Forum

Server 2008 Botnet ...
 
Bildirimler
Hepsini Temizle

Server 2008 Botnet Kontrol Hk.

12 Yazılar
4 Üyeler
0 Likes
537 Görüntüleme
(@EyupAksu)
Gönderiler: 112
Estimable Member
Konu başlatıcı
 

Arkadaşlar, şirketimizin yurtdışında bulunan server4you üzerinden alınan kontrol panelinde ,

[Abuse] UDP attack from your IP address 85.25.*.*, probably Botnet

Hi, our servers 89.107.*.* was attacked from your or your client's server IP 85.25.*.*

I request to you to pay attention and take appropriate action. Thanks!

Logs from firewall in attachments

Kind Regards,

bilgi yazıyor.Eğer sorunu çözmezsek 24 içinde server erişimi kesilecek yazıyor. Server ip adresimiz 85.25.*.*

Bunu nasıl çözebilirim.Server virüs testi yaptım.Birşey bulamadım. Bu serveri Mail ve Web server olarak kullanıyoruz.

Yardımlarınızı acil olarak rica ederim.

 
Gönderildi : 24/10/2012 12:16

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Selamlar,

Eklentide bununla ilgili bilgi olduğunu söylüyor. Ne tür bir UDP saldırı paketi aldığını tespit ederseniz sunucu üzerinden bunu da tespit edebilirsiniz.

Hangi antivirüs programları ile taradınız bilmiyorum ama bir kaç fark antivirüs deneyebilirsiniz. Hem mail server hem Web server olması nedeniyle bir çok atak alıp buralardan bir servise infected olmuş olabilir. Önce Mail sunucu tarafını inceleyip sonra web tarafında dışa giden gelen paketleri bir inceleyin.  Bunun için paket inceleme yazılımlarını kullanabilirsiniz.

 
Gönderildi : 24/10/2012 12:37

(@EyupAksu)
Gönderiler: 112
Estimable Member
Konu başlatıcı
 

Bu mail bize server4you tarafından gönderildi.Bize iletilen herhangi bir eklenti yok. Sanırım etkilenen kişi server4you bu maili gönderdi.

Sizden ricam hangi araçlarla test etmem gerekiyor. Birkaç sizin tavsiyeniz örnek verebilirmisiniz?

Windows Server Web 2008, Plesk 10.4.4 ve Mailenable kullanıyorum.

Size böyle bir mail gelse öncelikli olarak ne cevap vermem gerekir bu maile.

Tarama: Microsoft Safety Scanner ile tarattım.

 
Gönderildi : 24/10/2012 12:44

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba,

Öncelikle karşı tarafa sunucumuz üzerinde gerekli tarama işlemlerini gerçekleştirip bilgi dönüşü yapacağınızı bildiren bir elektronik posta gönderirdim. Böylelikle biraz zaman kazanmış olursunuz.

Plesk mevcutmuş benim tahminim ortalıkda gezinen bir Plesk açığından yararlanan trojen var sanırım sizde ona maruz kaldınız. Ki dünya da birçok site bundan etkilenmiş.

Sitenizi : http://sitecheck.sucuri.net/scanner/  bu adres üzerinden tarattırınız. Adreste size gerekli bilgileri verecektir. Daha sonra sunucu üzerinde wireshark kurup paket geçişlerini kontrol ederdim.

 
Gönderildi : 24/10/2012 13:00

(@EyupAksu)
Gönderiler: 112
Estimable Member
Konu başlatıcı
 

Merhaba,

 wireshark  programını kurdum ve biraz capture aldım. Burda nereyi takip etmek gerekiyor.

Bu liste devamlı hareket halinde , UDP olarak sadece plysrv-https diye bir kayıt var.Başka upd yok.

Burda sizin kullandığınız takip nasıl nelere dikkat ediyorsunuz.

 
Gönderildi : 24/10/2012 16:25

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Selamlar,

Yukarıda verdiğim siteyi kullandınız mı ? Wireshark programının kullanımını detaylı bilmek gerekiyor. Bundan sonrasını güvenlikle ilgilenen uzmanların kontrol etmesi daha yararlı olur. 

 
Gönderildi : 26/10/2012 21:08

(@EyupAksu)
Gönderiler: 112
Estimable Member
Konu başlatıcı
 

Karşı tarafın firewall log dosyası ektedir.

-----------------------------------------------------------------

Oct 25 05:36:38 firewall nsisg1000: NetScreen
device_id=0133062007000055 
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:34:05" duration=0 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=0 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=395897 reason=Creation

Oct 25 05:39:04 firewall nsisg1000: NetScreen
device_id=0133062007000055 
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:34:05" duration=146 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=4518 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=395897 reason=Close - AGE OUT

Oct 25 05:57:01 firewall nsisg1000: NetScreen
device_id=0133062007000055 
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:54:28" duration=0 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=0 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=85876 reason=Creation

Oct 25 05:59:26 firewall nsisg1000: NetScreen
device_id=0133062007000055 
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:54:28" duration=145 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=6018 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=85876 reason=Close - AGE OUT

Oct 25 06:00:27 firewall nsisg1000: NetScreen
device_id=0133062007000055 
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:57:54" duration=0 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=0 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=145645 reason=Creation

Oct 25 06:01:51 firewall nsisg1000: NetScreen
device_id=0133062007000055 
[Root]system-notification-00257(traffic): start_time="2012-10-25
05:57:54" duration=84 policy_id=2 service=udp/port:25345 proto=17 src
zone=V1-Untrust dst zone=V1-Trust action=Permit sent=3018 rcvd=0 src=85.25.*.*
dst=89.107.*.* src_port=53 dst_port=25345 src-xlated ip=85.25.*.* port=53
dst-xlated ip=89.107.*.* port=25345 session_id=145645 reason=Close - AGE OUT

-------------------------------------------------

Server üzerinde güncel antivirüs kurulu ve sistem taraması yapıldı.Herhangi bir virüse rastlanmadı. Mail ve web server kontrol edildi.

Herhangi bir sorun bulunmadı.

Bu tarz şeyleri nasıl engellerim. Yardımlarınızı rica ederim.

Not: Karşı taraf mailin altına şunları eklemiş.

Additional Resources
http://forums.webhosting.uk.com/faqs-tutorials/8229-protecting-dns-server-against-ddos.html#.UIbUM9eExnA
http://www.publicsafety.gc.ca/prg/em/ccirc/2009/av09-011-eng.aspx
http://technet.microsoft.com/en-us/library/cc771738.aspx
http://blog.cloudflare.com/65gbps-ddos-no-problem
http://wiki.opennicproject.org/ddosBlock
http://foxpa.ws/2010/07/21/thwarting-the-isc-org-dns-ddos/
http://www.minihowto.eu/protectio-against-isc-org-any-attack-dns-attack-isc-org-any-query
http://securityaffairs.co/wordpress/3184/cyber-crime/anonymous-dns-amplification-attacks-for-operation-global-blackout.html

 
Gönderildi : 29/10/2012 11:46

(@efesulukcu)
Gönderiler: 1425
Noble Member
 

Rafet Hocanın dediği gibi wireshark yazılımını kurup capture aldıktan sonra yukarıdaki butonlardan filtre uygulayıp buradan udp 53 bakmanız gerekiyor. bu port dns portudur ve size gönderilen linklerde dns ddos saldırıları nasıl engellenir bunlar belirtilmiş

bu sıralar mail sunucu üzerinden toplu mail gönderdiyseniz dns sorgularınız artmıştır aslında sorun değildir ama sorgularınız arttığı için sizi potansiyel atakçı durumuna düşürmüş olabilir. bayram seyran kutlama mesajları buna sebep olabilir.

gönderdiğiniz loglardan ipnizin natlanmadığını anlıyorum, yani private ip public olarak çevrilmemiş. bu sunucu üzerinde kullandığınız dns sunucunuz adamlarınki değil de kendi belirleyeceğiniz bir sunucu olabilir. ns.bayarea.net 209.128.116.1 kullanabilirsiniz. böylelikle adamların sunucularındaki sorgulama riskini bitirebilirsiniz. yani karşı tarafın sana şu adresten çok sorgu gelirse uyar işini bypass edersiniz. iş yalnızca networke kalır.

sunucu üzerinde netstat -an -p udp komutuyla o an için nerelere bağlı olduğunuzu görebilirsiniz. eğer birden fazla yere veya aynı yere birden fazla bağlantınız varsa daha kalifiye bir virüs yazılımıyla sunucunuzu kontrol edin.

 
Gönderildi : 29/10/2012 16:59

(@EyupAksu)
Gönderiler: 112
Estimable Member
Konu başlatıcı
 

Efe Bey

Bilgilendirmeniz için teşekkür ederim.

Şunu sormak istiyorum

"gönderdiğiniz loglardan ipnizin natlanmadığını anlıyorum, yani private ip public olarak çevrilmemiş. bu sunucu üzerinde kullandığınız dns sunucunuz adamlarınki değil de kendi belirleyeceğiniz bir sunucu olabilir. ns.bayarea.net 209.128.116.1 kullanabilirsiniz. böylelikle adamların sunucularındaki sorgulama riskini bitirebilirsiniz. yani karşı tarafın sana şu adresten çok sorgu gelirse uyar işini bypass edersiniz. iş yalnızca networke kalır. "

Burada dediğinizi nasıl yapabilirim. Daha ayrıntılı olarak anlatabilir misiniz? 

Sunucu üzerinde netstat -an -p udp yaptım. Sadece bize ait ip adresleri listelendi.Tek satır olarak. 

 
Gönderildi : 30/10/2012 13:01

(@efesulukcu)
Gönderiler: 1425
Noble Member
 

natlanma kafa karıştırmasın da demek istediğim sizin public ipnizden bu adamlarım bir sunucusuna sürekli dns isteği gönderilmiş. eğer hizmeti aldığınız yerin dns sunucusu üzerinde ips gibi bir kontrol mekanizması varsa buna takılıyor olabilirsiniz. yani aslında adamların sizden bu kadar trafik çıkıyor bunu düzeltin diye bir talepleri değil de, benim sunucuma çok yükleniyorsun dns isteklerinle gibi bir derdi vardır.

yapıyı bilmediğim için adamlarla iletişime geçmeden seçenek sunuyorum yalnızca.

böyle bir durumda, dns sunucu olarak sunucudaki network ayarlarında bahsettiğim ipyi üst sıraya taşırsanız bu sorunu aşabilirsiniz.

 
Gönderildi : 30/10/2012 15:21

(@EnderCetin)
Gönderiler: 1
New Member
 

Çok yakın zamanda aynı sorunla karşılaştım.

Plesk kullandığını belirtmişsiniz.

Pleskde Admin olarak giriş yaptıktan sonra, Server Settings -> DNS Settings bölümünden üst menüde bulunan DNS Recursion ayarlarında localhost seçeneğini işaretleyip kabul ediniz.

DNS - Named restart ettiğinizde sorun kalmayacaktır.

 
Gönderildi : 31/10/2012 19:15

(@EyupAksu)
Gönderiler: 112
Estimable Member
Konu başlatıcı
 

Ender Bey

 DNS recursion settings bölümünde

Allow for local requests only olarak işaretli. Durumda zaten.

 
Gönderildi : 02/11/2012 17:12

Paylaş: