با سلا م
امروز این اخطار و ابیوز از طرف دیتا سنتر بهمون ارسال شده و این لینک به عنوان توضیحات ارسال شده
Shadowserver Foundation - Services - Sinkhole-HTTP-Drone
حدود 10 تا آی پی گیر دادن همشون در یک زمان
دیتا سنتر سنل هلند هست
نمایش نسخه قابل چاپ
با سلا م
امروز این اخطار و ابیوز از طرف دیتا سنتر بهمون ارسال شده و این لینک به عنوان توضیحات ارسال شده
Shadowserver Foundation - Services - Sinkhole-HTTP-Drone
حدود 10 تا آی پی گیر دادن همشون در یک زمان
دیتا سنتر سنل هلند هست
حسین (مدیر حامی هاست) هم همین مشکل رو داشت ، ازش بپرس تونست کاری انجام بده یا نه
دوست عزیز آی دی شماره تلفن دارید از ایشون ؟نقل قول:
نوشته اصلی توسط rn4j1m1
سلام
دوست عزیز منم یه تاپیک با همین موضوع زدم یه تیکت هم به دیتاسنتر زدم که گفتن .
من اومدم یه انتی ویروس Shead نصب کردم رو یکی از سرور مجازی ها و نتیجه شو براتون میزارم .کد:Dear Danial,
A sinkhole is a place where there used to be a website to control a botnet (e.g. send out DDoS).
It means there is a virus/spyware/malware located on the IPs reported.
You can use anti-virus on Windows and chkrootkit/rkhunter on Linux to find it.
Then use the log files and such things to find the exploit that allowed it to get on there.
Yours Sincerely,
Wouter van Eekelen
فایل پیوست 3562
قربان شما سریال تریال شید رو دارید ؟نقل قول:
نوشته اصلی توسط zcj
نسخه تریال داره و قیمتش هم خیلی کم هست هزینه یک ساله اون فقط 6500 تومان هست (این ارزش دز دی داره ؟)نقل قول:
نوشته اصلی توسط azaronline
دوست عزیز بهتر هست وقتی صحبت میکنیم بفهمیم که چی از دهنمون میاد بیرون اگر دقت کنید نوشتم تریال ؟؟؟؟ معنیش براتون مشخص نیست ؟نقل قول:
نوشته اصلی توسط rn4j1m1
در ضمن برای یکی دو تا وی پی اس نیست برای حدود 35 تا وی پی اس هست
همچنین لازم نیست در موردی که ضرورت نداره اظهار نظر کنیم
من دقیقا حواسم بود چی گفتمنقل قول:
نوشته اصلی توسط azaronline
نسخه تریالش رو هم در اختیار همه قرار نمیده ، تنها در صورتی که شما cd اون رو به صورت پستی بخرید بهتون نسخه تریال میده
یوزرنیم و پسورد تریال اون هم فقط 30 روزه هست یعنی 30 روز از طرف سرور اونها اعتبار داره نه این که چند نفر بتونن از اون استفاده کنند.
یعنی اعتبار هر اکانت از طرف سرور شید تعیین میشه و مثل بعضی نرم افزار ها نیست که بعد از وارد کردن مشخصات شما 30 روز اعتبار داشته باشید
---------- Post added at 08:13 PM ---------- Previous post was at 08:10 PM ----------
درضمن یوزرنیم و پسورد صرفا واسه آپدیت هست (یه جورایی مثل نود32)
یعنی این که شما میتونید یه اکانت بخرید و از اون به نوبت واسه هر وی پی اس استفاده کنید (استفاده همزمان احتمالا باعث غیرفعال شدن اکانت میشه)
خوب این چه ربطی داره به دز دی ؟نقل قول:
نوشته اصلی توسط rn4j1m1
یکم با دقت تر بخونید ، شما cd رو بخرید و یا دانلود کنید فرقی برای شرکت سازنده نداره ؟نقل قول:
نوشته اصلی توسط azaronline
تاپیک داره از بحث اصلیش خارح میشه !
خوب در واقع سریال تریالی وجود ندارهنقل قول:
نوشته اصلی توسط azaronline
شید اون رو به کسانی میده که cd اون رو بخرند
در ضمن بهتره از موضوع اصلی خارج نشیم
من فقط قصد تاکید و حمایت داشتم ، اصلا هدف من توهین به کسی نبود (اگه اینجوری برداشت شده عذر میخام)
شما هم لطفا دقت کنید نوشتم تریالنقل قول:
نوشته اصلی توسط m3hdi
---------- Post added at 09:44 PM ---------- Previous post was at 08:19 PM ----------
نام کاربری خرید شد بعد از آپدیت هیچ ویروسی پیدا نشد /:)
دوستان بحث رو چرا الکی کش می دید شید 2 تا نسخه داره یکی نسخه ی پولی که اپدیت میشه یکی نسخه مجانی که اپدیت نمیشه حالا شما از نسخه ی بدون اپدیت استفاده کن و راحت ویروس ها رو بفرست به جهنم . :69:
من نسخه اصلی رو خریدم آپدیت هم کردم ویروسی پیدا نشدنقل قول:
نوشته اصلی توسط zcj
سلام
دوستان بلاخره راه حل چیه ؟
الان واسه من هر روز چند تا از این اخطارها می یاد معلوم هم نیست چیه
یک نمونه از این اخطار ها همشون عین هم هستند
Sinkhole located at IP
Our systems have detected a sinkhole located at IP at 2011-10-30 00:37:32 (UTC+0).
Please check your server, kill the process(es) responsible for the sinkhole and seal the exploit that allowed it to run in the first place.
If you are a reseller, please communicate this to your client and shut them down if they don't reply or if this isn't their first abuse report.
For more information about a sinkhole, please refer to this documentation:
Shadowserver Foundation - Services - Sinkhole-HTTP-Drone
Raw information:
--
Array
(
[0] => 2011-10-30 00:37:32
[1] => IP
[2] => 42267
[3] => SA
[4] => GET /search?q=0 HTTP/1.0
[5] => downadup
[6] => Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)
[7] =>
[8] => 4562
[9] =>
[10] =>
[11] =>
[12] => 80
[13] => 143.215.143.11
[14] =>
[15] =>
[16] =>
[17] => 143.215.143.11
[18] => 2637
[19] => US
)
واسه چه سیستم عامل هایی این اخطار رو میگیرید ؟نقل قول:
نوشته اصلی توسط Pooldar
برای من ویندوز ها مشکل دارن
ویندوز و میکروتیکنقل قول:
نوشته اصلی توسط rn4j1m1
توی یه قسمت از فروم جناب Aria گفته بودن که مشکل مربوط به پخش شدن پاکت های دیتا از سرور مجازی ها تو زمانی که RRAS انجام میشه هست و باید دیتاسنتر مشکل رو حل کنه یه متن انگلیش هم گزاشته بودن من همونو بهشون گفتم کلا زیر بار نمیرن که مشکل از اوناست .
دوسان کسی ویندوز 2008 رو تست کرده که ببینه این مشکل اونجا هست یا نه ؟
این مشکل قبلا تجربش رو داشتمنقل قول:
نوشته اصلی توسط zcj
ضد ویروس رو نصب و اسکن کنید سیستمتون ! مهم نیست که ضد ویروس شید باشه فقط اپدیت باشه
در ضمن شما از dynaceron سرویس نگرفتید از اقای بورا ایسمن؟ که این مشکل برخوردید؟
سلام.
این مشکل در واقع از طرف دیتاسنتر نیست ولی یه دیتاسنتر در سطح متوسط تا حرفه ای می بایست شبکه هاشون رو با نوشتن چند firewall rule بسیار ساده در برابر اینجور موارد ایمن کنند.
برای یک دیتاسنتر هزینه هایی مثل 3 تا 4 هزار دلار پول زیادی نیست و میتونند یک Security Appliance سر راه شبکه هاشون نصب کنند تا از فعالیت این گونه Worm ها جلوگیری بشه.
در واقع اگر دیتاسنتر ها کمی بیشتر فکر کنند متوجه میشند که با یک بار هزینه کردن، میتونند زمان بسیار زیادی رو ذخیره کنند و به جای اطلاف وقت برای ارسال گزارش به کاربر و در خواست حل مشکل توسط ایشان، تمام این مراحل رو به صورت یکجا با خرید یک Security Appliance حل کنند و هم کاربر رو از دست ندن و هم وقتشون رو برای forward کردن گزارش های دریافتی به کاربران و ...
البته اینها نظر شخصی من هست و کاری هست که ما ترجیه دادیم در دیتاسنتر خودمون انجام بدیم، دیگران رو نمی دونم ... حق انتخاب همیشه با خودشون هست ;)
با تشکر.
سلام
با تشکر از جناب Aria امکان داره بگید چه Rule هایی باید اینا ادد کنند ؟
سلام.
بستگی به شبکه ای داره که استفاده میشه در هر دیتاسنتر.
شبکه های ما Juniper هست و Firewall Rule های خودش رو داره ولی در شبکه های Cisco شما می بایست با دستور های کاملاً متفاوت به جای Firewall Rule در واقع ACL تعریف کنید.
در شبکه های Foundry هم که اکثر دیتاسنتر های اروپایی استفاده می کنند، دستور ها کاملاً متفاوت هست ولی در هر حال می بایست تنظیمات به شیوه ای انجام بشه که تعداد ارسال Request های رفت و برگشت به IP های random توسط javascript محدود بشه.
با تشکر.
سلام.
دوستان بنده در این زمینه در کمتر از دو ماه بیش از 200 شکایت دریافت کردم و رکوردم رو ثبت کردم :دی
حق با آریا عزیز هست! بنده در دیتاسنتر های معتبر این مشکل رو ندارم و بیشتر روی دیتاسنتر های اروپایی این مشکل رو دارم.
در اکثر موارد مشکل اصلی سرور شما نیست! مشکل اصلی بات نت و worm های سمت کلاینت هست که به سرور تانل زده و آی پی سرور بهش اختصاص داده شده.
دیتاسنتر زمانی که لاگ رو به شما میده زمان دقیق داخلش ذکر شده ! اگر شما اکانتینگ پیشرفته ای داشته باشید میتونید کاربر خاطی رو حذف کنید.
من زمانی که این کار مقدور نیست دست به بلاک کردن آی پی ها میزنم !
بطور مثال کل 200 گزارش دیتاسنتر به یک رنج آی پی حمله کرده بودند بنده کل اون رنج آی پی رو توی سرور بستم. (dst. address)
راه حل درستی نیست ولی برای من تنها راه است...
ارادتمند
---------- Post added at 04:46 AM ---------- Previous post was at 04:45 AM ----------
وقتی شما داخل سرور برنامه مخربی پیدا نکردی با آپگرید سرور به ویندوز 2008 تغییری در سرور شما حاصل نخواهد شدنقل قول:
نوشته اصلی توسط azaronline
بعد از مشکلات فراوان مجبور شدیم 3 سرور هلند از snel تخلیه کنیم متاسفانه مشکل با آنتی ویروس و ... حل نشد
SmartDC(Server Boost)نقل قول:
نوشته اصلی توسط azaronline
Netrouting
دو دیتاسنتر بالا رو بنده امتحان کردم... این دیتاسنتر ها هم این مشکل رو دارند.
ارادتمند