چگونگی جلوگیری اتک

سلام
یه چند روزه دو تا از سرورهامون زیره اتکه و دیتا سنتر همش آی پی رو بلاک می کنه
اینم تو آنتی هک می زنه

کد:

Attack detail : 128Kpps/114Mbps dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason 2015.08.06 06:59:57 CEST 158.69.151.35:20362 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:65480 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:43516 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:63727 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:4035 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:433 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:25752 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:1991 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:26647 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:33644 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:55279 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:1844 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:58538 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:47442 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:41008 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:30677 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:46748 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:17001 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:31186 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.06 06:59:57 CEST 158.69.151.35:32878 43.240.237.139:80 TCP SYN 936 ATTACK:TCP_SYN

یه فایروال داره خوده دیتاسنتر اما رول نویسیش رو من دیدم می شه یه آی پی داد
آیا راهی هست که به فایروال بگیم آی پی ها رو بن کنه و دیگه همش دیتاسنتر نبنده ؟
دیتاسنتر هم ovh کانادس

پاسخ : چگونگی جلوگیری اتک

لاگ بالا رو دیتا سنتر برای شما ارسال کرده؟
ovh به خاطر این اتک کوچولو هیچ وقت آی پی شما را بلاک نمی کند.
اگه کل لاگ اتک همینه نیاز به فایروال سخت افزاری هم ندارید و با CSF می تونید اونو مهار کنید

پاسخ : چگونگی جلوگیری اتک

درود
دوست عزیز این لاگ single ip attack هستش و ساده ترین نوع attack میباشد و چون آیپی محدود هستش براحتی توئسط فایروال قابل جلوگیری میباشد و معمولا دیتاسنترها سر این مسئله به سرورها abuse نمیدن

پاسخ : چگونگی جلوگیری اتک

والا بالای 6 بار تو 5 روز گذشته بلاک کرده و همه گزارش هاشم همین جور بوده
اینم یکی دیگش

کد:

Attack detail : 135Kpps/121Mbps dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason 2015.08.03 05:32:37 CEST 158.69.151.35:64271 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:11018 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:56449 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:9323 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:38848 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:9707 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:26553 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:17447 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:37255 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:42927 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:8010 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:20302 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:6460 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:9656 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:52024 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:31986 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:50547 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:45431 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:34433 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:38422 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN

- - - Updated - - -

والا هشدار نمی ده در جا آی پی رو بلاک می کنه
من همش می رم از پنل آنبلاک می کنم
خب تظیمات چی براش انجام بدم
دو تا سرور لینوکسمون این مشکل رو دارن که هر چی هم باز می کنم باز چند ساعت بعد بلاک می شه

پاسخ : چگونگی جلوگیری اتک

نقل قول:

نوشته اصلی توسط ahmad19

والا بالای 6 بار تو 5 روز گذشته بلاک کرده و همه گزارش هاشم همین جور بوده
اینم یکی دیگش

کد:

Attack detail : 135Kpps/121Mbps dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason 2015.08.03 05:32:37 CEST 158.69.151.35:64271 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:11018 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:56449 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:9323 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:38848 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:9707 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:26553 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:17447 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:37255 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:42927 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:8010 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:20302 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:6460 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:9656 190.93.247.235:80 TCP SYN 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:52024 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:31986 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:50547 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:45431 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:34433 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN 2015.08.03 05:32:37 CEST 158.69.151.35:38422 190.93.247.235:80 TCP 66 936 ATTACK:TCP_SYN

- - - Updated - - -

والا هشدار نمی ده در جا آی پی رو بلاک می کنه
من همش می رم از پنل آنبلاک می کنم
خب تظیمات چی براش انجام بدم
دو تا سرور لینوکسمون این مشکل رو دارن که هر چی هم باز می کنم باز چند ساعت بعد بلاک می شه

آیپی
158.69.151.35

برای شما هست درسته ؟

با توجه به برخورد مرکزتون و لاگ دومی هم که دادید بنده فکر کنم شما دارید اتک میزنید نه کسی به شما.

الان جمعه شب همکاران بخش کور نیستند وگرنه حتما سوال میکردم ازشون و کاملتر خدمتتون میگفتم ولی بنده الان اینطور فهمیدم که این یعنی مشکل امنیتی سرورتون.

باتشکر رضایی

پاسخ : چگونگی جلوگیری اتک

بله این آی پی ما هست

پاسخ : چگونگی جلوگیری اتک

سلام و درود.
اگه این اتک هستش که با فایروالی مثل csf میشه جلوشو گرفت.اینقدری بزرگ نیست که بگیم خیلی زیاده و ..........
اما اینطوری که یک چیزی هست که کسی نمیدونه و فقط مسئول خود سرور میدونه,احتمال اتک دادن از سمت شما به یک سرور وجود داره
من یک چک کردم سیستم عامل لینوکس نیست وی ویندوزه.اگه اشتباه نکرده باشم.با برنامه چک کردم و اشتباه هم داره.اگه ویندوز باشه درصد اینکه مشکل از سمت شما باشه زیاده.
و این پیغام هم فقط داره میگه که به یک پورت با آیپی .... دارید پکت زیاد میفرستید.
جالب هم اینجاست که آیپی 190.93.247.235 نوشته کلوفایر
با بد کسی طرفین :D

پاسخ : چگونگی جلوگیری اتک

نقل قول:

نوشته اصلی توسط IrIsT

سلام و درود.
اگه این اتک هستش که با فایروالی مثل csf میشه جلوشو گرفت.اینقدری بزرگ نیست که بگیم خیلی زیاده و ..........
اما اینطوری که یک چیزی هست که کسی نمیدونه و فقط مسئول خود سرور میدونه,احتمال اتک دادن از سمت شما به یک سرور وجود داره
من یک چک کردم سیستم عامل لینوکس نیست وی ویندوزه.اگه اشتباه نکرده باشم.با برنامه چک کردم و اشتباه هم داره.اگه ویندوز باشه درصد اینکه مشکل از سمت شما باشه زیاده.
و این پیغام هم فقط داره میگه که به یک پورت با آیپی .... دارید پکت زیاد میفرستید.
جالب هم اینجاست که آیپی 190.93.247.235 نوشته کلوفایر
با بد کسی طرفین :D

خیر ما اتک نمی دیم جایی و این سرور روش دایرکت ادمینه که هنوز سایتی هم روش نیست
چطور می شه جلوش رو گرفت ؟؟

پاسخ : چگونگی جلوگیری اتک

دسترسی لطفا بدین تا چک کنم.
اطلاعات سرور رو اگر خواستید بفرستید,تا فایروال بریزم و کانفیگ کنم.بعد ببینم چیزی میگن یا نه.
نکنه نال شده هستش؟
اینو تاکید کنم که سروری که ovh فرستاده که به پورت 80 پکت فرستاده شده از سمت کلود هستش ها.اینو کلا گفتم واسه یاد آوری.

پاسخ : چگونگی جلوگیری اتک

نقل قول:

نوشته اصلی توسط IrIsT

دسترسی لطفا بدین تا چک کنم.
اطلاعات سرور رو اگر خواستید بفرستید,تا فایروال بریزم و کانفیگ کنم.بعد ببینم چیزی میگن یا نه.
نکنه نال شده هستش؟
اینو تاکید کنم که سروری که ovh فرستاده که به پورت 80 پکت فرستاده شده از سمت کلود هستش ها.اینو کلا گفتم واسه یاد آوری.

ارسال شد خدمتتون

- - - Updated - - -

نقل قول:

نوشته اصلی توسط w2ir

مشکل از همون ای پی
158.69.151.35 هست. از سرور دارن اتک میزنن.

یه بار دیگه عوض کردم هم او اس رو هم دایرکت ادمین رو