Forum

Windows sunucu sald...
 
Bildirimler
Hepsini Temizle

Windows sunucu saldırı sorunu

halit mahmut
(@halitmahmut)
Üye

Merhaba çözümpark ailesi.

Sunucuma yapılan saldırı olan şüphelendiğim bir sorun var.

Olay kısaca şöyle

benim sunucuma dışarıdan sadece 4 port açık

16700, 16701 16703  ve 21 portu.

Şimdi, bütün gün hiç bir sıkıntı yokken akşam 21 sıralarında kullanıcıların yoğun olduğu anlarda bi şekilde 16700 veya 16703 portuna 80 portundan yoğun istek geliyor.

ve exeler arası iletişim sağlanamadığı için tüm kullanıcılar düşüyor.

Sorun şu ben bunu sunucu aldığım yer e bildirince bu bir sorun değil, olur böyle istekler diye yanıt alıyorum, fakat neden gün boyu bir sıkıntı çıkmıyor da akşam bu istekleri almaya başlayınca sorun yaşıyorum bilemiyorum.

Aşağıda sunucudan aldığım ağ trafiğinin web monitor den görüntüsünü paylaşacağım.

Ek olarak eğer yardımcı olacaksa wireshark izleme kayıtlarını da atabilirim.

https://drive.google.com/open?id=0B3IHPIVT6gkqVjRCVXRCWE5VMU0

bu da drive linki.

Alıntı
Konu başlatıcı Gönderildi : 20/08/2017 00:33
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba

logları inceledim size bariz bir şekilde atak yapılıyor, nereden hizmet alıyorsunuz, bence bu loglara bakıp olur böyle şeyler diyen şirketi acil olarak değiştirin, biz ÇözümPark olarak sadecehosting kullanıyoruz ve çok memnunuz veya azure deneyebilirsiniz pek çok müşterimiz azure üzerinde bu tür sorunlar yaşamıyor. 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 20/08/2017 13:58
yasin karaman
(@yasinkaraman)
Üye

Merhaba Hakan Hocam,

Bu tür bilgileri bende kendi sistemim üzerinde kontrol etmek istiyorum. Acaba bunun takibini nerden ve nasıl yapabilirim ???

CevapAlıntı
Gönderildi : 22/08/2017 17:11
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Size bu hizmeti sunan şirket vermeli, yani bir paneliniz olur normalde.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 23/08/2017 01:42
halit mahmut
(@halitmahmut)
Üye

[quote user="Hakan UZUNER"]

Merhaba

logları inceledim size bariz bir şekilde atak yapılıyor, nereden hizmet alıyorsunuz, bence bu loglara bakıp olur böyle şeyler diyen şirketi acil olarak değiştirin, biz ÇözümPark olarak sadecehosting kullanıyoruz ve çok memnunuz veya azure deneyebilirsiniz pek çok müşterimiz azure üzerinde bu tür sorunlar yaşamıyor. 

[/quote]

teşekkürler Hakan hocam, şirketi değiştirdim. Şuan yeni şirkette deneme sürecine girdim. Umarım buradaki firewall diğer şirketteki gibi "turşu" olmaz. Çünkü bana pazar günü saldırı geldiğinde malum "turşu" şirketin tüm ağı çöktü ve benim ipmi suspendleyip bana ipnizi değiştirin diye mesaj geldi. Ben de ne zamandır ip değiştirmek çözüm oldu, yoksa benim mi haberim yok diye düşünüyorum. 

CevapAlıntı
Konu başlatıcı Gönderildi : 23/08/2017 15:38
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Aslında bu işler biraz para ile ilgili, shared sistemler ucuzdur ve eğer bir saldırı alır ise onu kapatır veya engellerler, yani bu normal, ama daha çok para öderseniz daha iyi hizmet alırsınız. Yeni yer umarım daha iyi olur eğer orada da sorun yaşarsanız bir azure deneyelim derim

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 23/08/2017 20:02
halit mahmut
(@halitmahmut)
Üye

[quote user="Hakan UZUNER"]

Aslında bu işler biraz para ile ilgili, shared sistemler ucuzdur ve eğer bir saldırı alır ise onu kapatır veya engellerler, yani bu normal, ama daha çok para öderseniz daha iyi hizmet alırsınız. Yeni yer umarım daha iyi olur eğer orada da sorun yaşarsanız bir azure deneyelim derim

[/quote]

Yeni yer ile ilgili şuanlık bir şikayetim yok. Gayet iyi gidiyor. Günde 40 kadar farklı zamanlarda saldırı geldiğinin log bilgisini alıyorum. Önceki şirketteki gibi syn-flood saldırısı da yapılmış ama bir yansıma görmedim sunucuma. Sanırım burası şuanlık yeterli hocam, teşekkürler destekleriniz için.

CevapAlıntı
Konu başlatıcı Gönderildi : 25/08/2017 05:32
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Rica ederim, geçmiş olsun.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 25/08/2017 12:24
Paylaş: