Ataques na Psychz Networks?

[Cauan]

Boa tarde

Hoje pela manhã um cliente entrou em contato pedindo ajuda. Ele esta desde o dia 26/12/19, durante todos os dias até hoje, recebendo tentativas de conexão via ssh em 4 servidores que ele possui no DC Psychz Networks. Eu olhei os logs do firewall e são muitas tentativas todos dias, vindas de diversos países de tudo que é canto do mundo.

Ajustamos country code no firewall do servidor e até no cloudflare mas nada resolve.

Alguém sabe informar se esse DC é confiável? Alguém que tenha servidores lá tem passado por isso?

[Seto_Ichitaka]

32 minutos atrás, Cauan disse:

Boa tarde

Hoje pela manhã um cliente entrou em contato pedindo ajuda. Ele esta desde o dia 26/12/19, durante todos os dias até hoje, recebendo tentativas de conexão via ssh em 4 servidores que ele possui no DC Psychz Networks. Eu olhei os logs do firewall e são muitas tentativas todos dias, vindas de diversos países de tudo que é canto do mundo.

Ajustamos country code no firewall do servidor e até no cloudflare mas nada resolve.

Alguém sabe informar se esse DC é confiável? Alguém que tenha servidores lá tem passado por isso?

Você usa porta padrão?

[Jorge Marcelino]

17 minutos atrás, Vitor Hugo Rocha disse:

Proteção DDoS da Psychz é quase inexistente.

Eu posso lhe garantir que a proteção deles é uma das mais eficazes que existe, inclusive contra ataques Layer 7.  Foi uma das melhores que encontramos até hoje, eles fornecem um painel completo para ajustes de ACL e monitoramento.
Temos servidores rodando em produção lá e lida muito bem com qualquer tipo de ataque, recentemente (Agosto do ano passado) tiveram um problema em um dos DCs em Ashburn que foi afetado por um raio, resolveram em tempo hábil.

A rede é sólida não possuí downtime a pelo menos 3 anos que utilizamos em Los Angeles, porém a Hivelocity possuí melhores rotas e otimização,  consecutivamente a latência é bem melhor e possuem discos SSD NVMe de grande volume, na Psychz é difícil ter disponível discos SSD comum nas localidades e é de apenas 1TB o máximo.
 

57 minutos atrás, Cauan disse:

Boa tarde

Hoje pela manhã um cliente entrou em contato pedindo ajuda. Ele esta desde o dia 26/12/19, durante todos os dias até hoje, recebendo tentativas de conexão via ssh em 4 servidores que ele possui no DC Psychz Networks. Eu olhei os logs do firewall e são muitas tentativas todos dias, vindas de diversos países de tudo que é canto do mundo.

Ajustamos country code no firewall do servidor e até no cloudflare mas nada resolve.

Alguém sabe informar se esse DC é confiável? Alguém que tenha servidores lá tem passado por isso?

Esse ataque é comum, isso não tem nenhuma relação com o DC que utiliza. Altere a porta padrão do SSH e deve resolver de forma satisfatória.

Editado Janeiro 15, 2020 por Jorge Marcelino

[Cauan]

5 minutos atrás, Seto_Ichitaka disse:

Você usa porta padrão?

Não

 

Agora, Jorge Marcelino disse:

Esse ataque é comum, isso não tem nenhuma relação com o DC que utiliza. Altere a porta padrão do SSH e deve resolver de forma satisfatória.

Todos os 4 servidores não rodam na porta padrão, mas a questão da porta não seria o problema pois nos logs percebe-se que o ataque e feito por algum script e em cada tentativa ele muda a porta, usuário e senha (obvio para uma tentativa de acesso). Então fica o tempo todo o servidor recebendo essas tentativas de acesso e todo tempo o cliente fica recebendo emails do firewall alertando sobre isso.

O mais estranho é que são 4 servidores, todos atrás do proxy do cloudflare, ou seja, o IP real está oculto, sendo assim é um ataque que está sendo claramente direcionado para a rede/range de IPs do DC por "alguém" que conhece a rede e sabe quais IPs que pertencem ao DC.

O cliente migrou para este DC em novembro do ano passado, antes estava na OVH e não acontecia, muito de vez em quando tinham tentativas de acesso. Na Psychz chegam a ser 400 por dia.

 

[Jorge Marcelino]

44 minutos atrás, Cauan disse:

Não

 

Todos os 4 servidores não rodam na porta padrão, mas a questão da porta não seria o problema pois nos logs percebe-se que o ataque e feito por algum script e em cada tentativa ele muda a porta, usuário e senha (obvio para uma tentativa de acesso). Então fica o tempo todo o servidor recebendo essas tentativas de acesso e todo tempo o cliente fica recebendo emails do firewall alertando sobre isso.

O mais estranho é que são 4 servidores, todos atrás do proxy do cloudflare, ou seja, o IP real está oculto, sendo assim é um ataque que está sendo claramente direcionado para a rede/range de IPs do DC por "alguém" que conhece a rede e sabe quais IPs que pertencem ao DC.

O cliente migrou para este DC em novembro do ano passado, antes estava na OVH e não acontecia, muito de vez em quando tinham tentativas de acesso. Na Psychz chegam a ser 400 por dia.

 

Você já tentou falar com o suporte sobre isso? Eles podem ajustar pra você a proteção.

[Otavio]

@Jorge Marcelino Ps a proteção da hivelocity é boa só pagar segura layer 7 tambem tenho em 2 maquinas de hospedagem kkk 

@CauanPs esta usando CSF ?

[Jorge Marcelino]

19 minutos atrás, Otavio disse:

@Jorge Marcelino Ps a proteção da hivelocity é boa só pagar segura layer 7 tambem tenho em 2 maquinas de hospedagem kkk 

@CauanPs esta usando CSF ?

Nós temos a proteção adicional deles também. Utilizam a CORERO empresa especializada no ramo.

[Leandro Delux]

Utilizei certa vez para hospedar Games, pois estava recebendo ataques em potencial, e em outras empresas não conseguiram segurar.

A proteção conseguiu filtrar em partes, mas como era games, os picos e lags eram constantes enquanto estava sob ataque,  entao, não sei qual é sua aplicação, mas pra minha aplicação não funcionou como eles descrevem no site!

 

[Henriquegs]

20 minutos atrás, Smith disse:

Utilizei certa vez para hospedar Games, pois estava recebendo ataques em potencial, e em outras empresas não conseguiram segurar.

A proteção conseguiu filtrar em partes, mas como era games, os picos e lags eram constantes enquanto estava sob ataque,  entao, não sei qual é sua aplicação, mas pra minha aplicação não funcionou como eles descrevem no site!

 

A Proteção deles não é bom para jogos.

Nenhum tipo, dependendo do tipo de ataque vai ter perda de pacotes, coisa que na OVH não ocorre e é muito dificil derrubar independente do tipo de ataque.

[Jorge Marcelino]

27 minutos atrás, Smith disse:

Utilizei certa vez para hospedar Games, pois estava recebendo ataques em potencial, e em outras empresas não conseguiram segurar.

A proteção conseguiu filtrar em partes, mas como era games, os picos e lags eram constantes enquanto estava sob ataque,  entao, não sei qual é sua aplicação, mas pra minha aplicação não funcionou como eles descrevem no site!

 

Chegou a testar para games a proteção da Hivelocity?