SYS bloqueando ip

[Joel Emanoel]

Tenho um Servidor Dedicado na SoYouStart e está bloqueando o ip do nada, consegui desbloquear o ip e depois de 10 segundos bloqueou novamente. Isso acontece frequentemente, é uma VPS Linux que está só instalado o CPanel, entrei em contato com eles e falaram que não tinham conhecimento. Estou perdendo muitos ips por causa disso...

[Julianodls]

Olá

Temos outros clientes com este mesmo problemas e suporte da ( SoYouStart ) solicito verificar vulnerabilidade do sistema rsrsrs , mais mais mim isso é muito chato este tipo de bloqueio do sistema deles por que só depois de 24hs dependo você pode desbloquear IP...

Amigo verifica e instala firewall em seu VPS em nosso caso resolveu os problemas..

[Joel Emanoel]

@iwebhosting Essa VPS eu tinha instalado o CSF ai achei que poderia ser alguma regra do csf sei lá ai resolvi desinstalar e voltou ao normal depois de um tempo (Não era o CSF).
@gustavoaraujo eu uso o Virtualizor da Softaculous.

[Joel Emanoel]

Attack detail : 42Kpps/1Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason               
2015.07.23 03:34:47 CEST   IP:31161      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:53763      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:62665      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:28420      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:4846       59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:33282      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:17427      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:57889      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:8758       59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:11509      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:31863      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:51968      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:34598      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:61583      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:51891      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:23867      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:42137      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:40733      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:47829      59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN       
2015.07.23 03:34:47 CEST   IP:9757       59.36.97.167:80         TCP      SYN            48 ATTACK:TCP_SYN      

As portas são ranges, o interessante é que os ataques são efetuados no mesmo segundo o que seria impossível, os ataques teriam diferença de pelo menos um segundo...

[Joel Emanoel]

Limitando a porta foi solucionado limite para verificar. Coloque uns 50 MB para começo e veja ou 100 MB.

Ela estava em 100MB agora coloquei em 20MB para testar...

[Joel Emanoel]

Você sabe qual comando eu posso verificar de onde está saindo essas conexões?

[Joel Emanoel]

OK vamos ver o que ocorre é para resolver comigo foi solucionado. Além de uma revisão de segurança

Bom fiz esse procedimento abaixei para 20mb e o problema persistiu, é impossível ter algum arquivo malicioso pois ainda não está em produção e só fiz a instalação do Cpanel.
É impossível uma coisa dessas, a OVH/SYS está me decepcionando. Você sabe algum script que eu possa verificar se há algum vírus?

[Lucasljj]

Bom fiz esse procedimento abaixei para 20mb e o problema persistiu, é impossível ter algum arquivo malicioso pois ainda não está em produção e só fiz a instalação do Cpanel.É impossível uma coisa dessas, a OVH/SYS está me decepcionando. Você sabe algum script que eu possa verificar se há algum vírus?

Qual a procedência desse teu Cpanel? '-'

É original, licenciado?

[Joel Emanoel]

Amigo até onde sei não existe CPanel pirata, vamos lá, tenho centenas de servidores no Dedicado (que é virtualizado, óbvio) e no meu primeiro IP que foi o que instalei o CPanel deu o mesmo problema eu instalei o Cpanel na máquina e aconteceu isso, desbloqueie o IP e depois não tive mas problemas, agora que instalei o CPanel para um cliente aconteceu isso, já mudei de IP e o problema persiste o CPanel é baixado direto do site deles e é IMPOSSÍVEL que a máquina tenha vírus pois só o CPanel foi instalado, o mais incrível é que após eu instalar o CPanel o IP é bloqueado, acabou a instalação o IP é bloqueado, até desisti do cliente pois se continuar com isso com certeza a OVH não vai ter pena e vai deletar meu dedicado.