poppe 13 Zgłoś post Napisano Wrzesień 7, 2009 Mam serwer dedykowany za granica, dzis mi go zablokowali poniewaz byl atak. Chcialem sie dowiedziec czy jest mozliwe abym sam sie przed nim uchronil tylko jak? Mam apache zainstalowane, linuxa 4, serwer to xeon. edit: przyslali mi taki log: LOG: MAIN <= vzmaild@df-ms-l1.server4you.de U=vzmaild P=local S=16042 \ id=kpm9re.i0yket@df-ms-l1.server4you.de delivering 1MkkE2-0007mH-Ej Connecting to mx3.go2.pl [193.17.41.214]:25 from 85.25.38.20 ... connected SMTP<< 220 mx3.go2.pl ESMTP Welcome SMTP>> EHLO df-ms-l1.server4you.de SMTP<< 250-mx3.go2.pl 250-SIZE 150000000 250 8BITMIME SMTP>> MAIL FROM:<vzmaild@df-ms-l1.server4you.de> SIZE=17385 SMTP<< 250 Ok SMTP>> RCPT TO:<MOJMEILTUTA> SMTP<< 250 Ok SMTP>> DATA SMTP<< 354 end with <CRLF>.<CRLF> SMTP>> writing message and terminating "." SMTP<< 250 OK queued as rvdQXW SMTP>> QUIT LOG: MAIN => MOJMEILTUTAJ R=dnslookup T=remote_smtp H=mx3.go2.pl [193.17.41.214] LOG: MAIN Completed Udostępnij ten post Link to postu Udostępnij na innych stronach
m.p 0 Zgłoś post Napisano Wrzesień 7, 2009 jeśli atak był z serwera (trochę dziwne aby blokowali jeśli ktoś Ciebie ddosuje), zapewne to wina jakiegoś dziurawego oprogramowania (np joomla albo inne). linux 4 - ? Udostępnij ten post Link to postu Udostępnij na innych stronach
poppe 13 Zgłoś post Napisano Wrzesień 7, 2009 Tzn ze na moim serwerze cos bylo wlaczone co atakowalo? to nie byl atak z zewnatrz? tutaj nie widze w tym logu ip mojego serwera debian 4.0 Udostępnij ten post Link to postu Udostępnij na innych stronach
m.p 0 Zgłoś post Napisano Wrzesień 7, 2009 Tzn ze na moim serwerze cos bylo wlaczone co atakowalo? to nie byl atak z zewnatrz? a dostałeś komunikat od isp, że to z Twojego serwera zaatakowano czy to Twój serwer zaatakowano? Udostępnij ten post Link to postu Udostępnij na innych stronach
poppe 13 Zgłoś post Napisano Wrzesień 7, 2009 a dostałeś komunikat od isp, że to z Twojego serwera zaatakowano czy to Twój serwer zaatakowano? Dostalem tylko od serwerowni ten log, wiec co on znaczy dokladnie? Udostępnij ten post Link to postu Udostępnij na innych stronach
Miłosz 2311 Zgłoś post Napisano Wrzesień 7, 2009 Connecting to mx3.go2.pl [193.17.41.214]:25 from 85.25.38.20 ... connected SMTP SMTP>> EHLO df-ms-l1.server4you.de SMTP 250-SIZE 150000000 250 8BITMIME SMTP>> MAIL FROM: SIZE=17385 wygląda na wychodzący z twojego serwera Udostępnij ten post Link to postu Udostępnij na innych stronach
poppe 13 Zgłoś post Napisano Wrzesień 7, 2009 A to: "Connecting to mx3.go2.pl [193.17.41.214]:25 from 85.25.38.20 ... connected" A patrzylem w whoip to te ip 85.25.38.20 = df-ms-l1.server4you.de, tak jak by jakis serwer dedykowany z ich serwerowni atakowal moj? Bo co to jest? To nie jest ip mojego serwera ... Udostępnij ten post Link to postu Udostępnij na innych stronach
Miłosz 2311 Zgłoś post Napisano Wrzesień 7, 2009 niewykluczone, masz jakiegoś open relaya u siebie? Udostępnij ten post Link to postu Udostępnij na innych stronach
poppe 13 Zgłoś post Napisano Wrzesień 7, 2009 Nie raczej, mam tylko apache wgrane, a tam stronke. serwer sluzy jako serwer do gier sieciowych. czyli stoi ich software tam. Udostępnij ten post Link to postu Udostępnij na innych stronach
www.follownet.pl 8 Zgłoś post Napisano Wrzesień 8, 2009 Nie raczej, mam tylko apache wgrane, a tam stronke. Ale to debian, ma defaultowo exima, logi również wyglądają jak eximowe. Lepiej zobacz co siedzi w kolejce serwera pocztowego i ustal jak to się tam znalazło. Udostępnij ten post Link to postu Udostępnij na innych stronach
Miłosz 2311 Zgłoś post Napisano Wrzesień 8, 2009 może masz gdzieś dziure w swojej aplikacji php i ktoś wykorzystał ją do spamowania Udostępnij ten post Link to postu Udostępnij na innych stronach