PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : راه حل ابیوس abuse زیر چی هست ؟ و روی چه پورتی ابیوس ارسال شده؟


net_ehub
March 3rd, 2013, 23:34
ابیوسی اومده به این شرح که برام تازگی داشت
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=25338 DF PROTO=TCP SPT=52577 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=20892 DF PROTO=TCP SPT=57590 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=20974 DF PROTO=TCP SPT=57590 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=7704 DF PROTO=TCP SPT=63657 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=7982 DF PROTO=TCP SPT=63657 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0




از دوستتان اگه کسی می دونه توضیح مختری عنایت کنه
ممنون
majidisaloo1
March 4th, 2013, 00:02
این رو سی پنل داده یا دیتا سنتر داده؟
danitfk
March 4th, 2013, 00:14
این من داخل ssh دیدم ..

مطمئن هستید Abuse از دیتاسنتر هست؟
majidisaloo1
March 4th, 2013, 00:33
این من داخل ssh دیدم ..

مطمئن هستید abuse از دیتاسنتر هست؟

آره منم توی csf دیدمش
حتما هست دیگه
net_ehub
March 4th, 2013, 01:32
این رو سی پنل داده یا دیتا سنتر داده؟

دیتاسنتر داده

سی پنل نیست

فقط میخوام بدونم با توجه به شواهد موجود عزیزان می تونن بگن منبع بروز مشکل کدوم پورت و یا چه شبه کد و تروجان و برنامه ای هست /؟

سپاسگذارم
nginxweb
March 4th, 2013, 01:36
با توجه به آیپی لوکال

DST=127.0.0.1

بیشتر شبیه local attack ها می مونه و همچنین ویروس ها یا تروجان ها که پروسس هایی داخل سرور ایجاد میکنند
tizparvaz
March 4th, 2013, 01:45
ابیوسی اومده به این شرح که برام تازگی داشت
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=25338 DF PROTO=TCP SPT=52577 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=20892 DF PROTO=TCP SPT=57590 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=20974 DF PROTO=TCP SPT=57590 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=7704 DF PROTO=TCP SPT=63657 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=7982 DF PROTO=TCP SPT=63657 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0




از دوستتان اگه کسی می دونه توضیح مختری عنایت کنه
ممنون



این لاگ لاگ سیسکو و یا یک روتر بورد حالا هر چیز دیگه هست و برای اتک میباشد
net_ehub
March 4th, 2013, 02:48
خوب حالا چاره کار چی هست
چی کار کنم که اینو نگیرم
پورت یا پروتکل خاصی باید مسدود بشه ؟
net_ehub
March 4th, 2013, 21:56
اپ
compiler
March 4th, 2013, 22:15
اپ

اگر تو ssh دیدی اصلا ابیوز نیست عزیز جان
ابیوز باشه ایمیل میاد برات توضیحات هم به زبان اصلی دیتا سنتر (معمولا انگلیسی) زیرش ضمیمه میشه

احیانا اینو تو کنسول Vmware ندیدی؟
net_ehub
March 5th, 2013, 01:57
اگر تو ssh دیدی اصلا ابیوز نیست عزیز جان
ابیوز باشه ایمیل میاد برات توضیحات هم به زبان اصلی دیتا سنتر (معمولا انگلیسی) زیرش ضمیمه میشه

احیانا اینو تو کنسول Vmware ندیدی؟

دیتاسنتر اینو داده و گفته ابیوس هست
بالاش نوشته ابیوس و پایینشم توضیحاتش که این هستن رو نوشته !
نمیدونم دیگه چطوری باید توضیح بدم
از سرور میکروتیک اومده
shivahost
March 5th, 2013, 02:02
لطف می کنید متن کامل ایمیل را به همراه آدرس ارسال کننده آن اینجا بگذارید؟
shivahost
March 5th, 2013, 02:13
ابیوسی اومده به این شرح که برام تازگی داشت
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=25338 DF PROTO=TCP SPT=52577 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=20892 DF PROTO=TCP SPT=57590 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=20974 DF PROTO=TCP SPT=57590 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=7704 DF PROTO=TCP SPT=63657 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0
Firewall: *TCP_IN Blocked* IN=eth0 OUT= SRC="IP ADDRESS" DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=122 ID=7982 DF PROTO=TCP SPT=63657 DPT=5900 WINDOW=8192 RES=0x00 SYN URGP=0




از دوستتان اگه کسی می دونه توضیح مختری عنایت کنه
ممنون





در متن فوق در قسمت SRC= IP ADDRESS به شما ip مبدا را نداده؟
net_ehub
March 5th, 2013, 03:32
در متن فوق در قسمت SRC= IP ADDRESS به شما ip مبدا را نداده؟

ای پی خودمه که پاک کردم جلوش اینو نوشتم
در مورد متن کامل نمی دونم چطور باید بگم ! متن کامل هم همینه فقط بالاش اخطار ابیوس رو نوشته که فقط اونو پاک کردم
shivahost
March 5th, 2013, 09:57
ای پی خودمه که پاک کردم جلوش اینو نوشتم
در مورد متن کامل نمی دونم چطور باید بگم ! متن کامل هم همینه فقط بالاش اخطار ابیوس رو نوشته که فقط اونو پاک کردم


آی پی خودت؟ یعنی آی پی سرور خودت؟ یا آی پی کامپیوتر؟
net_ehub
March 6th, 2013, 02:34
آی پی خودت؟ یعنی آی پی سرور خودت؟ یا آی پی کامپیوتر؟


پسر خوب مسخره کردی ما رو یا فک می کنی منم مثل خودت زمان پستونک خودنمه که داری سر به سرم می زاری

عجب بچه پوروهایی زیاد شده تو این انجمن ! 2 ساعته دارم لیلی و مجنون تعریف می کنم اون موقع پسر 3 ساله اومده میگه لیلی زن بود یا مرد

بعدا رضا می اد میگه خون خودتون چرا کثیف کردی ! خوب مرد حسابی یه عده بچه رو اوردی بهشون میدون دادی انجمن همین میشه دیگه

زرتی زرتی بچه های چیز فهم رو بلوک کردی یه عده آماتور رو میدون میدی بعدشم میگی ای بله شد ای اله شد

اخرشم پست رو پاک می کنی و اخطار می فرستی
shivahost
March 6th, 2013, 02:38
پسر خوب مسخره کردی ما رو یا فک می کنی منم مثل خودت زمان پستونک خودنمه که داری سر به سرم می زاری

عجب بچه پوروهایی زیاد شده تو این انجمن ! 2 ساعته دارم لیلی و مجنون تعریف می کنم اون موقع پسر 3 ساله اومده میگه لیلی زن بود یا مرد

بعدا رضا می اد میگه خون خودتون چرا کثیف کردی ! خوب مرد حسابی یه عده بچه رو اوردی بهشون میدون دادی انجمن همین میشه دیگه


ببخشید! گاهی موقع ip کامپیوتر من توسط سرور به خاطر حمله بلوک میشه! مخصوصا وقتی در ftp زیادی شلوغ کاری همزمان می کنیم. و شما مشخص نکردی منظورت از "ip خودم" چیه! و سوال کردم!

منتظر رفع مشکلتون توسط بزرگترها باشید.... من شرمندم!
shivahost
March 6th, 2013, 02:52
فقط بهتون بگم که dpt=5900 یعنی پورت 5900 شما
astro.alireza
March 6th, 2013, 03:01
دو راه دارید
۱- پورت خروجی 5900 (dst. port) رو ببندید.
۲- تمام خروجی ها به رنج آی پی های خصوصی رو برای جلوگیری از spoofing ببندی.
من راه دوم رو پیشنهاد می کنم که باعث می شه در آینده جلوی ابیوزهای مشابه رو هم بگیری
رنج آی پی های خصوصی هم شامل سه رنج زیر هست:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
ضمنا نسبت به سایر اعضای انجمن هم خوش رفتار و مودب باشید. اطلاعات همه در یک سطح نیست ولی همه قصد کمک به شما رو دارند. مثلا از نظر من شما اطلاعاتتون خیلی کمه که موضوعی به این سادگی رو نمی تونید تحلیل کنید ولی دلیل نمیشه شما رو به خاطر این سرزنش کنم
net_ehub
March 6th, 2013, 13:55
فقط بهتون بگم که dpt=5900 یعنی پورت 5900 شما

src=ip یعنی ای پی سرور دیگه عزیز دل

ازتون عذر میخوم اگه ناراحتتون کردم شما فرض کن ما بچه خوبه ؟ یه جمله اینو می گفتی خیلی بهتر بود

در هر حال ممنون
net_ehub
March 6th, 2013, 13:57
دو راه دارید
۱- پورت خروجی 5900 (dst. port) رو ببندید.
۲- تمام خروجی ها به رنج آی پی های خصوصی رو برای جلوگیری از spoofing ببندی.
من راه دوم رو پیشنهاد می کنم که باعث می شه در آینده جلوی ابیوزهای مشابه رو هم بگیری
رنج آی پی های خصوصی هم شامل سه رنج زیر هست:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
ضمنا نسبت به سایر اعضای انجمن هم خوش رفتار و مودب باشید. اطلاعات همه در یک سطح نیست ولی همه قصد کمک به شما رو دارند. مثلا از نظر من شما اطلاعاتتون خیلی کمه که موضوعی به این سادگی رو نمی تونید تحلیل کنید ولی دلیل نمیشه شما رو به خاطر این سرزنش کنم

ممنون
اسکریپت جلوگیری از arp spoofing دارین؟
shivahost
March 6th, 2013, 14:31
src=ip یعنی ای پی سرور دیگه عزیز دل

ازتون عذر میخوم اگه ناراحتتون کردم شما فرض کن ما بچه خوبه ؟ یه جمله اینو می گفتی خیلی بهتر بود

در هر حال ممنون


src یعنی ip حمله کننده و می تونه ip سرور یا کامپیوتر حمله کننده باشه.

dst یعنی ip مقصد که در اینجا مقصد لوکال شماست