Olá pessoal, migrei um dos meus servidores para a SYS nele está rodando o serviço de hospedagem e revenda cPanel.

Mais várias vezes no dia recebo e-mail informando que estou recebendo ataques e que a máquina entrou em mitigação, e logo após uns 30min recebo outro e-mail informando que o ataque parou e a máquina saiu da mitigação.

E depois de uns 40 min recebo o e-mail informado que teve outro ataque e assim vai o dia todo.

Alguém já passou por isso? Sabem me dizer oq pode está ocorrendo? Tinha este mesmo serviço em outro Datacenter e não recebia essas notificações.

Sabem me dizer se a SYS pode me "penalizar" por isso?

13 horas atrás, MarksEliel disse:

Olá pessoal, migrei um dos meus servidores para a SYS nele está rodando o serviço de hospedagem e revenda cPanel.

Mais várias vezes no dia recebo e-mail informando que estou recebendo ataques e que a máquina entrou em mitigação, e logo após uns 30min recebo outro e-mail informando que o ataque parou e a máquina saiu da mitigação.

E depois de uns 40 min recebo o e-mail informado que teve outro ataque e assim vai o dia todo.

Alguém já passou por isso? Sabem me dizer oq pode está ocorrendo? Tinha este mesmo serviço em outro Datacenter e não recebia essas notificações.

Sabem me dizer se a SYS pode me "penalizar" por isso?

Não ira lhe penalizar, isso é um e-mail automatico do VAC da ovh que lhe coloca em mitigação por estar recebendo ataques DDos.

12 minutos atrás, LucianoZ disse:

Não ira lhe penalizar, isso é um e-mail automatico do VAC da ovh que lhe coloca em mitigação por estar recebendo ataques DDos.

Entendi, percebo que quando acesso qualquer site que está no servidor fica assim: http://prntscr.com/gc2zdl
Deve ser algo relacionado a mitigação?

50 minutos atrás, MarksEliel disse:

Entendi, percebo que quando acesso qualquer site que está no servidor fica assim: http://prntscr.com/gc2zdl
Deve ser algo relacionado a mitigação?

Sim está relacionado! Arbor pega o primeiro pacote SYN vindo de qualquer IP desconhecido.
Arbor envia o SYN / ACK e aguarda a resposta ACK...
Se Arbor receber a resposta ACK, o IP é listado em branco (como completou o 3-way handshake com sucesso) e um TCP RST é enviado para forçar o aplicativo a reproduzir o handshake SYN-SYN / ACK-ACK. Logo após mostrar essa mensagem de "conexão redefinida" é para abrir o site ou então pode haver algum conflito com o firewall dentro do seu servidor.

8 minutos atrás, Jorge Marcelino disse:

Sim está relacionado! Arbor pega o primeiro pacote SYN vindo de qualquer IP desconhecido.
Arbor envia o SYN / ACK e aguarda a resposta ACK...
Se Arbor receber a resposta ACK, o IP é listado em branco (como completou o 3-way handshake com sucesso) e um TCP RST é enviado para forçar o aplicativo a reproduzir o handshake SYN-SYN / ACK-ACK. Logo após mostrar essa mensagem de "conexão redefinida" é para abrir o site ou então pode haver algum conflito com o firewall dentro do seu servidor.

Aqui após a mensagem abre o site normalmente, mais aí é chato né os clientes ver essa mensagem e depois do site...

No momento estou tendo alguns problemas referente a isso, parece que alguns clientes não conseguem nem postar no blog por causa disso, fica como se a conexão fosse cortada...
Me recomendam fazer o que neste caso?

Já verificou o apache se não é um layer 7 talvez? ja verificou o log bruto de conexõs do servidor? ja fez o filtro no CSF? ja verificou se tem algum plugin desnecessario no seu cpanel? tem n fatores que podem estar dando isso.

Agora, Fernando Ferenz disse:

Já verificou o apache se não é um layer 7 talvez? ja verificou o log bruto de conexõs do servidor? ja fez o filtro no CSF? ja verificou se tem algum plugin desnecessario no seu cpanel? tem n fatores que podem estar dando isso.

Segue o print do IPTraf http://prntscr.com/gcb3ev

9 horas atrás, MarksEliel disse:

Segue o print do IPTraf http://prntscr.com/gcb3ev

Esse é o método de mitigação da OVH, NÃO existe outro. Choopa já é diferente e não interfere.

Agora, Jorge Marcelino disse:

Esse é o método de mitigação da OVH, NÃO existe outro. Choopa já é diferente e não interfere.

Reportei abuse ao DC onde o IP apontava e resolveu hj pela manhã.