שלחו לי דוח נסיון פריצה לשרת

3 פינות · 15/7/15

קיבלתי עכשיו הודעה מOVH

You will find the logs brought up by our system below, which led to this alert.

- START OF ADDITIONAL INFORMATION -

Attack detail : 7Kpps/5Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2015.07.15 19:56:15 CEST 167.114.2.134:21515 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:54865 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:35928 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:64987 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:45963 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:63657 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:14012 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:16012 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:37235 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:31801 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:22211 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:29156 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:4450 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:32771 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:49164 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:53097 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:30560 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:42526 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:2573 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:33996 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN

- END OF ADDITIONAL INFORMATION -

OVH Customer Support.
Regards,

מה זה אומר, משהו מטריד?
(בבקשה לא לצטט את ההודעה כי אני הולך למחוק אותה)

chaim1989 · 15/7/15

יש לך אצלם פירוול או משהו?

3 פינות · 15/7/15

אין לי מושג, שרת שקניתי אתמול (vps classic) היתקנתי אובונטו, עידכנתי אותו ל14, והוספתי לו שרת וכל השאר דרך התקנת webuzo.

מהנוסח של ההודעה זה נראה שזה פיירוול, השאלה אם זה משהו סטנדרטי הדו"ח הזה?

3 פינות · 16/7/15

אני עכשיו בודק על השרת ואני רואה שביטלו לי אותו בכלל, תראו תמונה:

chaim1989 · 16/7/15

דבר ראשון לא כ"כ הגיוני שביטלו לך אותו סתם, דבר שני מוזר אני מחזיק המון ציוד אצלם ומעולם לא קיבלתי דוחות על התקפות על חלק מן הציוד יש לי חומת אש ועל חלק לא ומעולם לא קיבלתי מהם דוחות,
תעלה גם תחילת המייל שקיבלת אולי נבין מה על מה בדיוק ההתראה

3 פינות · 16/7/15

היתקשרתי אליהם ואמרו לי שחסמו אותו בגלל הפעילות שכתבו לי במייל, ואם אני רוצה אני יכול לשלוח בקשה ל https://abuse.ovh.net/ והם יחליטו אם לפתוח לי או לו, הוא טוען (הנציג) שהם כתבו לי את זה בהודעה. (לא שמתי לב כשקראתי בפעם הראשונה, הוא צדק.) בכל מקרה הנה הנוסח המלא:

Dear Customer,

Abnormal activity has been detected on your VPS vps48861.vps.ovh.ca.

As this constitutes a breach of contract, your virtual server vps48861.vps.ovh.ca
has been blocked.

You will find the logs brought up by our system below, which led to this alert.

- START OF ADDITIONAL INFORMATION -

Attack detail : 7Kpps/5Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2015.07.15 19:56:15 CEST 167.114.2.134:21515 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:54865 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:35928 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:64987 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:45963 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:63657 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:14012 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:16012 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:37235 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:31801 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:22211 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:29156 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:4450 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:32771 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:49164 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:53097 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:30560 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:42526 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:2573 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN
2015.07.15 19:56:15 CEST 167.114.2.134:33996 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN

- END OF ADDITIONAL INFORMATION -

OVH Customer Support.
Regards,

Support OVH
Phone: 1-855-OVH-LINE (684-5463)
Email: <לא ניתן לפרסם מיילים באופן פומבי>

אני לא מבין מה קרה לשרת, כמו שכתבתי הדבר היחיד שעשיתי אחרי שהיתקנתי אובונטו זה להתקין webuzo ולעדכן שמה לPHP 5.5 (התוכנה הזאת מתקינה לבד את השרת אפאצי וכ"ו)
יכול להיות שwebuzo זה בעצם וירוס?
http://www.webuzo.com/
מה אני עושה עכשיו?
ניסיון מאוד לא מוצלח בשביל היום הראשון איתם!

chaim1989 · 16/7/15

אתה בטוח שזה דוח נסיון פריצה נראה יותר שהאתר שלך התקיף וזה גם מסביר למה הם סגרו לך את הvps

3 פינות · 16/7/15

שלחתי להם עכשיו את ההודעה הזאת:

I just installed my server yesterday, i installed ubuntu 12, updated it to 14, and installed webuzo (http://www.webuzo.com/) for installing apache PHP etc.
I didn't install nothing else on the server (including no wordpress or so) and have no clue what happened,
the time my server was problematic I wasn't connected to server and even didn't have any access to the internet.
it's not a goot experience for my first day on OVH

here is my log that I got on the email:

Attack detail : 7Kpps/5Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2015.07.15 19:56:15 CEST 167.114.2.134:21515 167.114.208.15:80 TCP SYN 848 ATTACK:TCP_SYN

ודרך אגב יש למישהו ניסיון עם webuzo?

שמואל גרינשטיין · 16/7/15

קשור?!

http://www.prog.co.il/showthread.php?t=217501

_

chaim1989 · 16/7/15

פשוט תקנה אחד חדש חבל על הזמןם לא התקנת כלום במקום להתחנן תקנה חדש, בכל מקרה כדאי לשים לפחות iptables (וכמובן להשאיר את עצמך פתוח ) גם אם השרת חדש כנראה שפרצו לך כי הכל היה פתוח שלא נדבר על סיסמה עם חוזק סביר

3 פינות · 16/7/15

הסיסמא הייתה123456 ושם משתמש root אם איזה בוט ניסה אותה......
ולשמואל גרינשטיין זה לא קשור עדיין, (כמו שכתבתי השרת היה ריק, תיכננתי להשתמש בו בשביל זה)
ואין לי מושג עדיין מה זה iptables

chaim1989 · 16/7/15

iptables זה חומת אש של לינוקס פשוטה וקלה הייתי ממליץ להתקין ממשק webmin כדי לתפעל אותה, מה שכן אתה חייב לזכור להשאיר לעצמך פתח אם אתה רוצה עזרה בלינוקס אשמח לתת לך בפרטי, אתה צריך להבין שיש עשרות אלפי בוטים שפשוט חורשים כתובות איפי ומנסים סיסמאות אני חווה התקפות כאלו מידי יום אבל בשביל זה יש כלים קלים לתפעול ולהתקנה שחוסמים אותם ו\או לא נותנים להם גישה מראש,

3 פינות · 16/7/15

כשאני חושב על זה אני פשוט מסמיק

מזה שלא חשבתי שבוטים ינסו להיכנס כרוט ו123456 , ובמיוחד שזה IP שנמצא בטווח של OVH שזה ברור שזה שרת.

נכתב ע"י chaim1989;1699631:
iptables זה חומת אש של לינוקס פשוטה וקלה הייתי ממליץ להתקין ממשק webmin כדי לתפעל אותה, מה שכן אתה חייב לזכור להשאיר לעצמך פתח אם אתה רוצה עזרה בלינוקס אשמח לתת לך בפרטי, אתה צריך להבין שיש עשרות אלפי בוטים שפשוט חורשים כתובות איפי ומנסים סיסמאות אני חווה התקפות כאלו מידי יום אבל בשביל זה יש כלים קלים לתפעול ולהתקנה שחוסמים אותם ו\או לא נותנים להם גישה מראש,

אני אשמח, אני אשלח לך הודעה מחר כשאני יותר עירני.

Shia · 16/7/15

נכתב ע"י 3 פינות;1699625:
הסיסמא הייתה123456 ושם משתמש root

....

3 פינות · 17/7/15

הירמתי ידיים וקיבלתי את ההצעה של חיים זה
בפעם הזאת אני יהיה יותר חכם וישים סיסמא קשה, או IPTABLES כשאני יבין איך זה עובד.
סך הכל 3 דולר כי היזמנתי רק לחודש.

Shia · 17/7/15

אם היית מזמין בDO היית מקבל שירות יותר טוב וגם לא היית משלם 3 דולר כי שם משלמים לפי השימוש בפועל.

3 פינות · 17/7/15

עכשיו היתקנתי את הממשק שלהם OVH3
והוא כולל תוסף אבטחה fail2ban
עכשיו קיבלתי מהתוסף הודעה על חסימת בוט שכוללת אוטומטית את המידע אודותיו זה:

Hi,

The IP 182.100.67.102 has just been banned by Fail2Ban after
5 attempts against SSH.

Here is more information about 182.100.67.102:

[Querying whois.arin.net]
[Redirected to whois.apnic.net]
[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/<wbr>dbcopyright.html

% Information related to '182.96.0.0 - 182.111.255.255'

inetnum: 182.96.0.0 - 182.111.255.255
netname: CHINANET-JX
descr: CHINANET JIANGXI PROVINCE NETWORK
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: XY1-AP
tech-c: WZ1-CN
status: ALLOCATED PORTABLE
notify: <לא ניתן לפרסם מיילים באופן פומבי>
remarks: service provider
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-<wbr>+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-<wbr>+-+-+-+-+-+-+-+-+-+-+-+
changed: <לא ניתן לפרסם מיילים באופן פומבי> 20100302
mnt-by: APNIC-HM
mnt-lower: MAINT-IP-WWF
mnt-routes: MAINT-IP-WWF
source: APNIC

person: Wanshu Zhou
address: Data Communication Bureau MPT
address: 40 Xueyuan Rd.
address: Beijing China 100083
country: CN
phone: +86-10-205-3992
fax-no: +86-10-205-3994
e-mail: <לא ניתן לפרסם מיילים באופן פומבי>
nic-hdl: WZ1-CN
notify: <לא ניתן לפרסם מיילים באופן פומבי>
notify: <לא ניתן לפרסם מיילים באופן פומבי>
mnt-by: MAINT-NULL
changed: <לא ניתן לפרסם מיילים באופן פומבי> 19960115
source: APNIC
changed: <לא ניתן לפרסם מיילים באופן פומבי> 20111122

person: Xu Yongzhong
address: Data Communication Bireau
address: Ministry of Posts and Telecommunications
address: A12 Xin-jie-kou-wai Street
address: Beijing 100088
country: CN
phone: +86-10-62053991
fax-no: +86-10-62053995
e-mail: <לא ניתן לפרסם מיילים באופן פומבי>
nic-hdl: XY1-AP
mnt-by: MAINT-NULL
changed: <לא ניתן לפרסם מיילים באופן פומבי> 19960319
source: APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (UNDEFINED)

Regards,

Fail2Ban

mat · 17/7/15

ברור שזה בגלל הסיסמה ב ssh. כל שרתים שלי כל הזמן מקבלים נסיונות.
רואים את זה בלוג.
הם מנסים כל שניה סיסמה אחרת.

כנראה פרצו לך לשרת והשתמשו בזה למשהו לא חוקי.

3 פינות · 20/7/15

רק עכשיו אני מיתרגל לשורת פקודה, וזה פשוט עובד כמו שצריך, אני עכשיו מעביר גיבוי של אתר 1.5 גיגה, אז במקום להוריד ולהעלות אז פקודה אחת של WGET וסיימתי, זה פשוט תענוג.