Ir para conteúdo
  • Cadastre-se

Mensagem de ataque sys

Marks

Por Marks
em Segurança

 Compartilhar

Posts Recomendados

Marks

Marks

Postado
Postado

Olá pessoal, migrei um dos meus servidores para a SYS nele está rodando o serviço de hospedagem e revenda cPanel.

Mais várias vezes no dia recebo e-mail informando que estou recebendo ataques e que a máquina entrou em mitigação, e logo após uns 30min recebo outro e-mail informando que o ataque parou e a máquina saiu da mitigação.

E depois de uns 40 min recebo o e-mail informado que teve outro ataque e assim vai o dia todo.

Alguém já passou por isso? Sabem me dizer oq pode está ocorrendo? Tinha este mesmo serviço em outro Datacenter e não recebia essas notificações.

Sabem me dizer se a SYS pode me "penalizar" por isso?

0

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link para o comentário
Compartilhar em outros sites
LucianoZ

LucianoZ

Postado
Postado
13 horas atrás, MarksEliel disse:

Olá pessoal, migrei um dos meus servidores para a SYS nele está rodando o serviço de hospedagem e revenda cPanel.

Mais várias vezes no dia recebo e-mail informando que estou recebendo ataques e que a máquina entrou em mitigação, e logo após uns 30min recebo outro e-mail informando que o ataque parou e a máquina saiu da mitigação.

E depois de uns 40 min recebo o e-mail informado que teve outro ataque e assim vai o dia todo.

Alguém já passou por isso? Sabem me dizer oq pode está ocorrendo? Tinha este mesmo serviço em outro Datacenter e não recebia essas notificações.

Sabem me dizer se a SYS pode me "penalizar" por isso?

Não ira lhe penalizar, isso é um e-mail automatico do VAC da ovh que lhe coloca em mitigação por estar recebendo ataques DDos.

0

Hospedagem, Revendas, Servidores VPS - [Adven Host]

Link para o comentário
Compartilhar em outros sites
Marks

Marks

Postado
  • Autor
Postado
12 minutos atrás, LucianoZ disse:

Não ira lhe penalizar, isso é um e-mail automatico do VAC da ovh que lhe coloca em mitigação por estar recebendo ataques DDos.

Entendi, percebo que quando acesso qualquer site que está no servidor fica assim: http://prntscr.com/gc2zdl
Deve ser algo relacionado a mitigação?

0

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link para o comentário
Compartilhar em outros sites
Jorge Marcelino

Jorge Marcelino

Postado
Postado
50 minutos atrás, MarksEliel disse:

Entendi, percebo que quando acesso qualquer site que está no servidor fica assim: http://prntscr.com/gc2zdl
Deve ser algo relacionado a mitigação?

Sim está relacionado! Arbor pega o primeiro pacote SYN vindo de qualquer IP desconhecido.
Arbor envia o SYN / ACK e aguarda a resposta ACK...
Se Arbor receber a resposta ACK, o IP é listado em branco (como completou o 3-way handshake com sucesso) e um TCP RST é enviado para forçar o aplicativo a reproduzir o handshake SYN-SYN / ACK-ACK. Logo após mostrar essa mensagem de "conexão redefinida" é para abrir o site ou então pode haver algum conflito com o firewall dentro do seu servidor.

0

 www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY

Link para o comentário
Compartilhar em outros sites
Marks

Marks

Postado
  • Autor
Postado
8 minutos atrás, Jorge Marcelino disse:

Sim está relacionado! Arbor pega o primeiro pacote SYN vindo de qualquer IP desconhecido.
Arbor envia o SYN / ACK e aguarda a resposta ACK...
Se Arbor receber a resposta ACK, o IP é listado em branco (como completou o 3-way handshake com sucesso) e um TCP RST é enviado para forçar o aplicativo a reproduzir o handshake SYN-SYN / ACK-ACK. Logo após mostrar essa mensagem de "conexão redefinida" é para abrir o site ou então pode haver algum conflito com o firewall dentro do seu servidor.

Aqui após a mensagem abre o site normalmente, mais aí é chato né os clientes ver essa mensagem e depois do site...

0

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link para o comentário
Compartilhar em outros sites
Marks

Marks

Postado
  • Autor
Postado

No momento estou tendo alguns problemas referente a isso, parece que alguns clientes não conseguem nem postar no blog por causa disso, fica como se a conexão fosse cortada...
Me recomendam fazer o que neste caso?

0

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link para o comentário
Compartilhar em outros sites
Marks

Marks

Postado
  • Autor
Postado
Agora, Fernando Ferenz disse:

Já verificou o apache se não é um layer 7 talvez? ja verificou o log bruto de conexõs do servidor? ja fez o filtro no CSF? ja verificou se tem algum plugin desnecessario no seu cpanel? tem n fatores que podem estar dando isso.

Segue o print do IPTraf http://prntscr.com/gcb3ev

0

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link para o comentário
Compartilhar em outros sites
Jorge Marcelino

Jorge Marcelino

Postado
Postado
9 horas atrás, MarksEliel disse:

Segue o print do IPTraf http://prntscr.com/gcb3ev

Esse é o método de mitigação da OVH, NÃO existe outro. Choopa já é diferente e não interfere.

0

 www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY

Link para o comentário
Compartilhar em outros sites
Marks

Marks

Postado
  • Autor
Postado
Agora, Jorge Marcelino disse:

Esse é o método de mitigação da OVH, NÃO existe outro. Choopa já é diferente e não interfere.

Reportei abuse ao DC onde o IP apontava e resolveu hj pela manhã.

0

<?= "Full Stack PHP Developer"; ?>
Desde 2013 trabalhando com Desenvolvimento de Sites e Gestão de Servidores.

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept