Opublikowano:

zabezpieczanie sshd

Od wczoraj ktoś bombarduje mój 22-port brute forcem, kiedy zablokuje ip przez iptables problem mija na kilka godzin po czym atak jest wznawiany z innego ip. Potrzebuję więc jakiegoś inteligentnego daemona który wykrywałby 2-3 nieudane logowania na ssh po czym banował ip na kilkanaście minut – lub jakiegoś zabezpieczenia w tym stylu. Co możecie poradzić? Czytaj dalej...

Opublikowano:

Blokada ataku – jak ? DA

Brute-Force Attack detected in service log from IP(s) 186.102.90.110 on User(s) root takie wiadomości od wczoraj dostaję z mojego serwka – dedykowany centos + najnowszy directadmin prosze oinformację – czy są jakieś dodatki które automatycznie zablokują ip z którego będzie rozpoznany atak ?? czy ew. mogę to skonfigurować w direct adminie? po pytaniu widać ze jestem lakikiem ale może są jakiś dodatki które pozwolą na szybkie rozwiązanie problemu… inne cytaty z mojego DA: Brute-Force Attack detected in service log from IP(s) 190.55.50.103, 202.99.42.188, 211.47.71.91, 217.11.127.103, 41.222.11.122, 81.23.193.180 on User(s) "null", 1, 123, 123456, 12345678, 1q2w3e, Admin, abascus, access, admin, admin123, administrador, administrateur, administrator, anonymous, apple, backup, dave, demo, garage, info, netgear1, orange, pass123, password, postmaster, qwerasdf, qwerty, root, setup, spam, sysadmin, test, teste, user, welcome 211.47.71.91 1646 Jul 23 10:36 Jul 23 10:36 Yes IP Info 190.55.50.103 221 Jul 23 10:36 Jul 23 10:36 Yes IP Info 81.23.193.180 221 Jul 23 10:36 Jul 23 10:36 Yes IP Info 186.25.238.43 220 Jul 23 14:14 Jul 23 14:30 Yes IP Info 41.222.11.122 16 Jul 23 10:36 Jul 23 10:36 Yes IP Info 202.99.42.188 14 Jul 23 10:36 Jul 23 10:36 Yes IP Info 186.102.90.110 11 Jul 23 18:22 Jul 23 18:33 Yes IP Info z góry dziękuję za wskazówki Czytaj dalej...

Opublikowano:

Jak potwierdzić atak DoS?

Jakimi komendami można potwierdzić, że serwer jest celem ataku DoS? W necie znalazłem coś takiego: Kod: tcpdump -n -c 1000 | grep 2 | awk '{printf ("%s -> %s\n"),$3,$5}' | sort | uniq -c | sort -n -r | head -20 (pokazuje 20 ip z którymi mamy największy ruch) i ewentualnie inne sprawdzenie: Kod: netstat -na | grep ":80" | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n| uniq -c | sort -n -r | head -20 (pokazuje 20 ip z którymi mamy największy ruch na porcie 80) Co jeszcze można zrobić/sprawdzić? Czytaj dalej...

Opublikowano:

ddos a ovh nic

Witam , czy to możliwe że nikt nie monitoruje sieci ? od 4h mój serwer jest atakowany ddosem a oni mi odpisują włącz monitoring , no to włączyłem lecz potem piszą że jest usterka po 20 minutach że usterki nie ma i wyłączają ten monitoring ja do nich że jest firewall i nie sprawdzą pingu . drugi raz zgłaszam atak ddos oni znowu od poczatku z tym monitoringiem . 4 razy juz do nic pisałem i cztery razy odpisali że wszystko jest dobrze . Serwer caly czas stoi pod atakiem 50mb/s czy to możliwe że dzisiaj w święto jest tam jakiś nie ogarnięty support ? 2 dni temu serwer też był atakowany wszytko zajęło im 1 h , łatwy kontakt nie to co dzisiaj teraz im tłumacze a oni nic Pozdrawiam Czytaj dalej...

Opublikowano:

clouDead z clouDoS i cloudHoover

Witam, Masz ochotę zniszczyć konkurencję? Albo sprawić, żeby zniknęły strony konkurencji? I dzięki temu wprowadzić własne ceny usług? Przyznaj….już o tym myślałeś… Ovh wprowadza nową usługę o nazwie "clouDead". Na początku chcemy podziękować wszystkim klientom, którzy brali udział w dyskusji nad zdefiniowaniem usługi clouDead. Nie było to łatwe, ponieważ listy mailingowe stały się miejscem wojen między klientami, którzy stanowią dla siebie konkurencję. Zapewniamy od razu wszystkich: nie możecie używać usług clouDos ani cloudHoover przeciwko stronom konkurencji znajdującym się w naszej sieci. Ovh musi chronić swoich klientów. Testy alfa i beta zostały wykonane przez naszych klientów, którzy mają konkurencję w sieciach naszej konkurencji. Mogliśmy w ten sposób sprawdzić moc i czas rezultatu clouDead. Oferta clouDead składa się z 2 usług: clouDoS i cloudHoover. Korzystając z usługi clouDos wystarczy 3 razy kliknąć, aby rozpocząć atak na stronę konkurencyjnej firmy i sprawić, any strona była niedostępna. Osoby odwiedzające tą stronę nie będą widzieć oferty. Jak rozpocząć atak korzystając z clouDos? Etap 1: Wybór strony: wpisujesz IP strony konkurencji (nie może być w Ovh). Etap 2: Wybór rodzaju ataku spośród SYN flood, UDP flooding, packet fragment i smurfing z opcją spoof lub bez. Możesz włączyć opcję "FIRE", która generuje specjalne pakiety IP poruszające się 2 razy szybciej niż prędkość światła. W rezultacie temperatura światłowodów rośnie i po kilku minutach ataku światłowód zaczyna się palić. W sieci konkurencji następuje awaria i serwerownia płonie. Aby się zabezpieczyć Ovh wprowadziło chłodzenie swoich światłowodów cieczą w naszych serwerowniach i sieci w ca Czytaj dalej...

Opublikowano:

poważne problemy z aktywacją SSL

Witam, Ovh proponuje certyfikaty SSL Comodo. Wykonano atak na jednego z resellerów Comodo (IT ?). Hakerzy wygenerowali certyfikaty SSL dla domen takich jak google.com (mail.google.com ?). Certyfikaty zostały wycofane, ale w tej chwili Comodo chce zmienić procedurę dostarczania certyfikatów. Comodo chce sprawdzać ręcznie każdy certyfikat na poziomie 1 i 2. To szaleństwo! Oznacza to, że możemy zapomnieć o aktywacji certyfikatu SSL w 5 minut. Klient otrzyma dodatkowo bezpośrednio od Comodo email dotyczący potwierdzenia aktywacji. To zmienia wiele procedur, które wprowadziliśmy dla usługi SSL, zwłaszcza dla serwerów wirtualnych i Exchange. Będziemy musieli dostosować nasze procedury…. Zastanowimy się również nad ewentualnym wstrzymaniem sprzedaży certyfikatów SSL. Nie jest to usługa, która przynosi dużo zysków. Nawet jeśli proponujemy darmowe certyfikaty, nie cieszą się one dużym zainteresowaniem. Będziemy nadal udostępniać SSL w przypadku kompletnych usług, takich jak na przykład Exchange. Odpowiedź: jutro. Pozdrawiam Octave Czytaj dalej...

Opublikowano:

ochrona przed atakami spoof

Witam, Ulepszyliśmy zabezpieczenia przeciwko atakom na naszą sieć, zwłaszcza przeciwko atakom spoof za pomocą naszych IP ale wykonywanych z internetu. Od teraz ten typ ataku jest zablokowany. Rozwiązuje to problem anti-hack około 300 klientów z piątku. Wszystkie te serwery działają już prawidłowo. Przepraszamy za problem. Pozdrawiam Octave Więcej informacji: http://prace.ovh.pl/?do=details&id=13137 —————————————————————– Klient IT (haker) zamówił 15 serwerów. Niektóre z nich używał do wykonywania ataków i skanów. Klika razy jego serwery zostały umieszczone w trybie rescue, w celu ochrony sieci. Do tej pory nic się nie działo. Jeden z serwerów 94.23.4.70 został wykorzystywany do ataków. Uruchomiliśmy zabezpieczenia, aby zablokować atak. Nadal nic się nie działo. Zabezpieczenia działały prawidłowo. Hakerzy wykorzystali więc atak spoof z Internetu ale z IP Ovh. Był to sposób na obejście zabezpieczeń i automatycznych limitów przepustowości. Uruchamiając spoof w sposób masowy, hakerzy wykonali atak przez sieć Ovh do IP 94.23.4.70:80. Atak 500Mbps został wykonany w piątek 25 około 20:00. Ovh analizuje ruch wewnętrzny w sieci, rozpoznaje atak i blokuje ataki. Rozpoznaliśmy, że około 300 serwerów w Ovh wykonało atak na 94.23.4.70. Zostały one uruchomione w trybie rescue. W nocy przywróciliśmy serwer do normalnego trybu (był to fałszywy alarm). Aby uniknąć tego typu błędów, uruchomiliśmy dodatkowe zabezpieczenia dla ruchu wchodzącego do naszej sieci z internetu. Nie można już wysyłać nam pakietów z IP źródłowych, które są w Ovh. Jest to zablokowane. Problem jest więc rozwiązany. Przepraszamy za zaistn Czytaj dalej...

Opublikowano:

Kiedy OVH zablokuje mi serwer?

Witam, naczytałem się o przypadkach w których OVH blokowało serwery z różnych powodów. Chciałbym poznać wzorce postępowania. Oto przypadki które mnie interesują: 1. Chciałbym dowiedzieć się czy jeśli będę wysyłał co godzina parę tysięcy e-maili serwer zostanie uznany za rozsyłający spam (faktycznie byłaby to usługa rss->mail świadczona dla wielu userów)? 2. Czy jeśli ktoś zacznie atakować mój serwer np przeprowadzać DoS, ostatecznie DDoS to czy zostane wyłączony (w moim przypadku wolałbym przeczekać atak z serwerem online i stracić pare TB transferu)? 3. Czy, mogę słać dane pełną rurą przez długi czas? (dla ciekawych jest to sytuacja która wystąpi kiedy klaster będzie balansował/synchronizował dane więc do przesłania może być nawet sporadycznie 3TB pełną rurą) 4. Czytałem temat http://forum.ovh.pl/showthread.php?t=9937 w którym ovh przejęło logi. Czy te "przejmowanie logów" (inaczej grzebanie po dysku?) jest wykonywane bez mojej zgody? Rozumiem że jeśli ktoś będzie chciał mi zdjąć serwer (przy pomocy OVH) to wystarczy coś w rodzaju DoS na port SSH? Dzięki Czytaj dalej...

Opublikowano:

Pula adresów chronionych

Witam, Czy posiada ktoś jakąś wiedzę na temat puli adresów chronionych w ovh? Adres serwera jest do niej automatycznie dodawany gdy następuje duży atak, który zagraża sieci OVH. Również można zgłosić swój serwer by został dodany ręcznie. Ten zabieg ma na celu filtrowanie połączeń z serwerem. Podobno może wpłynąć na utrudnienia w usługach. Ale jakim stoniu? Na stronie pomocy OVH brak informacji na ten temat. Czytaj dalej...

Opublikowano:

Spam z domen *.br

Od jakiegos czasu mam momentami zmasowany atak spamerow z domen brazylijskich. Juz naprawde nie wiem jak mam sie przed tym zabiezpieczyc. Czasem dochodzi do tego, ze na serwerze odpalonych jest ponad 600 procesow z czego wiekszosc to procesy postfixa. Domeny sa rozne, ale laczy ich wlasnie koncowka .br. Chetnie bym wycial w cholere cala brazylie tylko pytanie jak? iptables nie kuma wildcardow i podobnie czarna lista z Pleska. Tych domeny jest setki i nie sposob wszystkie dopisac. Bede bardzo wdzieczny za podrzucenie jakiegos rozwiazania problemu. Czytaj dalej...

Opublikowano:

Blokowanie ruchu z części świata

Czy stosujecie u siebie firewalle z blokowaniem jakiś rejonów świata ? Niejednokrotnie zdarza się, że jakiś atak leci np. z Turcji i dochodzę do wniosku, że nie interesują mnie tak naprawdę żadne odwiedziny z takich rejonów. Podobnie jakieś Chiny i inne dziwne miejsca. Znajomy był przykładowo w Tunezji i chciał zajrzeć na pewne, duże polskie fora i mu nie otwierało ich – jak nic mają wyblokowane te adresy IP. Może jest gdzieś z grubsza opracowana lista adresów IP krajów ? kontynentów ? M Czytaj dalej...