banan47 0 Zgłoś post Napisano Kwiecień 15, 2016 (edytowany) Witam, chciałbym poznać Wasze reakcje tj. właścicieli / administratorów hostingów na temat ataków DDoS wykonywanych poprzez klientów z VPS'ów dzierżawionych w Waszych firmach. Jak interweniujecie gdy zauważycie, że któryś z klientów używa serwer ewidentnie tylko do ataków DDoS na inne hosty? Bardzo proszę o merytoryczne wypowiedzi, jak postępujecie z takim klientem i wykupioną przez niego usługą. Pozdrawiam Edytowano Kwiecień 15, 2016 przez banan47 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Filip Nowacki Zgłoś post Napisano Kwiecień 15, 2016 W większości regulaminów jest wzmianka, że jeśli klient zagraża infrastrukturze DC to firma ma prawo wypowiedzieć umowę w trybie natychmiastowym Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Kwiecień 15, 2016 Raczej idzie od razu do kasacji VMka. Udostępnij ten post Link to postu Udostępnij na innych stronach
Desavil 88 Zgłoś post Napisano Kwiecień 15, 2016 Włączę się do dyskusji - jakieś narzędzia do automatyzacji wykrywania takiego ruchu wychodzącego? Udostępnij ten post Link to postu Udostępnij na innych stronach
banan47 0 Zgłoś post Napisano Kwiecień 15, 2016 (edytowany) Ja otrzymuje maila o zwiększonym poziomie load'u matki lub zgłoszenie AntiHack od OVH, natomiast dobrze to widać po wykorzystanym transferze wirtualki, np. od czasu zakupu minęło 2h, a wirtualka użyła już 500% transferu. Edytowano Kwiecień 15, 2016 przez banan47 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
behemoth 230 Zgłoś post Napisano Kwiecień 15, 2016 Desavil, np. Netflow Udostępnij ten post Link to postu Udostępnij na innych stronach
SchErk 16 Zgłoś post Napisano Kwiecień 15, 2016 A co jeżeli potem potencjalny klient (ten od ddosow z vps) po wykonaniu ataku jest potem jego odbiorcą? Jak radzicie sobie na takie sytuację? Czy osoba wcześniej poszkodowana uderza w dany adres IP vps? Zdarzają się ataki na routery brzegowe? Udostępnij ten post Link to postu Udostępnij na innych stronach
Desavil 88 Zgłoś post Napisano Kwiecień 15, 2016 Jest też druga strona medalu, klient może atakować coś nieświadomie, przez np. błędną konfigurację binda, ntp, dziury w skrypcie (Wordpress) czy czegokolwiek innego. Udostępnij ten post Link to postu Udostępnij na innych stronach
SchErk 16 Zgłoś post Napisano Kwiecień 15, 2016 Zapomnialem! Co jeżeli wlaściciel poda dane do vps osobie trzeciej, a właściciel nie będzie wiedział o wybrykach tej osoby. Co jeżeli będzie nieautoryzowane połączenie z vps? Udostępnij ten post Link to postu Udostępnij na innych stronach
Desavil 88 Zgłoś post Napisano Kwiecień 15, 2016 Zapomnialem! Co jeżeli wlaściciel poda dane do vps osobie trzeciej, a właściciel nie będzie wiedział o wybrykach tej osoby. Co jeżeli będzie nieautoryzowane połączenie z vps? Tutaj IMO odpowiada w 100% właściciel, chyba że sam znajdzie i przedstawi dowody, że to zrobiła osoba trzecia, której świadomie udostępnił dane. Udostępnij ten post Link to postu Udostępnij na innych stronach
SchErk 16 Zgłoś post Napisano Kwiecień 16, 2016 Tutaj IMO odpowiada w 100% właściciel, chyba że sam znajdzie i przedstawi dowody, że to zrobiła osoba trzecia, której świadomie udostępnił dane. Czyli firma nie sprawdza logów z połączeń? Dobrze wiedzieć i dziękuję za szybką odpowiedź Udostępnij ten post Link to postu Udostępnij na innych stronach
Miłosz 2311 Zgłoś post Napisano Kwiecień 16, 2016 Logów czego? Udostępnij ten post Link to postu Udostępnij na innych stronach
banan47 0 Zgłoś post Napisano Kwiecień 16, 2016 A co jeżeli potem potencjalny klient (ten od ddosow z vps) po wykonaniu ataku jest potem jego odbiorcą? Jak radzicie sobie na takie sytuację? Czy osoba wcześniej poszkodowana uderza w dany adres IP vps? Zdarzają się ataki na routery brzegowe? Zapomnialem! Co jeżeli wlaściciel poda dane do vps osobie trzeciej, a właściciel nie będzie wiedział o wybrykach tej osoby. Co jeżeli będzie nieautoryzowane połączenie z vps? Typowe tłumaczenie klienta w tej sytuacji. Swoją drogą podając dane osobie trzeciej, ponosi za jej postępowanie pełną odpowiedzialność. Jest też druga strona medalu, klient może atakować coś nieświadomie, przez np. błędną konfigurację binda, ntp, dziury w skrypcie (Wordpress) czy czegokolwiek innego. W swoim pytaniu napisałem, że ewidentnie używa serwera do tych celów, dokładniej chodzi mi o komendę ping z użyciem odpowiednich parametrów. Udostępnij ten post Link to postu Udostępnij na innych stronach
banan47 0 Zgłoś post Napisano Kwiecień 18, 2016 (edytowany) Naprawdę nikt więcej nie wypowie się w tej kwestii? Dziwi mnie to, ponieważ nie wierze, że nigdy nie mieliście do czynienia z taką sytuacją. Edytowano Kwiecień 18, 2016 przez banan47 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
lord101 18 Zgłoś post Napisano Kwiecień 18, 2016 Naprawdę nikt więcej nie wypowie się w tej kwestii? Dziwi mnie to, ponieważ nie wierze, że nigdy nie mieliście do czynienia z taką sytuacją. ale czego tutaj nie rozumiesz? Z serwera idzie atak, sprawdza się z jakich plików/aplikacji, blokuje się zawartość częściowo lub całkowicie. Wysyła się powiadomienie do klienta w celu wyjaśnienia sprawy. Jeśli to jakiś "błąd" lub wirus to usuwa się zagrożenie i serwer działa dalej. Gdy sytuacja powtarza się kilka razy sprawa wygląda już gorzej. Na pewno za samo użycie polecenia ping w ciągu kilku sekund nie dostaniesz żadnej blokady, ale gdy będzie to szło kilka minut czy nawet godzin i nawalało ogromnymi pakietami i wysycało całe łącze to ktoś zapewne to sprawdzi i poleci za taką komendę jakaś blokada. Większość firm hostingowych stosuje swoje monitoringi, więc wychwycić takie rzeczy przy większym obciążeniu nie jest trudno. Udostępnij ten post Link to postu Udostępnij na innych stronach
