Возможно, злоупотребление моим сервером

У меня есть vps по hetzner.de с VMware, выполняющим несколько экземпляров, один из них является сервером Ubuntu 13.10, прежде всего, действуя как mysql-сервер для нескольких веб-сайтов. Сегодня я получил электронное письмо от hetzner, говоря, что они получили уведомление о спаме/злоупотреблении:

Мой IP xx.xx.xx.xx является ddosed из Вашей сети Весь дюйм/с, которые нападают на меня, принадлежат Скорости атаки Hetzner, больше, чем 1gbit\s

PROTO=UDP SPT=10000 DPT=80 DST=XX.XX.XX.XX

IP-адреса, которые нападают на меня: 9 февраля 19:27:07 srv1 ядро: [112.236968] Брандмауэр: *UDP_IN, Заблокированный* IN=eth0 = MAC=yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy SRC=zz.zz.zz.zz DST=xx.xx.xx.xx LEN=1396 TOS=0x00 PREC=0x00 TTL=246 ID=22304 PROTO=UDP SPT=10000 DPT=80 LEN=1376

Я использую UFW, и это - результат "ufw состояние":

34/tcp позволяют где угодно

22/tcp позволяют где угодно

3306/tcp позволяют aa.aa.aa.aa

3306/tcp позволяют bb.bb.bb.bb

3306/tcp позволяют cc.cc.cc.cc

3306/tcp позволяют dd.dd.dd.dd

34/tcp позволяют где угодно (v6)

22/tcp позволяют где угодно (v6)

порты 22 и 34 используются для ssh, только доступного с закрытым ключом. порт 3306 используется для подключений mysql от машин разработчика и веб-серверов

Я не вижу ничего необычного в своем auth.log

Кто-либо может помочь мне понимающий этого?

Спасибо

1
задан 10 February 2014 в 16:45

3 ответа

Я получил аналогичное письмо от abuse@hetzner.de вчера. Это письмо от «атакованного» администратора в качестве вашего письма.

Я проверил свой сервер - все в порядке. Ничего противозаконного действия.

Я думаю, что кто-то хочет пошутить с Хецнером. Или хотите отключить некоторые серверы.

0
ответ дан 10 February 2014 в 16:45
  • 1
    Спасибо за тестирование его! Я думаю, что просто нашел что-то, что могло использовать фиксацию в ssh сервере: D – iScripters 30 July 2015 в 22:38

Согласно немного большим исследованиям и отзывам Хетцнера, кажется, что это проблема подмены IP, то есть ложной информации о ip источниках.

Похоже, что злоумышленник использовал (ложный) ip Хетцнера в качестве источника ip из пакетов атаки.

Поэтому, если вы не обнаружите никаких проблем, похоже, это была ложная тревога для нас.

0
ответ дан 10 February 2014 в 16:45

Да. Я анализирую исходящий трафик также на 9 февраля. DOS-активность отсутствует.

Hetzner злоупотребляет поддержкой и напал на администратора не отвечает на мое письмо.

Я боюсь, что мой сервер по ошибке вылетел из внешней сети. Хетцнер практикует это действие из-за DOS на клиентском сервере или DOS с клиентского сервера.

0
ответ дан 10 February 2014 в 16:45

Другие вопросы по тегам:

Похожие вопросы: