Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 18.08.2019, 11:57   #1
Абитуриент
 
Регистрация: 26.07.2015
Сообщений: 2
Репутация: 10

По умолчанию OVH Anti-hack

Всем привет

Ovh прислали письмо следующего содержания

Dear Customer,

The IP address x.x.x.x had to be blocked by our services due to
the various alerts received.

Please don't hesitate to contact our technical support team so that this situation does not become critical.

You can find the logs brought up by our system which lead to this alert.

- START OF ADDITIONAL INFO -

Attack detail : 12Kpps/8Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason
2019.08.17 13:49:03 CEST x.x.x.x:49849 103.99.51.25:80 TCP SYN 16384 1081344 ATTACK:TCP_SYN
2019.08.17 13:49:03 CEST x.x.x.x:53184 103.99.51.25:80 TCP SYN 16384 1081344 ATTACK:TCP_SYN
-
-
-
-
-
2019.08.17 13:49:03 CEST x.x.x.x:542 103.99.51.25:80 TCP SYN 16384 1081344 ATTACK:TCP_SYN

ну и заблокировали ай пи

На этом ай пи, заблокированном лежал один сайт на вордпресс

после блокировки другие сайты по серверу показали аномальный подъем по трафику на 30% сразу же

что было сделано для исправления ситуации - куплен новый ай пи и перенесен на него сайт, изменены пароли админки, обновлены плагины.

Хочется услышать мнение знатоков:

что это вообще за вирусная атака?

как обезопасить себя от подобных атак?

почему соседние сайты показали рост траффика после блокировки этого ай пи?
cazanova1771 вне форума   Ответить с цитированием

Реклама
Старый 18.08.2019, 17:24   #2
lealhost
Добрый хостер
 
Аватар для lealhost
 
Регистрация: 07.06.2014
Адрес: Франция
Сообщений: 857
Репутация: 67060
Социальные сети Профиль в ВКонтакте

По умолчанию Re: OVH Anti-hack

Цитата:
Сообщение от cazanova1771 Посмотреть сообщение
что это вообще за вирусная атака?

как обезопасить себя от подобных атак?

почему соседние сайты показали рост траффика после блокировки этого ай пи?

Ваш сервер атаковал сервер по адресу 103.99.51.25.
Произошла автоматическая блокировка IP.

Если Вы уверены, что теперь все в порядке, IP-адрес можно разблокировать из панели управления OVH.

Цитата:
как обезопасить себя от подобных атак?
Блокировка исходящих соединений с помощью Firewall, ограничение количества исходящих запросов, мониторинг активности (логирование iptables). Ну, и конечно же, нужно искать с помощью какой уязвимости производили атаку, сайты также можно проверить с помощью AI-Bolit ( https://revisium.com/ai/ ) и Maldetect ( https://www.rfxn.com/projects/linux-malware-detect/ )

Если заблокированный IP-адрес является основным для сервера (не Failover IP), то нужно проверять все сайты, по умолчанию исходящие соединения идут от основного IP на eth0.
lealhost вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны