Forum
Arkadaşlar, şirketimizin yurtdışında bulunan server4you üzerinden alınan kontrol panelinde ,
[Abuse] UDP attack from your IP address 85.25.*.*, probably Botnet
Hi, our servers 89.107.*.* was attacked from your or your client's server IP 85.25.*.*
I request to you to pay attention and take appropriate action. Thanks!
Logs from firewall in attachments
Kind Regards,
bilgi yazıyor.Eğer sorunu çözmezsek 24 içinde server erişimi kesilecek yazıyor. Server ip adresimiz 85.25.*.*
Bunu nasıl çözebilirim.Server virüs testi yaptım.Birşey bulamadım. Bu serveri Mail ve Web server olarak kullanıyoruz.
Yardımlarınızı acil olarak rica ederim.
Selamlar,
Eklentide bununla ilgili bilgi olduğunu söylüyor. Ne tür bir UDP saldırı paketi aldığını tespit ederseniz sunucu üzerinden bunu da tespit edebilirsiniz.
Hangi antivirüs programları ile taradınız bilmiyorum ama bir kaç fark antivirüs deneyebilirsiniz. Hem mail server hem Web server olması nedeniyle bir çok atak alıp buralardan bir servise infected olmuş olabilir. Önce Mail sunucu tarafını inceleyip sonra web tarafında dışa giden gelen paketleri bir inceleyin. Bunun için paket inceleme yazılımlarını kullanabilirsiniz.
Bu mail bize server4you tarafından gönderildi.Bize iletilen herhangi bir eklenti yok. Sanırım etkilenen kişi server4you bu maili gönderdi.
Sizden ricam hangi araçlarla test etmem gerekiyor. Birkaç sizin tavsiyeniz örnek verebilirmisiniz?
Windows Server Web 2008, Plesk 10.4.4 ve Mailenable kullanıyorum.
Size böyle bir mail gelse öncelikli olarak ne cevap vermem gerekir bu maile.
Tarama: Microsoft Safety Scanner ile tarattım.
Merhaba,
Öncelikle karşı tarafa sunucumuz üzerinde gerekli tarama işlemlerini gerçekleştirip bilgi dönüşü yapacağınızı bildiren bir elektronik posta gönderirdim. Böylelikle biraz zaman kazanmış olursunuz.
Plesk mevcutmuş benim tahminim ortalıkda gezinen bir Plesk açığından yararlanan trojen var sanırım sizde ona maruz kaldınız. Ki dünya da birçok site bundan etkilenmiş.
Sitenizi : http://sitecheck.sucuri.net/scanner/ bu adres üzerinden tarattırınız. Adreste size gerekli bilgileri verecektir. Daha sonra sunucu üzerinde wireshark kurup paket geçişlerini kontrol ederdim.
Merhaba,
wireshark programını kurdum ve biraz capture aldım. Burda nereyi takip etmek gerekiyor.
Bu liste devamlı hareket halinde , UDP olarak sadece plysrv-https diye bir kayıt var.Başka upd yok.
Burda sizin kullandığınız takip nasıl nelere dikkat ediyorsunuz.
Selamlar,
Yukarıda verdiğim siteyi kullandınız mı ? Wireshark programının kullanımını detaylı bilmek gerekiyor. Bundan sonrasını güvenlikle ilgilenen uzmanların kontrol etmesi daha yararlı olur.
Karşı tarafın firewall log dosyası ektedir.
-----------------------------------------------------------------
Oct 25 05:36:38 firewall nsisg1000: NetScreen
device_id=0133062007000055
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:34:05" duration=0 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=0 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=395897 reason=Creation
Oct 25 05:39:04 firewall nsisg1000: NetScreen
device_id=0133062007000055
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:34:05" duration=146 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=4518 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=395897 reason=Close - AGE OUT
Oct 25 05:57:01 firewall nsisg1000: NetScreen
device_id=0133062007000055
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:54:28" duration=0 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=0 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=85876 reason=Creation
Oct 25 05:59:26 firewall nsisg1000: NetScreen
device_id=0133062007000055
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:54:28" duration=145 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=6018 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=85876 reason=Close - AGE OUT
Oct 25 06:00:27 firewall nsisg1000: NetScreen
device_id=0133062007000055
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:57:54" duration=0 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=0 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=145645 reason=Creation
Oct 25 06:01:51 firewall nsisg1000: NetScreen
device_id=0133062007000055
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:57:54" duration=84 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=3018 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=145645 reason=Close - AGE OUT
-------------------------------------------------
Server üzerinde güncel antivirüs kurulu ve sistem taraması yapıldı.Herhangi bir virüse rastlanmadı. Mail ve web server kontrol edildi.
Herhangi bir sorun bulunmadı.
Bu tarz şeyleri nasıl engellerim. Yardımlarınızı rica ederim.
Not: Karşı taraf mailin altına şunları eklemiş.
Additional Resources
http://forums.webhosting.uk.com/faqs-tutorials/8229-protecting-dns-server-against-ddos.html#.UIbUM9eExnA
http://www.publicsafety.gc.ca/prg/em/ccirc/2009/av09-011-eng.aspx
http://technet.microsoft.com/en-us/library/cc771738.aspx
http://blog.cloudflare.com/65gbps-ddos-no-problem
http://wiki.opennicproject.org/ddosBlock
http://foxpa.ws/2010/07/21/thwarting-the-isc-org-dns-ddos/
http://www.minihowto.eu/protectio-against-isc-org-any-attack-dns-attack-isc-org-any-query
http://securityaffairs.co/wordpress/3184/cyber-crime/anonymous-dns-amplification-attacks-for-operation-global-blackout.html
Rafet Hocanın dediği gibi wireshark yazılımını kurup capture aldıktan sonra yukarıdaki butonlardan filtre uygulayıp buradan udp 53 bakmanız gerekiyor. bu port dns portudur ve size gönderilen linklerde dns ddos saldırıları nasıl engellenir bunlar belirtilmiş
bu sıralar mail sunucu üzerinden toplu mail gönderdiyseniz dns sorgularınız artmıştır aslında sorun değildir ama sorgularınız arttığı için sizi potansiyel atakçı durumuna düşürmüş olabilir. bayram seyran kutlama mesajları buna sebep olabilir.
gönderdiğiniz loglardan ipnizin natlanmadığını anlıyorum, yani private ip public olarak çevrilmemiş. bu sunucu üzerinde kullandığınız dns sunucunuz adamlarınki değil de kendi belirleyeceğiniz bir sunucu olabilir. ns.bayarea.net 209.128.116.1 kullanabilirsiniz. böylelikle adamların sunucularındaki sorgulama riskini bitirebilirsiniz. yani karşı tarafın sana şu adresten çok sorgu gelirse uyar işini bypass edersiniz. iş yalnızca networke kalır.
sunucu üzerinde netstat -an -p udp komutuyla o an için nerelere bağlı olduğunuzu görebilirsiniz. eğer birden fazla yere veya aynı yere birden fazla bağlantınız varsa daha kalifiye bir virüs yazılımıyla sunucunuzu kontrol edin.
Efe Bey
Bilgilendirmeniz için teşekkür ederim.
Şunu sormak istiyorum
"gönderdiğiniz loglardan ipnizin natlanmadığını anlıyorum, yani private ip public olarak çevrilmemiş. bu sunucu üzerinde kullandığınız dns sunucunuz adamlarınki değil de kendi belirleyeceğiniz bir sunucu olabilir. ns.bayarea.net 209.128.116.1 kullanabilirsiniz. böylelikle adamların sunucularındaki sorgulama riskini bitirebilirsiniz. yani karşı tarafın sana şu adresten çok sorgu gelirse uyar işini bypass edersiniz. iş yalnızca networke kalır. "
Burada dediğinizi nasıl yapabilirim. Daha ayrıntılı olarak anlatabilir misiniz?
Sunucu üzerinde netstat -an -p udp yaptım. Sadece bize ait ip adresleri listelendi.Tek satır olarak.
natlanma kafa karıştırmasın da demek istediğim sizin public ipnizden bu adamlarım bir sunucusuna sürekli dns isteği gönderilmiş. eğer hizmeti aldığınız yerin dns sunucusu üzerinde ips gibi bir kontrol mekanizması varsa buna takılıyor olabilirsiniz. yani aslında adamların sizden bu kadar trafik çıkıyor bunu düzeltin diye bir talepleri değil de, benim sunucuma çok yükleniyorsun dns isteklerinle gibi bir derdi vardır.
yapıyı bilmediğim için adamlarla iletişime geçmeden seçenek sunuyorum yalnızca.
böyle bir durumda, dns sunucu olarak sunucudaki network ayarlarında bahsettiğim ipyi üst sıraya taşırsanız bu sorunu aşabilirsiniz.
Çok yakın zamanda aynı sorunla karşılaştım.
Plesk kullandığını belirtmişsiniz.
Pleskde Admin olarak giriş yaptıktan sonra, Server Settings -> DNS Settings bölümünden üst menüde bulunan DNS Recursion ayarlarında localhost seçeneğini işaretleyip kabul ediniz.
DNS - Named restart ettiğinizde sorun kalmayacaktır.
Ender Bey
DNS recursion settings bölümünde
Allow for local requests only olarak işaretli. Durumda zaten.