هک شدن سرور مجازی و بلاک شدن آی پی

[ircome]

سلام
متاسفانه چند روزیست که سرورم مجازیم (centos 9.10)به قول نمایندگیم ebus شده و ip بلاک توسط دیتا سنتر میشه .

نمایندگی میگه که مدام request ارسال میکنه به ip های دیگه بقول معروف بمب میکنه و دیتا سنتر بلاکش میکنه .

احتمالا هک شدم

یبار درخواست بازگشایی دادم و پسورد رو تعویض کردم با کد top که فعالیت عجیبی ندیدم

لطفا راهنمایی بفرمایید چطور میتونم این مشکل رو حل کنم ؟

سپاس گذارم

ip 12.12.12.12 واقعی نیست
################################################## ########################
# Netscan detected from host 12.12.12.12 #
################################################## ########################


time protocol src_ip src_port dest_ip dest_port
---------------------------------------------------------------------------
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51447 => 192.168.3.2 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51449 => 192.168.3.3 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51450 => 192.168.3.4 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51452 => 192.168.3.5 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51453 => 192.168.3.6 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51455 => 192.168.3.7 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51457 => 192.168.3.8 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51459 => 192.168.3.9 7
Fri Nov 14 08:19:48 2014 UDP 12.12.12.12 51461 => 192.168.3.10 7

[secure_host]

با سلام
این امر دلایل مختلفی می تواند داشته باشد.ولی عمدتا 2 دلیل زیر عمومی تر است.
1- وجود فایل مخرب در یکی از وب سایت های میزبانی شده در سرور
2- وجود فایل مخرب در فایل های سرور
در هر 2 حالت باید سرور شما بررسی شود و سپس Outgoing traffic سرور شما آنالیز شود تا پس از بررسی بتوان راهکار منطقی چهت پیشگیری از این مشکل ارایه داد. ولی اجالتا می توانید سرور خود را اسکن نموده و سپس outgoing پورت های سرور خود را مسدود نمایید.
باتشکر

[mehrshad.ho]

پورت پیش فرض پوتی رو تغییر داده اید ؟

[Yas-Host]

کدام دیتاسنتر هستید ؟

اگر هتزنر هستید مشکلی نیست بزارید آی پی بلاک باشد سپس lara درخواست کنید و با بنده تماس بگیرید تضمین صدرصد براتون رفع خواهیم کرد.

[ircome]

سرور بنده سایت روش نصب نیست open... + ibsng یه سرور مجازی با مشخصات سخت افزاری بسیار پایین برای استفاده شخصی
بله هتزنز آلمان هست
پورت پوتی همون 22 ،،، تغییرش بدم ؟
چطوری اسکن کنم و پورت های خروجی شو ببندم با این حال مشکلی برای خودم پیش نیاد ؟

[mehrshad.ho]

سرور بنده سایت روش نصب نیست open... + ibsng یه سرور مجازی با مشخصات سخت افزاری بسیار پایین برای استفاده شخصی
بله هتزنز آلمان هست
پورت پوتی همون 22 ،،، تغییرش بدم ؟
چطوری اسکن کنم و پورت های خروجی شو ببندم با این حال مشکلی برای خودم پیش نیاد ؟

حتما پورت 22 رو تغییر بدید و در فایروال 22 را مسدود کنید
موارد مشابه قبلا داشتیم با این روش بر طرف شده

[pc30]

پورت رو در فایروال قرار دهید به احتمال زیاد درست میشه !

[ircome]

ممنونم
روش تغییر پورت ssh رو میدونم
فقط میشه روش بستن پورت 22 رو از طریق iptables برام بنویسین
سپاس

[parsntc]

ممنونم
روش تغییر پورت ssh رو میدونم
فقط میشه روش بستن پورت 22 رو از طریق iptables برام بنویسین
سپاس

برای بستن پورت :

iptables -A INPUT -p tcp --dport # -j DROP
iptables -A INPUT -p udp --dport # -j DROP
service iptables save
service iptables restart

به جای # شماره پورت را وارد نمایید
یک مطلب کامل در این رابطه :

Linux: Block Port With IPtables

[4danlod]

در اول کار شما باید تمامی پورت ها و آی پی های مورد نیاز سرور را شناسایی کنید.

سپس بقیه پورت هایی که لازم ندارید را ببندید.