IceManSpy 4 Zgłoś post Napisano Maj 14, 2015 Cześć Posiadam serwer Kimsufi w OVH. Zainstalowany mam na nim Proxmox oraz ustawione kilka maszyn. Dzisiaj dostałem maila, że znowu mój serwer jest w trybie Antihack. Okazuje się, że to ja atakuje czyjś serwer (fragment z maila). 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:57058 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:29106 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:43524 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:47314 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:12505 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:46947 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:59879 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:45811 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:63895 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:6068 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:8988 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN 2015.05.14 19:16:30 CEST IP_MOJEGO_SERWERA:9348 183.60.110.239:80 TCP SYN 848 ATTACK:TCP_SYN Czy ktoś mógłby mi podpowiedzieć jak przed czymś takim się bronić ? Hasła do roota są długie i skomplikowane. Fail2ban zainstalowane. Co mogłem zrobić źle ? Kiedyś miałem podobną sytuację, ale mogłem to zwalić na słabe hasła - wtedy się bawiłem. A teraz... ? Napisałem do OVH, może coś mi odpowiedzą, lecz liczę na radę ze strony forumowiczów. Na innych Kimsufi nie mam tego problemu - postawione tam są Debiany. Udostępnij ten post Link to postu Udostępnij na innych stronach
IceManSpy 4 Zgłoś post Napisano Maj 15, 2015 Nie mogę już edytować postu. Dodam, że przeglądając logi czy wykresy z munina to atak raczej nie odbywał się przez SSH. Więc w jaki sposób coś takiego mogło się stać ? Udostępnij ten post Link to postu Udostępnij na innych stronach
Miłosz 2311 Zgłoś post Napisano Maj 15, 2015 Jakiś syfek wleciał np przez Wordpressa czy inną aplikacje z dziurami. Udostępnij ten post Link to postu Udostępnij na innych stronach
IceManSpy 4 Zgłoś post Napisano Maj 15, 2015 Właśnie w tym problem, że tam takich aplikacji nie mam. Nie mam zainstalowanego WP. Skopiowałem katalog z logami. Gdzie mogę tam szukać jakiś poszlak ? Już 3. raz miałem podobną sytuację (tylko inne IP) i trochę zaczyna mnie to martwić i stresować. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Maj 16, 2015 Powodów może być tysiąc... i niekoniecznie musi być to zarażenie przez WWW. Trzeba wszystko przejrzeć Udostępnij ten post Link to postu Udostępnij na innych stronach
