Skocz do zawartości
IceManSpy

Atak z mojego serwera na inny

Polecane posty

Cześć

 

Posiadam serwer Kimsufi w OVH. Zainstalowany mam na nim Proxmox oraz ustawione kilka maszyn.

Dzisiaj dostałem maila, że znowu mój serwer jest w trybie Antihack.

Okazuje się, że to ja atakuje czyjś serwer (fragment z maila).

2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:57058    183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:29106    183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:43524    183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:47314    183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:12505    183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:46947    183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:59879    183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:45811    183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:63895    183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:6068     183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:8988     183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       
2015.05.14 19:16:30 CEST   IP_MOJEGO_SERWERA:9348     183.60.110.239:80       TCP      SYN           848 ATTACK:TCP_SYN       

Czy ktoś mógłby mi podpowiedzieć jak przed czymś takim się bronić ?

Hasła do roota są długie i skomplikowane. Fail2ban zainstalowane.

Co mogłem zrobić źle ?

 

Kiedyś miałem podobną sytuację, ale mogłem to zwalić na słabe hasła - wtedy się bawiłem. A teraz... ?

Napisałem do OVH, może coś mi odpowiedzą, lecz liczę na radę ze strony forumowiczów.

 

 

Na innych Kimsufi nie mam tego problemu - postawione tam są Debiany.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie mogę już edytować postu.

 

Dodam, że przeglądając logi czy wykresy z munina to atak raczej nie odbywał się przez SSH. Więc w jaki sposób coś takiego mogło się stać ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jakiś syfek wleciał np przez Wordpressa czy inną aplikacje z dziurami.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Właśnie w tym problem, że tam takich aplikacji nie mam. Nie mam zainstalowanego WP.

 

Skopiowałem katalog z logami. Gdzie mogę tam szukać jakiś poszlak ?

 

Już 3. raz miałem podobną sytuację (tylko inne IP) i trochę zaczyna mnie to martwić i stresować.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Powodów może być tysiąc... i niekoniecznie musi być to zarażenie przez WWW.

Trzeba wszystko przejrzeć ;)

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×