چگونگی جلوگیری اتک

[ahmad19]

سلام
یه چند روزه دو تا از سرورهامون زیره اتکه و دیتا سنتر همش آی پی رو بلاک می کنه
اینم تو آنتی هک می زنه

کد:

Attack detail : 128Kpps/114Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason               
2015.08.06 06:59:57 CEST   158.69.151.35:20362     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:65480     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:43516     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:63727     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:4035      43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:433       43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:25752     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:1991      43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:26647     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:33644     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:55279     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:1844      43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:58538     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:47442     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:41008     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:30677     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:46748     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:17001     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:31186     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.06 06:59:57 CEST   158.69.151.35:32878     43.240.237.139:80       TCP      SYN           936 ATTACK:TCP_SYN

یه فایروال داره خوده دیتاسنتر اما رول نویسیش رو من دیدم می شه یه آی پی داد
آیا راهی هست که به فایروال بگیم آی پی ها رو بن کنه و دیگه همش دیتاسنتر نبنده ؟
دیتاسنتر هم ovh کانادس

[yastheme]

لاگ بالا رو دیتا سنتر برای شما ارسال کرده؟
ovh به خاطر این اتک کوچولو هیچ وقت آی پی شما را بلاک نمی کند.
اگه کل لاگ اتک همینه نیاز به فایروال سخت افزاری هم ندارید و با CSF می تونید اونو مهار کنید

[nginxweb]

درود
دوست عزیز این لاگ single ip attack هستش و ساده ترین نوع attack میباشد و چون آیپی محدود هستش براحتی توئسط فایروال قابل جلوگیری میباشد و معمولا دیتاسنترها سر این مسئله به سرورها abuse نمیدن

[ahmad19]

والا بالای 6 بار تو 5 روز گذشته بلاک کرده و همه گزارش هاشم همین جور بوده
اینم یکی دیگش

کد:

Attack detail : 135Kpps/121Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason               
2015.08.03 05:32:37 CEST   158.69.151.35:64271     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:11018     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:56449     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:9323      190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:38848     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:9707      190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:26553     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:17447     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:37255     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:42927     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:8010      190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:20302     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:6460      190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:9656      190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:52024     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:31986     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:50547     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:45431     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:34433     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:38422     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN

- - - Updated - - -

والا هشدار نمی ده در جا آی پی رو بلاک می کنه
من همش می رم از پنل آنبلاک می کنم
خب تظیمات چی براش انجام بدم
دو تا سرور لینوکسمون این مشکل رو دارن که هر چی هم باز می کنم باز چند ساعت بعد بلاک می شه

[RoobinaServer]

والا بالای 6 بار تو 5 روز گذشته بلاک کرده و همه گزارش هاشم همین جور بوده
اینم یکی دیگش

کد:

Attack detail : 135Kpps/121Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason               
2015.08.03 05:32:37 CEST   158.69.151.35:64271     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:11018     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:56449     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:9323      190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:38848     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:9707      190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:26553     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:17447     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:37255     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:42927     190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:8010      190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:20302     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:6460      190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:9656      190.93.247.235:80       TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:52024     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:31986     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:50547     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:45431     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:34433     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN       
2015.08.03 05:32:37 CEST   158.69.151.35:38422     190.93.247.235:80       TCP      66            936 ATTACK:TCP_SYN

- - - Updated - - -

والا هشدار نمی ده در جا آی پی رو بلاک می کنه
من همش می رم از پنل آنبلاک می کنم
خب تظیمات چی براش انجام بدم
دو تا سرور لینوکسمون این مشکل رو دارن که هر چی هم باز می کنم باز چند ساعت بعد بلاک می شه

آیپی
158.69.151.35

برای شما هست درسته ؟

با توجه به برخورد مرکزتون و لاگ دومی هم که دادید بنده فکر کنم شما دارید اتک میزنید نه کسی به شما.

الان جمعه شب همکاران بخش کور نیستند وگرنه حتما سوال میکردم ازشون و کاملتر خدمتتون میگفتم ولی بنده الان اینطور فهمیدم که این یعنی مشکل امنیتی سرورتون.

باتشکر رضایی

[ahmad19]

بله این آی پی ما هست

[IrIsT]

سلام و درود.
اگه این اتک هستش که با فایروالی مثل csf میشه جلوشو گرفت.اینقدری بزرگ نیست که بگیم خیلی زیاده و ..........
اما اینطوری که یک چیزی هست که کسی نمیدونه و فقط مسئول خود سرور میدونه,احتمال اتک دادن از سمت شما به یک سرور وجود داره
من یک چک کردم سیستم عامل لینوکس نیست وی ویندوزه.اگه اشتباه نکرده باشم.با برنامه چک کردم و اشتباه هم داره.اگه ویندوز باشه درصد اینکه مشکل از سمت شما باشه زیاده.
و این پیغام هم فقط داره میگه که به یک پورت با آیپی .... دارید پکت زیاد میفرستید.
جالب هم اینجاست که آیپی 190.93.247.235 نوشته کلوفایر
با بد کسی طرفین :D

[ahmad19]

سلام و درود.
اگه این اتک هستش که با فایروالی مثل csf میشه جلوشو گرفت.اینقدری بزرگ نیست که بگیم خیلی زیاده و ..........
اما اینطوری که یک چیزی هست که کسی نمیدونه و فقط مسئول خود سرور میدونه,احتمال اتک دادن از سمت شما به یک سرور وجود داره
من یک چک کردم سیستم عامل لینوکس نیست وی ویندوزه.اگه اشتباه نکرده باشم.با برنامه چک کردم و اشتباه هم داره.اگه ویندوز باشه درصد اینکه مشکل از سمت شما باشه زیاده.
و این پیغام هم فقط داره میگه که به یک پورت با آیپی .... دارید پکت زیاد میفرستید.
جالب هم اینجاست که آیپی 190.93.247.235 نوشته کلوفایر
با بد کسی طرفین :D

خیر ما اتک نمی دیم جایی و این سرور روش دایرکت ادمینه که هنوز سایتی هم روش نیست
چطور می شه جلوش رو گرفت ؟؟

[IrIsT]

دسترسی لطفا بدین تا چک کنم.
اطلاعات سرور رو اگر خواستید بفرستید,تا فایروال بریزم و کانفیگ کنم.بعد ببینم چیزی میگن یا نه.
نکنه نال شده هستش؟
اینو تاکید کنم که سروری که ovh فرستاده که به پورت 80 پکت فرستاده شده از سمت کلود هستش ها.اینو کلا گفتم واسه یاد آوری.

[ahmad19]

دسترسی لطفا بدین تا چک کنم.
اطلاعات سرور رو اگر خواستید بفرستید,تا فایروال بریزم و کانفیگ کنم.بعد ببینم چیزی میگن یا نه.
نکنه نال شده هستش؟
اینو تاکید کنم که سروری که ovh فرستاده که به پورت 80 پکت فرستاده شده از سمت کلود هستش ها.اینو کلا گفتم واسه یاد آوری.

ارسال شد خدمتتون

- - - Updated - - -

مشکل از همون ای پی

158.69.151.35 هست. از سرور دارن اتک میزنن.

یه بار دیگه عوض کردم هم او اس رو هم دایرکت ادمین رو