OVH Anti-hack

C1
На сайте с 26.07.2015
Offline
30
411

Всем привет

Ovh прислали письмо следующего содержания

Dear Customer,

The IP address x.x.x.x had to be blocked by our services due to

the various alerts received.

Please don't hesitate to contact our technical support team so that this situation does not become critical.

You can find the logs brought up by our system which lead to this alert.

- START OF ADDITIONAL INFO -

Attack detail : 12Kpps/8Mbps

dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason

2019.08.17 13:49:03 CEST x.x.x.x:49849 103.99.51.25:80 TCP SYN 16384 1081344 ATTACK:TCP_SYN

2019.08.17 13:49:03 CEST x.x.x.x:53184 103.99.51.25:80 TCP SYN 16384 1081344 ATTACK:TCP_SYN

-

-

-

-

-

2019.08.17 13:49:03 CEST x.x.x.x:542 103.99.51.25:80 TCP SYN 16384 1081344 ATTACK:TCP_SYN

ну и заблокировали ай пи

На этом ай пи, заблокированном лежал один сайт на вордпресс

после блокировки другие сайты по серверу показали аномальный подъем по трафику на 30% сразу же

что было сделано для исправления ситуации - куплен новый ай пи и перенесен на него сайт, изменены пароли админки, обновлены плагины.

Хочется услышать мнение знатоков:

что это вообще за вирусная атака?

как обезопасить себя от подобных атак?

почему соседние сайты показали рост траффика после блокировки этого ай пи?

lealhost
На сайте с 07.06.2014
Offline
117
#1
cazanova1771:

что это вообще за вирусная атака?

как обезопасить себя от подобных атак?

почему соседние сайты показали рост траффика после блокировки этого ай пи?

Ваш сервер атаковал сервер по адресу 103.99.51.25.

Произошла автоматическая блокировка IP.

Если Вы уверены, что теперь все в порядке, IP-адрес можно разблокировать из панели управления OVH.

как обезопасить себя от подобных атак?

Блокировка исходящих соединений с помощью Firewall, ограничение количества исходящих запросов, мониторинг активности (логирование iptables). Ну, и конечно же, нужно искать с помощью какой уязвимости производили атаку, сайты также можно проверить с помощью AI-Bolit ( https://revisium.com/ai/ ) и Maldetect ( https://www.rfxn.com/projects/linux-malware-detect/ )

Если заблокированный IP-адрес является основным для сервера (не Failover IP), то нужно проверять все сайты, по умолчанию исходящие соединения идут от основного IP на eth0.

Хостинг на SSD с Memcached от 60 рублей https://lealhost.com/

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий