سلام وقت بخیر
متاسفانه برای تعدادی سرور مجازی در هتزنر کلود این آبیوز رو دریافت میکنیم:

We have received information regarding spam and/or abuse from ncsc-fi-autoreporter@traficom.fi.
Please would you take all necessary measures to avoid this in the future.

We also request that you send a short response within 24 hours. This response should contain information about how this could have happened and what you intend to do about it.

Information:
NCSC-FI has received information regarding IP-addresses in your network which may have security problems. The information regarding the problems is included as an attachment in CSV format. Data lines have the following format:
asn|ip|source time|domain name|cc|type|uuid|info

Here cc refers to the country code, type to the type of the security problem, and uuid is the unique identifier of the event in Autoreporter. The info column is reserved for any additional information. The column always includes an anonymous identifier for the datasource that is used in the report. All timestamps are given in UTC.

This report is electronically signed using the PGP-key of Autoreporter. The key is available at
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/NCSC-FI_AUTOREPORTER_2019-2024.txt

For more information on the reported events please contact NCSC-FI at cert@traficom.fi.

Network:
- - asn: 24940
- - ip range:

Report:
- - start UTC time: 2021-08-30 06:00:04Z
- - end UTC time: 2021-08-31 06:00:04Z


asn|ip|source time|domain name|mail cc|type|uuid|info


24940|65.21.242.8|2021-08-30 22:43:39Z||FI|bot|382e5a89-151a-49c3-a00b-ca2093bd2923|Datasource: l, Malware: gamarue, C&C Ip: 184.105.192.2, C&C Port: 80, Additional Information: B67-SS-Gamarue, Source Port: 50575,,,,


حتی در برخی سرور ها پورت های 465 587 2525 و 25 رو بستیم ولی باز هم ابیوز دریافت میشه برای همون سرور
راهکاری برای این مشکل دارین؟
متشکرم.

سلام وقتتون بخیر،
دوستان کسی راهکاری برای این مشکل نداره؟
متشکرم.

سلام وقتتون بخیر،
دوستان کسی راهکاری برای این مشکل نداره؟
متشکرم.

پورت رو در روتر بستید؟ تصویر بدید از رول که نوشتید

سلام وقت بخیر
خیر داخل خود سرورها در فایروال کانفیگ شده، سرور ها کلود هستند و به همین دلیل روتر میکروتیک ندارند.
متشکرم از پاسختون.



iptables -I INPUT -p tcp -m tcp --dport 25 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 587 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 2525 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 465 -j DROP

iptables -I FORWARD -p tcp -m tcp --dport 465 -j DROP
iptables -I FORWARD -p tcp -m tcp --dport 25 -j DROP
iptables -I FORWARD -p tcp -m tcp --dport 2525 -j DROP
iptables -I FORWARD -p tcp -m tcp --dport 587 -j DROP

iptables -I OUTPUT -p tcp -m tcp --dport 2525 -j DROP
iptables -I OUTPUT -p tcp -m tcp --dport 587 -j DROP
iptables -I OUTPUT -p tcp -m tcp --dport 25 -j DROP
iptables -I OUTPUT -p tcp -m tcp --dport 465 -j DROP

iptables -I INPUT -p udp -m udp --dport 25 -j DROP
iptables -I INPUT -p udp -m udp --dport 587 -j DROP
iptables -I INPUT -p udp -m udp --dport 2525 -j DROP
iptables -I INPUT -p udp -m udp --dport 465 -j DROP

iptables -I FORWARD -p udp -m udp --dport 465 -j DROP
iptables -I FORWARD -p udp -m udp --dport 25 -j DROP
iptables -I FORWARD -p udp -m udp --dport 2525 -j DROP
iptables -I FORWARD -p udp -m udp --dport 587 -j DROP

iptables -I OUTPUT -p udp -m udp --dport 2525 -j DROP
iptables -I OUTPUT -p udp -m udp --dport 587 -j DROP
iptables -I OUTPUT -p udp -m udp --dport 25 -j DROP
iptables -I OUTPUT -p udp -m udp --dport 465 -j DROP

iptables -I INPUT 1 -i tun0 -j ACCEPT
iptables -I FORWARD 1 -i eth0 -o tun0 -j ACCEPT
iptables -I FORWARD 1 -i tun0 -o eth0 -j ACCEPT
iptables -I INPUT 1 -i eth0 -p udp --dport 1194 -j ACCEPT

iptables -D INPUT -i tun0 -j ACCEPT
iptables -D FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -D FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -D INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

خیلی روی اعصابه این https://traficom.fi./ روی فنلاند هم فقط می ده
اصلا هیچ راهکاری برای جلوگیری این ابیوز نیست
هر سری یک پورت و آی پی می ده
فقط می شه و پورت و ای پی هایی که ابیوز می ده را بست تا یکم کمتر بشه و بشه ابیوز را بر طرف کرد

خیلی روی اعصابه این https://traficom.fi./ روی فنلاند هم فقط می ده
اصلا هیچ راهکاری برای جلوگیری این ابیوز نیست
هر سری یک پورت و آی پی می ده
فقط می شه و پورت و ای پی هایی که ابیوز می ده را بست تا یکم کمتر بشه و بشه ابیوز را بر طرف کرد

سلام وقت بخیر
ممنونم از پاسختون، رول هایی که خودتون زدین رو امکانش هست به اشتراک بگذارین؟
متشکرم.

سلام وقت بخیر
ممنونم از پاسختون، رول هایی که خودتون زدین رو امکانش هست به اشتراک بگذارین؟
متشکرم.

روی خاصی نیست فقط آی پی یا پورت را می بندیم، البته ما روی روتر می بندیم که برای بقیه یوزرها دیگه نیاد، روی کلود باید روی فایروال وی پی اس بر اساس سیستم عامل و نوع فایروالش بزنید

روی خاصی نیست فقط آی پی یا پورت را می بندیم، البته ما روی روتر می بندیم که برای بقیه یوزرها دیگه نیاد، روی کلود باید روی فایروال وی پی اس بر اساس سیستم عامل و نوع فایروالش بزنید

متاسفانه ایپی هایی که اعلام میکنن بنام خود این سایت نیست وگرنه کل رنج ایپی هاشونو مسدود میکردیم درست میشد.
ممنونم از پاسختون

با سلام و احترام:53:

با توجه به متن ابیوز به نظر میاد اصلا بحث ارسال ایمیل درکار نیست.
بلکه این یک تروجان است که احتمالا روی پورت 80 اتک میزند. این پورت 80 را از خط آخر متن ابیوز متوجه شدم.
سعی نمایید در لینوکس پورت های اشغال شده را مانیتورینگ نمایید و چنانچه سرویس غیر معمولی، پورتی مثل 50575 که در خط آخر متن ابیوز آمده است را اشغال کرده است ردیابی نمایید و فایل ویرویسی را حذف نمایید.

انشاءالله دیگه ابیوز دریافت نکنید...;)

متشکرم