База знаний

У нас работает автоматическая система отслеживания вредоносного и нежелательного трафика, в т.ч. трафика, генерируемого при сетевом сканировании портов или сетей, tcp флуде и т.д. (исходящая сетевая атака). В случае обнаружения такого трафика, в личном кабинете клиента будет создан тикет с подобностями, а сетевой доступ к VDS будет заблокирован.

Почему мой сервер заблокировали?

Мы блокируем такой сервер для поддержания стабильности сети, а также для защиты владельцев соответствующих серверов. Например, блокируя сервер мы предотвращаем возникновение ненужного паразитного трафика. Более того, существует опасность того, что скомпрометированный сервер будет использован для незаконных действий, что может привести к искам о компенсациях. Блокирование сервера помогает защитить наших клиентов от подобных угроз. Для анализа причин блокирования в оповещающее email сообщение будет включен лог файл с детальной информацией.

Существует три различных типа логов:

Информация о портах / Netscan

###################################################################
#          Netscan detected from host   x.x.x.x                   #
###################################################################

time                       src_ip         	dest_ip:dest_port
-------------------------------------------------------------------
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.0:   22
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.1:   22
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.2:   22
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.3:   22
.....

Этот лог отображает только исходящие подключения. В нём описаны IP-адреса назначения или использующиеся порты на IP-адресах назначения. Это поможет вам легко обнаружить проблему.

Краткий отчёт о превышениях количества пакетов.

Direction OUT
Internal x.x.x.x
Sum                     62.790 packets/s , 14 MBit/s
External 125.162.12.67, 62.770 packets/s , 13 MBit/s
External 72.14.220.136,      3 packets/s ,  0 MBit/s
External 66.249.72.235       3 packets/s ,  0 MBit/s

В этом логе не перечисляется каждое подключение но в нём содержится отчёт о трафике для каждого IP-адреса. Этот лог отображает возникший трафик, количество подключений и общую скорость. Это открывает цель атаки и даёт вам возможность понять, какое приложение могло участвовать в атаке. В этом случае вы также видите только исходящие подключения.

Подробная статистика трафика

21:44:53.145756 IP x.x.x.x.55008 > 76.9.23.182.29615: UDP, length 9216
21:44:53.145883 IP x.x.x.x.55030 > 76.9.23.182.45527: UDP, length 9216
21:44:53.146007 IP x.x.x.x.55046 > 76.9.23.182.1826: UDP, length 9216
21:44:53.146126 IP x.x.x.x.55064 > 76.9.23.182.34940: UDP, length 9216
21:44:53.146249 IP x.x.x.x.55080 > 76.9.23.182.20559: UDP, length 9216
21:44:53.146371 IP x.x.x.x.55093 > 76.9.23.182.31488: UDP, length 9216
21:44:53.146493 IP x.x.x.x.55112 > 76.9.23.182.56406: UDP, length 9216
21:44:53.146616 IP x.x.x.x.55132 > 76.9.23.182.43714: UDP, length 9216
21:44:53.146741 IP x.x.x.x.55147 > 76.9.23.182.64613: UDP, length 9216

В этом логе отображается подробная статистика трафика на входящих и исходящих подключениях. Здесь вы можете видеть следующую информацию: IP-адрес и порт назначения, размер и тип пакетов. Отображение статистики по каждому пакету было бы огромным количеством информации. Поэтому отображается только малая часть трафика. Эти данные помогут вам распознать закономерности и использовать их для дальнейшего анализа.

Когда мой сервер снова будет в сети?

Сначала нужно устранить проблему. Только после устранения проблемы ваш сервер снова будет в сети. Вы должны предоставить нам объяснения, в котором описать как вы устранили проблему и что вами сделано для того чтобы такая проблема не повторилась впредь.

Tакие меры предпринимаются в следующих случаях:

• С сервера была произведена атака
• С сервера производилось сканирование сети
• Прочие злоупотребление

Для устранения причины блокирования вам будет предоставлен доступ к VNC консоли VDS сервера для устранения проблемы. Только лишь если вы абсолютно уверены в том, что проблема устранена, мы можем разблокировать сервер. В противном случае сервер может продолжить, например атаку, и мы будем вынуждены его заблокировать опять.

В случае, если мы будем регулярно фиксировать подобную активность с вашего сервера или получать жалобы - мы будем вынуждены отказать вам в дальнейшем обслуживании без возврата средств!

Я не запускал никакого сканирования, не знаю что это такое. Что мне делать?

Значит ваш сервер был взломан (скомпроментирован) или заражен каким-то вредоносным ПО. При этом вы, как администратор сервера, несете ответственность за любые возможные последствия. Мы настоятельно рекомендуем:

• Регулярно устанавливать все доступные обновления безопасности
• Следить за выявлеными уязвимости в используемом на сервере ПО и своевременно обновлять его
• Не использовать простые (небезопасные) пароли или одинаковые пароли в разных местах
• Не посещать никакие вебсайты в броузере с сервера, кроме доверенных
• Не загружать и не запускать на сервере никаких потенциально опасных программ полученных из сомнительных источников
• Никому не предоставлять доступ к серверу без весомых причин на то
• Если вы все-таки вынуждены посещать посторонние вебсайты или загружать файлы на сервере - и спользуйте антивирусную защиту с регулярными обновлениями
• Ознакомиться с полным перечнем рекомендаций по безопасности

После обнаружения источника проблемы встаёт вопрос — что делать? Самым безопасным было-бы переустановить операционную систему. Очень опасно продолжать использование скомпрометированной системы. Вы не сможете быть абсолютно уверены в отсутствии на сервере вредоносного ПО. Переустановка ОС будет иметь смысл только в случае, когда вы нашли точную причину, повлекшую блокирование. Иначе переустановка бесполезна, так как система может быть скомпрометирована через эту же брешь снова. После переустановки ОС можно восстановить данные из ваших резервных копий. Пожалуйста, будьте осторожны. Вредоносное ПО может оказаться и в ваших резервных копиях.