host3nter

ترفیک مشکوک روی سرور

سلام به همه دوستان؛ من یه سرور اجاره کردم (فعلاً بماند از کی) و مشکلات به ...

موضوع ترفیک مشکوک روی سرور,.

سرور مجازی, هاست و سرور, وب هاستینگ ایران

تاريخ ارسال:2014/09/01

هاست سنتر سلام به همه دوستان؛ من یه سرور اجاره کردم (فعلاً بماند از کی) و مشکلات به این صورت شروع شد: - از ابتدا گفتم که روش kerio نصب کردن (win2003) - تنها یوزر کریو هم خودم بودم - در هنگام connect شدن به سرور گاهاً 10 بار باید Connect می شدم تا موفقیت آمیز باشه - از روز دوم به بعد در هنگام اتصال rdp هم یک همچین اتفاقاتی می افتاد و با زحمت بهش وصل میشدم - مشکل اتصال بیشتر بخاطر عوض کردن سرویس اینترنتم اتفاق افتاد و با کم شدن پهنای باند خودش رو خوب نشون داد و با زحمت به سرور وصل میشدم - اول فکر کردم سرور ویروسی شده اما بعد از بررسی معلوم شد که cpu الکی درگیر هست - معلوم شد که سرویس winroute بیش از 600 تا اتصال establish و کلی ارتباط time_wait داره - توی لاگ کریو دیدم که warning داده که بیش از 600 کانکشن رو هندل نمی کرد و در حال اخطار بود. این در حالی بود که من اصلاً با سرور هیچ کاری نمی کردم - باز توی لاگ های کریو دیدم که کلی Security Event داره که مال ارتباطاتی هست که هیچ ربطی بمن نداره - احساس کردم که کرک کریو مشکل دار هست؛ Remove کردمش و سیستم رو با malwarebyte و ... اسکن کردم و نسخه جدید رو trial نصب کردم - البته بگم که بعد از remove کردنش سیستم مثل بنز کار می کرد و هیچ ترافیکی دیده نمی شد جز یکی دو نفری که احتمالاً بخاطر پورت 3389 به سیستم attack می کردند - بمحض نصب مشکل دوباره شروع شد و ترافیک حدود 5مگابیتی روی اینترفیس اصلی شروع شد - از ترافیک Capture گرفتم و دیگر که گل و بلبله و کلی ترافیک الکی داره روی ایترفیس هدایت میشه به این صورت که در یک dump حدود 3 دقیقه ای ارتباط با حدود 800 هاست دیده شد و چیزی حدود 30هزار session نمونه ای از ارتباطات: کد: GET /user/2/bidder_id=79854&bidder_user_id=Q4628331131463826473&cookie_duration=30 HTTP/1.0 Accept: */* Referer: http://shop.gozags.com/COLLEGE_Gonzaga_Bulldogs/pricerange2/$10_to_$20 Accept-Language: de User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30618; MAXTHON 2.0) Host: www.burstnet.com Connection: Keep-Alive Cookie: TID=1a07u871vue5sg; BCC=KEv.1.0.1Uxzu-KF7.1.0.1Uxzu; /ad28163.33179=,CFC,GFC; /SO=:201:; /PC=0; /SC=0-2vc.1; BI77335=756012530605191985; BI77253=Q4628331131463826473 HTTP/1.1 200 OK Date: Mon, 01 Sep 2014 04:45:14 GMT Server: Apache (Unix) P3P: policyref="http://www.burstnet.com/w3c/p3p.xml", CP="NOI DSP LAW PSAa PSDa OUR IND UNI COM NAV STA" Set-Cookie: BI79854=Q4628331131463826473; path=/; expires=Wed, 01-Oct-2014 04:45:14 GMT; domain=.burstnet.com Pragma: no-cache Cache-Control: no-cache Connection: close Content-Type: image/gif GIF89a.............!.......,...........D..; کد: GET http://ib.adnxs.com/ttj?id=3389021&cb=[CACHEBUSTER] HTTP/1.0 Accept: */* Referer: http://m.getmoneylink.com/s728.php Accept-Language: de User-Agent: Mozilla/5.0 (X11; U; OpenBSD i386; en-US; rv:1.9.1) Gecko/20090702 Firefox/3.5 Host: ib.adnxs.com Connection: Keep-Alive Cookie: icu=ChIIufQZEAoYAyADKAMwhvOPoAUQhvOPoAUYAg..; uuid2=2333859944758451209; sess=1; anj=dTM7k!M4.ND>6NRDgEREg(Ua=vzc4-5pG*FQ%?7YYbPZzNi5[q HTTP/1.0 200 OK Cache-Control: no-store, no-cache, private Pragma: no-cache Expires: Sat, 15 Nov 2008 16:00:00 GMT P3P: policyref="http://cdn.adnxs.com/w3c/policy/p3p.xml", CP="NOI DSP COR ADM PSAo PSDo OURo SAMo UNRo OTRo BUS COM NAV DEM STA PRE" X-XSS-Protection: 0 Set-Cookie: uuid2=2333859944758451209; path=/; expires=Sun, 30-Nov-2014 04:45:14 GMT; domain=.adnxs.com; HttpOnly Set-Cookie: sess=1; path=/; expires=Tue, 02-Sep-2014 04:45:14 GMT; domain=.adnxs.com; HttpOnly Content-Type: text/html; charset=utf-8 Content-Length: 1027 *****-Connection: keep-alive !function(){function n(n){try{if(!window.location.ancestorOrigins)return;for(var r=0,o=window.location.ancestorOrigins.length;o>r;r++)n.call(null,window.location.ancestorOrigins[r],r)}catch(t){}return[]}function r(n){var r,o=[];do try{r=r?r.parent:window,n.call(null,r,o)}catch(t){return o.push({referrer:null,location:null,isTop:!1}),o}while(r!==window.top);return o}var o=r(function(n,r){try{r.push({referrer:n.document.referrer||null,location:n.location.href||null,isTop:n===window.top})}catch(o){r.push({referrer:null,location:null,isTop:n===window.top})}});n(function(n,r){o[r].ancestor=n});for(var t="",e=!1,i=o.length-1,l=o.length-1;l>=0;l--)if(t=o[l].location,!t&&l>0&&(t=o[l-1].referrer,t||(t=o[l-1].ancestor)),t){e=window.location.ancestorOrigins?!0:l==o.length-1&&o[o.length-1].isTop;break}t=encodeURIComponent(t);var c="&bdref="+t+"&bdtop="+e+"&bdifs="+i;document.write('<script src="http://ib.adnxs.com/ttj?ttjb=1&bdc=1409546714&bdh=YxrDr2fC-Yu8NRczOIe_tGa4yPU.'+c+'&id=3389021&cb=[CACHEBUSTER]"></scr'+'ipt>')}(); کد: GET /imp?Z=300x250&iq=1&s=6099940&_salt=534813331&B=12&m=2&H=http%3A%2F%2Fu.pub-fit.com%2F3735.html%3Fs%3D300x250&u=http%3A%2F%2Fu.pub-fit.com%2F3735.html%3Fs%3D300x250&M=4&r=1 HTTP/1.0 Accept: */* Referer: http://u.pub-fit.com/3735.html?s=300x250 Accept-Language: de User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 95; Alexa Toolbar) Host: ads.yahoo.com Connection: Keep-Alive Cookie: B=14vre15a07uea&b=3&s=fs HTTP/1.0 200 OK Date: Mon, 01 Sep 2014 04:45:14 GMT Server: ATS X-RightMedia-Hostname: raptor1150.rm.ch1.yahoo.com P3P: policyref="/w3c/p3p.xml", CP="NOI DSP COR NID CURa ADMa DEVa PSAa PSDa OUR BUS COM INT OTC PUR STA" Set-Cookie: ih="b!!!!#!L/u<!!!!#?!4wP"; path=/; expires=Wed, 31-Aug-2016 04:45:14 GMT Set-Cookie: vuday1=IsXSsN0_@][$m:t; path=/; expires=Tue, 02-Sep-2014 00:00:00 GMT Set-Cookie: RMBX=14vre15a07uea&b=3&s=fs&t=243; path=/; expires=Thu, 01-Sep-2016 04:45:14 GMT Cache-Control: no-cache, no-store, must-revalidate, max-age=0 Vary: * Last-Modified: Mon, 01 Sep 2014 04:45:14 GMT Expires: Mon, 01 Sep 2014 04:45:14 GMT Pragma: no-cache Content-Length: 707 Content-Type: application/x-javascript Age: 0 Connection: keep-alive document.write('<a target="_blank" href="http://ads.yahoo.com/clk?3,eJytjtFOg0AQRb-GNyTLrGW22fiwW0pFYZVmNfZRoEsRWpt0scjXS2vtF3gyubmTmZsZn.L3skBifESEHABz7t8yMAzNuly7hHMOyKZI2BQCt7C7dtFl-i2TRbarpDgzF1eqk8S..pmddCaDr0NzGadKPop.QS718njx8fluFTJRmuA-IX9.jSzSYTW89ErPvxOd9k86tqmOWjXz69XQ9Il-qJVWHyoc9-C1Ucdr8s51N9buHSociMbqvH2X35jaesXnduwp0om3sdvWodHBoSElpIcJ-QGFUV9m,"><img border="0" alt="" height="250" width="300" src="http://content.yieldmanager.edgesuite.net/atoms/da/66/0b/e5/da660be54405c5f385d63cddaa13989c.gif"></img></a>'); var rm_data = new Object(); rm_data.creative_id = 24658524; rm_data.offer_type = 633; rm_data.entity_id = 5; if (window.rm_crex_data) {rm_crex_data.push(24658524);} هاست,دامین,سایت,وب,طراحی

ایجاد بک گراند متغییر

معرفی منوی فروشگاه در ویرچومارت

ثبت نام در دوره آموزشی و نمایش در ناحیه کاربری

ساخت نرم افزاری مثل msqrd(پردازش چهره انلاین) با جاوا اسکریپت تحت وب

آموزش : Looking for harker to pay for a job.

چند مشکل ساده

آموزش تصویری نصب و کانفیگ کامل Mod_Security در سرور لینوکس

ترفیک, مشکوک, روی, سرور

ترفیک مشکوک روی سرور

میزبانی وب ,هاست,فضای وب,ویندوز,لینوکس,دات نت,پی اچ پی,web hosting,windows host,linux host,asp.net,php,sql server,mysql میزبان پایتخت ارائه دهنده خدمات میزبانی وب، هاست و هاستینگ، میزبانی هاست، دامین، میزبانی نمایندگی، نمایندگی وب، سرور مجازی و سرور مجازی ابری می باشد.هاست,میزبانی وب,دامین,سرور مجازی,میزبان پایتخت,host,domain,vps,mizban paytakht,hosting,share hosting,میزبان وب,میزبانی هاست,هاستینگ

google
logo-samandehi