ابیوزهای متعدد در رنج خاص در سرور ovh

[Fardis Host]

با سلام
بنده از یه شرکتی سرور سو یو استارت خریداری کردم که بعد از یک ماه در یک رنج خاص بهمون گفتن ابیوز اومده و اتک زده شده
در حالی که از بیشتر ون آی‌پی‌ها هنوز استفاده نشده بود برا سرور مجازی
تقاضای نصب مجدد سیستم عامل VMWare دادیم گفتیم شاید سرور اختصاصی آلوده شده باشه
بعد از یک ماه که بیشتر از نصف این رنج مورد استفاده قرار گرفته شد و همگی روشون اوبونتو نصب شد و هنوز مابقی خالی بودن بازم ابیوز اومد از اون رنج و این دفعه دیگه کلا آی پیامو بستن
لازم به ذکره که اتک به دو آی پی و با پورت‌های یکسان بوده
کسی میتونه توضیح بده که این چطور ممکنه؟
با تشکر

[a.e]

با سلام و عرض ادب

واقعاً توضیح خاصی برای مورد شما وجود ندارد چرا که منشأ مشکل ممکن است مربوط به هر چیزی باشد اما شما با کانفیگ یک روتر به سادگی میتوانید از دریافت هرگونه ابیوز جلوگیری کنید.

[a1994n1373]

سلام . لطفا ایمیل ابیوز رو قرار بدین .

[bakuryu]

چه پورتی بوده دوست عزیز ؟

[Fardis Host]

من احتمال میدم مشکل از فایل سیستم عامل ESXi هست که برام نصب کردن
هر بار هم فقط 10 تا آیپی رو نشونه رفته و از اونا اتک زده میشه به آیپی چین
دو سه تا از اون سرورا رو به سرور دیگه‌ام از سو یو استارت که بازم توسط این شرکت خریدم منتقل کردم که بعد از چند ساعت پنج شیش تا آیپی که سرورشون منتقل شده و جندتا آیپی که تو همون سرور ساخته شده بودن و چند تا آیپی که اصلا تابحال باهاشون سرور ساخته نشده ابیوز اومد.
میشه برای کانفیگ روتر یه لینکی چیزی بدید که مطالعه کنم؟
با تشکر

- - - Updated - - -

خیلی زیاده
این اولینشه

Dear Customer,

Abnormal activity has been detected on 51.255.99.25.

Please don't hesitate to contact our technical support team so that this situation does not become critical.

You can find the logs brought up by our system which lead to this alert.

- START OF ADDITIONAL INFO -

Attack detail : 3Kpps/21Mbps
dateTime srcIp:srcPort dstIpstPort protocol flags bytes reason
2018.01.21 17:21:41 CET ********.25:53548 223.167.223.51:8611 TCP SYN 921 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:18477 223.167.223.51:8611 TCP SYN 902 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:35374 223.167.223.51:8611 TCP SYN 924 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:27099 223.167.223.51:8611 TCP SYN 905 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:42286 223.167.223.51:8611 TCP SYN 925 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:54175 223.167.223.51:8611 TCP SYN 919 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:38053 223.167.223.51:8611 TCP SYN 932 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:1182 223.167.223.51:8611 TCP SYN 892 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:37637 223.167.223.51:8611 TCP SYN 925 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:43757 223.167.223.51:8611 TCP SYN 916 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:23653 223.167.223.51:8611 TCP SYN 930 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:40877 223.167.223.51:8611 TCP SYN 919 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:44918 223.167.223.51:8611 TCP SYN 921 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:1936 223.167.223.51:8611 TCP SYN 917 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:57242 223.167.223.51:8611 TCP SYN 927 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:63884 223.167.223.51:8611 TCP SYN 897 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:40642 223.167.223.51:8611 TCP SYN 930 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:58915 223.167.223.51:8611 TCP SYN 902 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:25166 223.167.223.51:8611 TCP SYN 904 ATTACK:TCP_SYN
2018.01.21 17:21:41 CET ********.25:33712 223.167.223.51:8611 TCP SYN 917 ATTACK:TCP_SYN



- END OF ADDITIONAL INFO -


OVH Customer Support.

SoYouStart Customer Service

- - - Updated - - -

چه پورتی بوده دوست عزیز ؟

متن ابیوز رو بالاتر قرار دادم

[majidisaloo1]

با سلام
فایل iso استاندارد و مربوط به خود دیتاسنتر است و در سویو استارت کسی نمیتواند بدون پرداخت هزینه 30 یورویی برای kvm برای یک روز سیستم عامل کاستوم نصب نماید .
لذا همین iso که برای شما استفاده شده است برای سایر سرور های موجود در آن دیتاسنتر نیز استفاده شده است .
این مشکل مربوط به کاربران شماست و شما می بایست در سمت کاربران خودتان این مورد را جست و جو نمایید و این اتفاقی و یا هک 99 درصد نیست و به صورت عمدی در حال استفاده است .

[Fardis Host]

با سلام
فایل iso استاندارد و مربوط به خود دیتاسنتر است و در سویو استارت کسی نمیتواند بدون پرداخت هزینه 30 یورویی برای kvm برای یک روز سیستم عامل کاستوم نصب نماید .
لذا همین iso که برای شما استفاده شده است برای سایر سرور های موجود در آن دیتاسنتر نیز استفاده شده است .
این مشکل مربوط به کاربران شماست و شما می بایست در سمت کاربران خودتان این مورد را جست و جو نمایید و این اتفاقی و یا هک 99 درصد نیست و به صورت عمدی در حال استفاده است .

وقتی که ما از یه شرکت دیگه هم سرور سو یو استارت خریداری کردیم و دقیقا همان مشتریانمون با همان استفاده دارن توش سرویس‌دهی میشن هیچ ابیوزی دریافت نمیشه اما روی دو تا از سرورهایی که از شما تهیه نموده‌ایم مدام ابیوز دریافت میشه. این خودش شک‌برانگیز نیست؟
از کجا معلوم به آی‌پی‌های شما دسترسی پیدا نکردند و این مشکلی که به ما به وجود اومده از جانب رقبا و دشمنان شما نبوده باشه؟
مشتریان بنده هیچ فرقی ندارن و استفاده‌هاشون از قبل معلوم هست برای چیه
ما ابیوز از سرورهایی دریافت میکنیم که کاملا مطمئن هستیم به صاحب اون سرور!!!!

[majidisaloo1]

وقتی که ما از یه شرکت دیگه هم سرور سو یو استارت خریداری کردیم و دقیقا همان مشتریانمون با همان استفاده دارن توش سرویس‌دهی میشن هیچ ابیوزی دریافت نمیشه اما روی دو تا از سرورهایی که از شما تهیه نموده‌ایم مدام ابیوز دریافت میشه. این خودش شک‌برانگیز نیست؟
از کجا معلوم به آی‌پی‌های شما دسترسی پیدا نکردند و این مشکلی که به ما به وجود اومده از جانب رقبا و دشمنان شما نبوده باشه؟
مشتریان بنده هیچ فرقی ندارن و استفاده‌هاشون از قبل معلوم هست برای چیه
ما ابیوز از سرورهایی دریافت میکنیم که کاملا مطمئن هستیم به صاحب اون سرور!!!!

سلام
اصلا من نمیدونستم که شما از ما سرویس دارید یا ندارید این مورد اول
مورد دوم اینکه لحن صحبتتون رو درست تر بکنید که بتوانید به نتیجه بهتری برسید من میتونم بهتون جواب ندم و خیلی ساده است ندادیده گرفتن تاپیک شما در یک انجمن ثالث اما برای اینکه دانش شما بالا بره توی انجمن میگم که کسه دیگه هم این مورد را بدونند و اگر یک روزی به کارشون اومد استفاده بکنند .
سرور شما بهش اتک نمیشه بلکه ازش اتک میشه این گزینه اول پس اگر حتی رنجی از ما لو بره که اصلا این مورد هیچگاه میسر نیست چون رنج شما یک رنج است و رنج بعدی هم رندم دیتاسنتر است اما به هر حال مهم نیست حتی اگر لو بره شما باید اتک بشوید نه اینکه از سرورتون اتک بزنید .
اگر اتک میخوردید که مشکلی نبود و شما مورد ظلم یک نفر دیگه قرار گرفتید اما الآن داره از سرور شما به یک شخص یا شرکت ثالث ظلم میشه اینه که در دنیای اینترنت مشکل ساز است .
کسی که اتک میخوره نهایتا دیتاسنتر نمیتونه میزبانیش بکنه میگه عذر میخوام و نمیتونم میزبانی بکنم ولی وقتی شما دارید اتک میزنید کسی با ملاطفت در دیتاسنتر با شما برخورد نخواهد کرد ، نه با شما بلکه با ما هم همینطور هستند چرا که آنها ما رو میشناسند و اینکه ما به شما سرویس دادیم و یا ندادیم بهشون هیچ ارتباطی ندارند همانطور که به ما ارتباطی ندارد شما به کی سرویس دادید .
چیزی که مشخص است شما دارید اتک میفرستید و یک نفر رو نمیتونید توی این انجمن یا جا های دیگه پیدا بکنید که بگه اخطار ارسالی از جانب OVH اشتباه است اونم برای نزدیک به 20 آی پی شما که فقط هم برای شماست و این مورد برای ما قابل اثبات است .
این یعنی در سرور شما داره کاری انجام میشه و هیچ شکی به آن نداشته باشید .
سرور اختصاصی شما iso خوده دیتاسنتر است که بایت به بایت در دریافت آن سخت گیری میشود و مشکلی در آن وجود ندارد اما اگر مایل بودید میتونیم براتون KVM بگیریم و 30 یورو برایتان فاکتور بکنیم خودتان هر iso که میخواهید را نصب بکنید اما با این سرور های مجازی که دارید و طبیعتا مجدد همین اتفاق برایتان پیش خواهد آمد .

با سپاس
عیسی لو

[Fardis Host]

ممنون از پاسخ‌گوییتون
چند مورد هست که بنده متوجه نمیشم
1) سرور مجازی‌ای که قبل از خاموش شدن سرور بنده هیچ مشکلی نداشت و یک باره بدون اطلاع قبلی سرور رو خاموش کردیم و بعد از روشن کردن بعد از چند دقیقه ابیوز اومد که از آیپی این سرور اتک داده شده!! سوال اینجاست چرا قبل از خاموشی سرور ابیوزی داده نمیشد در حالی که چند روزی از ساخته شدن اون سرور گذشته بود

2) ما قبل از اینکه از شما سرویسی خریداری کنیم از شرکت دیگری سرور سو یو استارت خریده بودیم. چرا فقط ابیوزها از سمت سرورهای خریداری شده از سمت شما بوده در حالی که حدود 6 ماه میگذره از سروری که از شرکت قبلی تهیه کردیم فقط و فقط یکبار ابیوز اتک داشتیم که اونم به ماه اول مربوط میشد و بعد از اون دیگه هیچ ابیوزی دریافت نشد و گفتنی هست که هر سرور مجازی که از ما خریده میشد بصورت رندوم بین 3 سرور اختصاصی انتخاب شده و سرویس‌دهی میشد

3) ما گفتیم بار شبکه رو چک کنید و شما گفتید چک شد و هیچ فعالیت مشکوکی دیده نمیشه و درست بعد از روشن شدن سرور اختصاصی ابیوزها اومدن یعنی یه نفر فقط نشسته و منتظر مونده سر صبحی تا من سرورا رو روشن کنم و بیاد اتک بزنه

[sadecohost]

سلام

بزرگوار فرمودید سرورها ابونتو بودند. ویروسی روی ابونتو هست که نفوذ میکنه و دقیقا به آیپی چین اتک میزنه. سورس ایپی هم بصورت رندوم روی همون سابنتی که شما دارید میزاره. مثلا سرور شما دارای ایپی 1.2.3.4 هست, ایپی رو 1.2.3.0/24 ست میکنه بعنوان سورس ایپی. برای همین کل رنج شما بلاک میشه

او وی اچ کاری نداره مک چی هست چی نیست, درجا میزنه رنج رو بلاک میکنه. و همین مورد هم درمورد شما صدق میکنه

یه روتر نصب و کانفیگ کنید (کانفیگ درست و کامل که ماشین مجازی نتونه از ایپیهای دیگر ماشینها استفاده کنه), تمامی ماشین های مجازی رو اول از همه ری اینستال و کانفیگ کنید و بعد گیتوی رو ایپی روتر ست کنید. مشکلتون رفع میشه.