0
Kayıt Ol

OVH Makinemi Kapadı

18

2.041

  • 12-02-2013, 21:03:33
    #1
    qpaylas
    qpaylas
    Merhaba ; Az önce OVH makinemi kapamış. Sebebi makineden saldırı yapılmış.. Söyledikleri ip adresinde site bile yok. Boş şekilde duruyordu. Makinede 2 tane web sitem var. Saldırı nasıl yapılır onu bile bilmem. Makine şifrelerinide tek ben biliyorum. OVH panelindede makine zamanı doldu şeklinde çıkıyor. Ödemeyi 1 ay önceye çekip ödeme yapmamışım gibi gözüküyor.

    Daha önce başına gelen var mı böyle birşey ?

    Your server has been discovered that using making large UDP Attacks (5.135.x.xx).Therefore, we have to suspend your server until you have solved this.
    Please contact to legal@ovh.co.uk about the re-activation.
  • 12-02-2013, 21:11:35
    #2
    Elazığlı168
    Elazığlı168
    sunucuoptimizasyon.com
    Bazı udp tipi saldırılarda sunucuya giren spoof edilmiş iplere atak anında sunucunun karşılık vermesi gibi bir süreç yaşanabiliyor, hem sunucu spoof edilmiş iplerden gelen atakla olumsuz etkileniyor hemde bu olmayan ip adreslerine syn-sent cevabı vermeye çalışıldığında dışarı doğru yüksek hat kullanımı olabiliyor bu da saldırı çıkıyormuş gibi anlaşılabiliyor. Ama siz yinede scriptlerinize göz atın, sunucu şifrelerinden eminseniz sitelerinizi bir kontrol edin saldırı yapmaya yarayan exploit tarzı dosyalar atılmış olabilir, maldet ile tarama yapabilirsiniz.
  • 12-02-2013, 21:21:09
    #3
    qpaylas
    qpaylas
    Elazığlı168 adlı üyeden alıntı: mesajı görüntüle
    Bazı udp tipi saldırılarda sunucuya giren spoof edilmiş iplere karşılık vermesi gibi bir süreç yaşanabiliyor, hem sunucu spoof edilmiş iplerden gelen atakla olumsuz etkileniyor hemde bu olmayan ip adreslerine syn-sent cevabı vermeye çalıştığında dışarı doğru yüksek hat kullanımı olabiliyor bu da saldırı çıkıyormuş gibi anlaşılabiliyor. Ama siz yinede scriptlerinize göz atın, sunucu şifrelerinden eminseniz sitelerinizi bir kontrol edin saldırı yapmaya yarayan exploit tarzı dosyalar atılmış olabilir, maldet ile tarama yapabilirsiniz.
    OVH den aldığım ekstra iplerin hiç birini hiç bir sitem kullanmıyordu. Zaten 2 site vardı içinde onlarda ana ip adresini kullanıyordu. Biri script atması için o ip adresini bir sitemin kullanması gerekmiyormu ?

    Birde Makineyi açmaları sizce ne kadar sürer ? Telefon ettim gece çalışmıyormuş legal kısmı.
  • 12-02-2013, 21:24:07
    #4
    Elazığlı168
    Elazığlı168
    sunucuoptimizasyon.com
    Açacaklarını sanmıyorum, saldırı gelseydi kademeli nullroute esasına göre 1-2-4-8 saat diye giderdi ama saldırı çıktığında pek tavizleri yok, hatta sunucuyu formatlattırmadan açtırmayabilirlerde, şansını deneyip bekleyin.
  • 12-02-2013, 21:27:47
    #5
    qpaylas
    qpaylas
    Elazığlı168 adlı üyeden alıntı: mesajı görüntüle
    Açacaklarını sanmıyorum, saldırı gelseydi kademeli nullroute esasına göre 1-2-4-8 saat diye giderdi ama saldırı çıktığında pek tavizleri yok, hatta sunucuyu formatlattırmadan açtırmayabilirlerde, şansını deneyip bekleyin.
    FW var zaten sunucuda oradada saldırı gözükmüyor. Hayatımda nasıl saldırı yapılır onu bile bilmem Full yedek aldım makinenin ama format vs olucaksa çok sıkıntı olur. Bütün herşeyi kurmak baya sıkıntı.

    İlginç bir olayda attıkları emaildeki servislerde hata var. Plesk lisans gözüküyor. Benim hiç bir zaman plesk lisansım olmadı. Aceba 2 ay önce biri bu ipler üzerinden bir işlem yaptı sonradan ben alınca olay banamı kaldı.
  • 12-02-2013, 21:39:21
    #6
    Elazığlı168
    Elazığlı168
    sunucuoptimizasyon.com
    qpaylas adlı üyeden alıntı: mesajı görüntüle
    FW var zaten sunucuda oradada saldırı gözükmüyor. Hayatımda nasıl saldırı yapılır onu bile bilmem Full yedek aldım makinenin ama format vs olucaksa çok sıkıntı olur. Bütün herşeyi kurmak baya sıkıntı.

    İlginç bir olayda attıkları emaildeki servislerde hata var. Plesk lisans gözüküyor. Benim hiç bir zaman plesk lisansım olmadı. Aceba 2 ay önce biri bu ipler üzerinden bir işlem yaptı sonradan ben alınca olay banamı kaldı.
    Ovh deki firewallın sadece adı firewall, udp-icmp hedefli yüksek bir saldırı geldiğinde firewall bypass moduna geçer bir işe yaramaz, o firewall ile sadece basit ddos programlarıyla yapılan saldırıları panelden uzaklaştırırsınız, hat hedefli saldırılarda çözüm üretmez, zaten yönetimsiz firewall yazılmış bir kural yok, kural yazılsa bile o tip saldırıları filtre edecek konfigürasyonda değil.
  • 12-02-2013, 23:09:05
    #7
    kernelheaders
    kernelheaders
    Elazığlı168 adlı üyeden alıntı: mesajı görüntüle
    Bazı udp tipi saldırılarda sunucuya giren spoof edilmiş iplere atak anında sunucunun karşılık vermesi gibi bir süreç yaşanabiliyor, hem sunucu spoof edilmiş iplerden gelen atakla olumsuz etkileniyor hemde bu olmayan ip adreslerine syn-sent cevabı vermeye çalışıldığında dışarı doğru yüksek hat kullanımı olabiliyor bu da saldırı çıkıyormuş gibi anlaşılabiliyor. Ama siz yinede scriptlerinize göz atın, sunucu şifrelerinden eminseniz sitelerinizi bir kontrol edin saldırı yapmaya yarayan exploit tarzı dosyalar atılmış olabilir, maldet ile tarama yapabilirsiniz.
    UDP yapısı gereği handshake gerektirmeyen bir protokol , o nedenle örneğinizin geçerli olması için saldırı tipinin TCP olması gerekir
  • 12-02-2013, 23:10:09
    #8
    Elazığlı168
    Elazığlı168
    sunucuoptimizasyon.com
    kernelheaders adlı üyeden alıntı: mesajı görüntüle
    UDP yapısı gereği handshake gerektirmeyen bir protoköl , o nedenle örneğinizin geçerli olması için saldırı tipinin TCP olması gerekir
    Düzeltmeniz için teşekkür ederim, saldırı tipinin tcp protokolü üzerinden gelme ihtimaline göre düşünebiliriz yazdıklarımı
  • 12-02-2013, 23:10:32
    #9
    qpaylas
    qpaylas
    kernelheaders adlı üyeden alıntı: mesajı görüntüle
    UDP yapısı gereği handshake gerektirmeyen bir protokol , o nedenle örneğinizin geçerli olması için saldırı tipinin TCP olması gerekir
    Sabah anlıycaz. Zaten bende Plesk panel yok. Plesk lisans diyor bana. Bir hata var sanırım.