدیت کردم و مدیر سرور هم IP هام رو از بلاک درآورد.و دوباره CCP roxy نصب کردم و رفتم خوابیدم.البته اون IP که abuse بود رو به سرورم اضافه نکردم.
امروز 2 ایمیل جدید دریافت کردم که شکایت از سو استفاده از 2 تا IP دیگه م بود.دوباره بلاک شدمو نمیدونم چکارش کنم.

با آنتی خود ویندوز و همینطور Malwarebytes اسکن کردم.بدافزاری پیدا نشد.

اگر عزیزان راهنماییم کنن ممنون خواهم شد!
به احتمال سرورتون از هتزنر هست
متاسفانه هتزنر برای ان مورد چند روزی میشه شدید گیر میده
Meistero
February 4th, 2018, 01:58
به احتمال سرورتون از هتزنر هست
متاسفانه هتزنر برای ان مورد چند روزی میشه شدید گیر میده

نه خوشبختانه از هتزنر نیست.یه شرکت بزرگ توی لوس آنجلسه باهام هم راه میان.منم بهشون حق میدم.مشکل بلاک شدن ip هام نیست.یه ایمیل میزنم و از بلاک درشون میارم.
مشکل اینه که چطوری و از چه راهی دارن از سرور و ip های من سواستفاده میکنن.اصلا نمیدونم با چی روبرو هستم و چطوری میتونم پیشگیری کنم!هیچ تجربه ای هم در این زمینه ندارم!
ممنون میشم در این باره راهنماییم کنید.
Yas-Host
February 4th, 2018, 08:20
باسلام

پورت های دیداس که خروجی دارند و در ایمیل دیتاسنتر اعلام شده را مسدود کنید.

پورت ریموت را تغییر دهید.

ویندوز رو آپدیت کنید + فایروال را فعال کنید.

پسورد ها را نیز تغییر دهید.

برای cc***** نیز یک یوزر و پسورد قوی بگذارید تا کسی نتواند آن را به عنوان یک پر*اکسی برای حملات استفاده کند.

موفق و پیروز.
bakuryu
February 4th, 2018, 09:25
سلام
اگر مقدور هست ریپورت ابیوز را ارائه بدید
blueserver
February 4th, 2018, 10:18
سلام ، رنج ip هاتون سابنت هستن ؟ (به ترتیب پشت هم هستن ؟)
به چه ip حمله میشه ؟ چین ؟
m.hack3r
February 4th, 2018, 11:18
در صورتی که مقدوره ریپورت ابیوز رو ارسال کنید بررسی بشه دقیق تر .

اما امکان داره کسی با استفاده از نرم افزاری که فرمودید اینکارو انجام بده که میشه محدودش کرد .
8110829
February 4th, 2018, 11:45
با درود!

1.من یک یوزر هستم و نه یک سرویس دهنده.دو سالی هست این VPS رو دارم.روش CCP roxy نصب کردم و به تنهایی ازش برای تغییر IP استفاده میکنم.سه IP داره.

2.دیروز 2 تا ایمیل Abuse دریافت کردم که یکیش احتمالا شرکت در حمله DDOS بوده (فکر کنم سرورم Bot شده بوده).شکایت از IP بود که مدتها ازش استفاده نکرده بودم.
سرور رو خاموش کردم و درخواست reinstall کردم.سرور جدیدو آپدیت کردم و مدیر سرور هم IP هام رو از بلاک درآورد.و دوباره CCP roxy نصب کردم و رفتم خوابیدم.البته اون IP که abuse بود رو به سرورم اضافه نکردم.
امروز 2 ایمیل جدید دریافت کردم که شکایت از سو استفاده از 2 تا IP دیگه م بود.دوباره بلاک شدمو نمیدونم چکارش کنم.

با آنتی خود ویندوز و همینطور Malwarebytes اسکن کردم.بدافزاری پیدا نشد.

اگر عزیزان راهنماییم کنن ممنون خواهم شد!

سلام برادر عزیز جدیدا یه چیزای هست بهش میگن بکدور شما هرچی پسورد عوض کنی یوزر عوض کنی بازم کسی که هک کرده میتونه بیاد داخل .. راه چندتا داره ولی خب شما ویندوز یا .. رو عوض کن بعد هم نگاه کن چه یوزر هایی تو سرور.مجازیت هست به جز خودت
a1994n1373
February 4th, 2018, 11:56
سلام . سیستم عاملتون چیه ؟
Meistero
February 4th, 2018, 14:34
سلام ، رنج ip هاتون سابنت هستن ؟ (به ترتیب پشت هم هستن ؟)
به چه ip حمله میشه ؟ چین ؟

درود!
ممنون از پاسختون!...بله از یک رنج هستن و سه تا ip اضافی دارم که پشت سر همن و ip اصلیم هم همون رنجه ولی کمی پایینتر.
از ip اصلی و 2 تا از ip های اضافی استفاده شده!

- - - Updated - - -


سلام . سیستم عاملتون چیه ؟

درود!
Win 2008 R2

- - - Updated - - -


در صورتی که مقدوره ریپورت ابیوز رو ارسال کنید بررسی بشه دقیق تر .

اما امکان داره کسی با استفاده از نرم افزاری که فرمودید اینکارو انجام بده که میشه محدودش کرد .

درود!

ممنون از پاسختون!
چشم !
بله منم شکم به همین برنامه رفته.میشه اگر وقت داشتین ممنون میشم یه توضیحی بدین.حالا یا همینجا یا بصورت pm

- - - Updated - - -


باسلام

پورت های دیداس که خروجی دارند و در ایمیل دیتاسنتر اعلام شده را مسدود کنید.

پورت ریموت را تغییر دهید.

ویندوز رو آپدیت کنید + فایروال را فعال کنید.

پسورد ها را نیز تغییر دهید.

برای cc***** نیز یک یوزر و پسورد قوی بگذارید تا کسی نتواند آن را به عنوان یک پر*اکسی برای حملات استفاده کند.

موفق و پیروز.

درود بر شما!و ممنون از پاسختون!
اولا تعدادشون خیلی زیاده و فایر وال هم شده آبکش!چون از سرورم استفاده شده برای حمله به دیگران فقط خروجی رو ببندم یا هم خروجی و هم ورودی؟
ساپورت سرورم, reinstall کرد سرورمو و برای سرور جدید پسورد قویتر براش گذاشتم و فایروالم که فعال بود پورت 445 و 53 رو هم بستم و برای ccp roxy هم پورت باز نکردم بلکه خود برنامه رو مجاز به عبور کردم.
ولی باز هم حک شدم.
حالا ساپورت بهم گفته اول برو آی پی هاتو از بلک لیست دربیار من دوباره reinstall میکنم و آی پی جدید بهت میدم.حالا ببینم میتونم از بلک لیست درش بیارم یا نه!

جسارت نباشه من توی یه سایت ایرانی بودم هم زمان از ریموت استفاده کردم تا سرورمو آپدیت کنم.آیا این میتونسته خطرناک بوده باشه؟

با سپاس!
a1994n1373
February 4th, 2018, 16:02
از این آموزش استفاده کنید :

https://bia2host.com/blog/windows-server-2008-abuse/
Meistero
February 4th, 2018, 17:48
اینم یک لینک و 3 اسکرین شات از علتهای Abuse:

https://bitninja.io/incidentReport.php?details=cb75e15e0eba679721?utm_ source=incident&utm_content=publicpage.


https://screenshot.net/xgz0rcg

https://screenshot.net/l0p8ouz

https://screenshot.net/l28jqhg

با سپاس

- - - Updated - - -


سلام برادر عزیز جدیدا یه چیزای هست بهش میگن بکدور شما هرچی پسورد عوض کنی یوزر عوض کنی بازم کسی که هک کرده میتونه بیاد داخل .. راه چندتا داره ولی خب شما ویندوز یا .. رو عوض کن بعد هم نگاه کن چه یوزر هایی تو سرور.مجازیت هست به جز خودت

درود بر شما!

بجز خودم هیچ یوزر دیگه ای نبود!
این برنامه Backdoor چطور آدرس میگیره؟ IP بهش میدن سرور اون IP رو پیدا و اسکن میکنه؟
اگر اینطور باشه با تغییر رنج ip ممکنه مشکل حل بشه؟
Meistero
February 5th, 2018, 02:03
<pre style='padding:10px 20px; background:#e6e6e6;margin-bottom:10px'>tcp
0 0 185.7.35.17:80 107.160.203.235:16822 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16804 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16617 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16571 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16963 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16653 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16782 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16592 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16727 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16635 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16863 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17032 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17086 ESTABLISHED
tcp 2052 0 185.7.35.17:80 107.160.203.235:17244 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17446 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17081 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17259 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17537 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16623 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16674 ESTABLISHED
..85 more lines.
]</pre><pre style='padding:10px 20px;
background:#e6e6e6;margin-bottom:10px'>tcp 0 0 185.7.35.17:80
107.160.203.235:17717 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17681 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16822 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16804 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16963 ESTABLISHED
tcp 0 824 185.7.35.17:80 107.160.203.235:16653 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16782 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16727 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17594 ESTABLISHED
tcp 0 824 185.7.35.17:80 107.160.203.235:16635 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17589 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16863 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17032 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17086 ESTABLISHED
tcp 2052 0 185.7.35.17:80 107.160.203.235:17244 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17446 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17081 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17259 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:17537 ESTABLISHED
tcp 0 0 185.7.35.17:80 107.160.203.235:16674 ESTABLISHED
..99 more lines.
]</pre><pre style='padding:10px 20px;
background:#e6e6e6;margin-bottom:10px'>Url:
[peliculeros.nethttps://peliculeros.net/]
Remote connection [107.160.203.235:30280]