host3nter

ترفیک مشکوک روی سرور

سلام به همه دوستان؛ من یه سرور اجاره کردم (فعلاً بماند از کی) و مشکلات به ...

موضوع ترفیک مشکوک روی سرور,.

سرور مجازی, هاست و سرور, وب هاستینگ ایران

تاريخ ارسال:2014/09/01

هاست سنتر سلام به همه دوستان؛ من یه سرور اجاره کردم (فعلاً بماند از کی) و مشکلات به این صورت شروع شد: - از ابتدا گفتم که روش kerio نصب کردن (win2003) - تنها یوزر کریو هم خودم بودم - در هنگام connect شدن به سرور گاهاً 10 بار باید Connect می شدم تا موفقیت آمیز باشه - از روز دوم به بعد در هنگام اتصال rdp هم یک همچین اتفاقاتی می افتاد و با زحمت بهش وصل میشدم - مشکل اتصال بیشتر بخاطر عوض کردن سرویس اینترنتم اتفاق افتاد و با کم شدن پهنای باند خودش رو خوب نشون داد و با زحمت به سرور وصل میشدم - اول فکر کردم سرور ویروسی شده اما بعد از بررسی معلوم شد که cpu الکی درگیر هست - معلوم شد که سرویس winroute بیش از 600 تا اتصال establish و کلی ارتباط time_wait داره - توی لاگ کریو دیدم که warning داده که بیش از 600 کانکشن رو هندل نمی کرد و در حال اخطار بود. این در حالی بود که من اصلاً با سرور هیچ کاری نمی کردم - باز توی لاگ های کریو دیدم که کلی Security Event داره که مال ارتباطاتی هست که هیچ ربطی بمن نداره - احساس کردم که کرک کریو مشکل دار هست؛ Remove کردمش و سیستم رو با malwarebyte و ... اسکن کردم و نسخه جدید رو trial نصب کردم - البته بگم که بعد از remove کردنش سیستم مثل بنز کار می کرد و هیچ ترافیکی دیده نمی شد جز یکی دو نفری که احتمالاً بخاطر پورت 3389 به سیستم attack می کردند - بمحض نصب مشکل دوباره شروع شد و ترافیک حدود 5مگابیتی روی اینترفیس اصلی شروع شد - از ترافیک Capture گرفتم و دیگر که گل و بلبله و کلی ترافیک الکی داره روی ایترفیس هدایت میشه به این صورت که در یک dump حدود 3 دقیقه ای ارتباط با حدود 800 هاست دیده شد و چیزی حدود 30هزار session نمونه ای از ارتباطات: کد: GET /user/2/bidder_id=79854&bidder_user_id=Q4628331131463826473&cookie_duration=30 HTTP/1.0 Accept: */* Referer: http://shop.gozags.com/COLLEGE_Gonzaga_Bulldogs/pricerange2/$10_to_$20 Accept-Language: de User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30618; MAXTHON 2.0) Host: www.burstnet.com Connection: Keep-Alive Cookie: TID=1a07u871vue5sg; BCC=KEv.1.0.1Uxzu-KF7.1.0.1Uxzu; /ad28163.33179=,CFC,GFC; /SO=:201:; /PC=0; /SC=0-2vc.1; BI77335=756012530605191985; BI77253=Q4628331131463826473 HTTP/1.1 200 OK Date: Mon, 01 Sep 2014 04:45:14 GMT Server: Apache (Unix) P3P: policyref="http://www.burstnet.com/w3c/p3p.xml", CP="NOI DSP LAW PSAa PSDa OUR IND UNI COM NAV STA" Set-Cookie: BI79854=Q4628331131463826473; path=/; expires=Wed, 01-Oct-2014 04:45:14 GMT; domain=.burstnet.com Pragma: no-cache Cache-Control: no-cache Connection: close Content-Type: image/gif GIF89a.............!.......,...........D..; کد: GET http://ib.adnxs.com/ttj?id=3389021&cb=[CACHEBUSTER] HTTP/1.0 Accept: */* Referer: http://m.getmoneylink.com/s728.php Accept-Language: de User-Agent: Mozilla/5.0 (X11; U; OpenBSD i386; en-US; rv:1.9.1) Gecko/20090702 Firefox/3.5 Host: ib.adnxs.com Connection: Keep-Alive Cookie: icu=ChIIufQZEAoYAyADKAMwhvOPoAUQhvOPoAUYAg..; uuid2=2333859944758451209; sess=1; anj=dTM7k!M4.ND>6NRDgEREg(Ua=vzc4-5pG*FQ%?7YYbPZzNi5[q HTTP/1.0 200 OK Cache-Control: no-store, no-cache, private Pragma: no-cache Expires: Sat, 15 Nov 2008 16:00:00 GMT P3P: policyref="http://cdn.adnxs.com/w3c/policy/p3p.xml", CP="NOI DSP COR ADM PSAo PSDo OURo SAMo UNRo OTRo BUS COM NAV DEM STA PRE" X-XSS-Protection: 0 Set-Cookie: uuid2=2333859944758451209; path=/; expires=Sun, 30-Nov-2014 04:45:14 GMT; domain=.adnxs.com; HttpOnly Set-Cookie: sess=1; path=/; expires=Tue, 02-Sep-2014 04:45:14 GMT; domain=.adnxs.com; HttpOnly Content-Type: text/html; charset=utf-8 Content-Length: 1027 *****-Connection: keep-alive !function(){function n(n){try{if(!window.location.ancestorOrigins)return;for(var r=0,o=window.location.ancestorOrigins.length;o>r;r++)n.call(null,window.location.ancestorOrigins[r],r)}catch(t){}return[]}function r(n){var r,o=[];do try{r=r?r.parent:window,n.call(null,r,o)}catch(t){return o.push({referrer:null,location:null,isTop:!1}),o}while(r!==window.top);return o}var o=r(function(n,r){try{r.push({referrer:n.document.referrer||null,location:n.location.href||null,isTop:n===window.top})}catch(o){r.push({referrer:null,location:null,isTop:n===window.top})}});n(function(n,r){o[r].ancestor=n});for(var t="",e=!1,i=o.length-1,l=o.length-1;l>=0;l--)if(t=o[l].location,!t&&l>0&&(t=o[l-1].referrer,t||(t=o[l-1].ancestor)),t){e=window.location.ancestorOrigins?!0:l==o.length-1&&o[o.length-1].isTop;break}t=encodeURIComponent(t);var c="&bdref="+t+"&bdtop="+e+"&bdifs="+i;document.write('<script src="http://ib.adnxs.com/ttj?ttjb=1&bdc=1409546714&bdh=YxrDr2fC-Yu8NRczOIe_tGa4yPU.'+c+'&id=3389021&cb=[CACHEBUSTER]"></scr'+'ipt>')}(); کد: GET /imp?Z=300x250&iq=1&s=6099940&_salt=534813331&B=12&m=2&H=http%3A%2F%2Fu.pub-fit.com%2F3735.html%3Fs%3D300x250&u=http%3A%2F%2Fu.pub-fit.com%2F3735.html%3Fs%3D300x250&M=4&r=1 HTTP/1.0 Accept: */* Referer: http://u.pub-fit.com/3735.html?s=300x250 Accept-Language: de User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 95; Alexa Toolbar) Host: ads.yahoo.com Connection: Keep-Alive Cookie: B=14vre15a07uea&b=3&s=fs HTTP/1.0 200 OK Date: Mon, 01 Sep 2014 04:45:14 GMT Server: ATS X-RightMedia-Hostname: raptor1150.rm.ch1.yahoo.com P3P: policyref="/w3c/p3p.xml", CP="NOI DSP COR NID CURa ADMa DEVa PSAa PSDa OUR BUS COM INT OTC PUR STA" Set-Cookie: ih="b!!!!#!L/u<!!!!#?!4wP"; path=/; expires=Wed, 31-Aug-2016 04:45:14 GMT Set-Cookie: vuday1=IsXSsN0_@][$m:t; path=/; expires=Tue, 02-Sep-2014 00:00:00 GMT Set-Cookie: RMBX=14vre15a07uea&b=3&s=fs&t=243; path=/; expires=Thu, 01-Sep-2016 04:45:14 GMT Cache-Control: no-cache, no-store, must-revalidate, max-age=0 Vary: * Last-Modified: Mon, 01 Sep 2014 04:45:14 GMT Expires: Mon, 01 Sep 2014 04:45:14 GMT Pragma: no-cache Content-Length: 707 Content-Type: application/x-javascript Age: 0 Connection: keep-alive document.write('<a target="_blank" href="http://ads.yahoo.com/clk?3,eJytjtFOg0AQRb-GNyTLrGW22fiwW0pFYZVmNfZRoEsRWpt0scjXS2vtF3gyubmTmZsZn.L3skBifESEHABz7t8yMAzNuly7hHMOyKZI2BQCt7C7dtFl-i2TRbarpDgzF1eqk8S..pmddCaDr0NzGadKPop.QS718njx8fluFTJRmuA-IX9.jSzSYTW89ErPvxOd9k86tqmOWjXz69XQ9Il-qJVWHyoc9-C1Ucdr8s51N9buHSociMbqvH2X35jaesXnduwp0om3sdvWodHBoSElpIcJ-QGFUV9m,"><img border="0" alt="" height="250" width="300" src="http://content.yieldmanager.edgesuite.net/atoms/da/66/0b/e5/da660be54405c5f385d63cddaa13989c.gif"></img></a>'); var rm_data = new Object(); rm_data.creative_id = 24658524; rm_data.offer_type = 633; rm_data.entity_id = 5; if (window.rm_crex_data) {rm_crex_data.push(24658524);} هاست,دامین,سایت,وب,طراحی

ایجاد بک گراند متغییر

معرفی منوی فروشگاه در ویرچومارت

ثبت نام در دوره آموزشی و نمایش در ناحیه کاربری

ساخت نرم افزاری مثل msqrd(پردازش چهره انلاین) با جاوا اسکریپت تحت وب

آموزش تصویری نصب و کانفیگ کامل Mod_Security در سرور لینوکس

آموزش : Looking for harker to pay for a job.

چند مشکل ساده

ترفیک, مشکوک, روی, سرور

ترفیک مشکوک روی سرور

میزبانی وب ,هاست,فضای وب,ویندوز,لینوکس,دات نت,پی اچ پی,web hosting,windows host,linux host,asp.net,php,sql server,mysql میزبان پایتخت ارائه دهنده خدمات میزبانی وب، هاست و هاستینگ، میزبانی هاست، دامین، میزبانی نمایندگی، نمایندگی وب، سرور مجازی و سرور مجازی ابری می باشد.هاست,میزبانی وب,دامین,سرور مجازی,میزبان پایتخت,host,domain,vps,mizban paytakht,hosting,share hosting,میزبان وب,میزبانی هاست,هاستینگ

google
logo-samandehi