OVH Community, your new community space.

Port scans ofzo?


Scriptman
20-05-09, 01:34
Mijn broertje had ook last van een degelijke portscan op zijn dedi.
Dit wordt op een of andere via PHP gedaan, want toen ik het controle paneel van hem herstartte waren alle portscans pleite

Lennard
19-05-09, 23:00
Citaat Oorspronkelijk geplaatst door Raymon
Deze zal je niet beveiligen tegen bijvoorbeeld php exploits, enkel tegen de diepere "kernel exploits".

Ik wil eventueel wel naar je installatie kijken, als je me even een mailtje stuurt (email adres in profiel) wil ik er gerust in een dood half uurtje naar kijken voor je

Maaarrr als je niet weet hoe je server netjes strak schoon en beveiligd te houden ben je eigenlijk nog niet toe aan een dedicated server....
Dat klopt wel, ik heb d'r ook nooit mee gewerkt, maar wilde het graag een keer proberen.

Zelf programmeer ik al een dikke 5 jaar in PHP, dus dat zit wel goed, maar 't kan inderdaad zijn dat ik bewust of onbewust een opensource-iets erop heb gezet waar een exploit in zit..

Ik ga even die GRSEC proberen, bedankt.

Raymon
19-05-09, 20:29
Citaat Oorspronkelijk geplaatst door Jesper
Hmm, Ik hoorde dat OVH op jacht is naar een random OVH server, die ook port 21 scanned.
ns206688.ovh.net ziet er dan ook verdacht uit in mijn logs.

Heb de support maar even gemailed.
Voor de zekerheid heb ik die maar even geblacklist in mijn firewall (Ja, ik heb mijn servertje WEL netjes beveiligd met firewall en wel )

Jesper
19-05-09, 18:21
Hmm, Ik hoorde dat OVH op jacht is naar een random OVH server, die ook port 21 scanned.
ns206688.ovh.net ziet er dan ook verdacht uit in mijn logs.

Heb de support maar even gemailed.

Raymon
19-05-09, 15:13
Citaat Oorspronkelijk geplaatst door Lennard
Nope, ik heb vrij weinig beveiligd. :')

Ik las ergens dat je er - via het adminpanel van OVH - voor kunt kiezen om een standaard beveiligde installatie op je server te zetten. Klopt dat, en zo ja, hoe doe ik dat?
Deze zal je niet beveiligen tegen bijvoorbeeld php exploits, enkel tegen de diepere "kernel exploits".

Ik wil eventueel wel naar je installatie kijken, als je me even een mailtje stuurt (email adres in profiel) wil ik er gerust in een dood half uurtje naar kijken voor je

Maaarrr als je niet weet hoe je server netjes strak schoon en beveiligd te houden ben je eigenlijk nog niet toe aan een dedicated server....

Dirk Jan
19-05-09, 13:18
Citaat Oorspronkelijk geplaatst door Morphie
Beste lennard,

Probleem is idd jou server andere servers loopt te scannen, dit kan komen door sql injections of php injections, Als je niet weet waar dit vandaan komt, of niet weet hoe dit op te lossen is vaak een herinstallatie de enige remedie.
Let wel neem dan niet de websites mee want deze hebben dus een SQL/PHP intrusion.

Als je de website zelf geschreven hebt, let erop dat je je gets en je posts filtert zodat je de sql/php injections eruit haalt.

Zorg in ieder geval dat je de scans beŽindigd worden anders wordt je server echt uitgeschakeld. OVH heeft zeer strikte regels over portscanning.

Met vriendelijke groet

Morphie
Morphie, heb deze mail zojuist ook naar de helpdesk gestuurd vanwege dit topic...

Ik heb op een server Nagios draaien, die controlleerd, o.a. door portscans of deze nog online is. Ik neem aan dat dit wel is toegestaan, aangezien ik nergens nog van gehoord heb.

Morphie
19-05-09, 12:55
Beste lennard,

Probleem is idd jou server andere servers loopt te scannen, dit kan komen door sql injections of php injections, Als je niet weet waar dit vandaan komt, of niet weet hoe dit op te lossen is vaak een herinstallatie de enige remedie.
Let wel neem dan niet de websites mee want deze hebben dus een SQL/PHP intrusion.

Als je de website zelf geschreven hebt, let erop dat je je gets en je posts filtert zodat je de sql/php injections eruit haalt.

Zorg in ieder geval dat je de scans beŽindigd worden anders wordt je server echt uitgeschakeld. OVH heeft zeer strikte regels over portscanning.

Met vriendelijke groet

Morphie

Dirk Jan
19-05-09, 12:34
Dat kan inderdaad, via NETBOOT, en dan een Kernel kiezen met GRSEC.
Server rebooten en hopaa. (let erop bij het inloggen van SSH, dat deze ook GRSEC weergeeft, zo niet is er iets misgegaan.

Lennard
19-05-09, 12:30
Nope, ik heb vrij weinig beveiligd. :')

Ik las ergens dat je er - via het adminpanel van OVH - voor kunt kiezen om een standaard beveiligde installatie op je server te zetten. Klopt dat, en zo ja, hoe doe ik dat?

Raymon
19-05-09, 10:35
Lijkt erop dat je server ftp poorten op andere ip adressen aan het afscannen is. Misschien staat er een rootkit/trojan/exploit op?

Wat heb je gedaan om de beveiliging van je server in orde te maken na installatie? heb je een firewall geinstalled, php beveiligd? of Draai je joomla, phpbb achtige software? Indien 1e vraag: Niets! is en 2e vraag: Ja.. dan is het 99% zeker dat je bak ge-exploit is

Lennard
19-05-09, 10:09
Hallo,

De laatste 2 dagen krijg ik telkens deze mailtjes:
Dear Customer,

We have detected a port SCAN and/or intrusion attempts from your server ks35352.kimsufi.com.

We are asking you to find the origin of these connections and to correct at the earliest any security flaws that you can identify.

If these connections have been legitimately made on your server, we ask you to customize the reverse server: http://help.ovh.co.uk/PersonalisedReverse

If you do not take any action, we will have no choice but to deactivate your server.


--------------------------- LOGS DE SCAN ---------------------------

new scan detection

startime endtime scrort dstort
----------------------------------------------------------------------------------------------
2009-05-19 08:14:22 2009-05-19 08:14:23 213.251.186.132:48041 213.199.13.218:21
2009-05-19 08:14:58 2009-05-19 08:14:58 213.251.186.132:54676 213.193.116.34:21
2009-05-19 08:14:23 2009-05-19 08:14:24 213.251.186.132:51358 213.140.5.232:21
2009-05-19 08:14:58 2009-05-19 08:14:59 213.251.186.132:46035 213.140.0.48:21
2009-05-19 08:14:24 2009-05-19 08:14:58 213.251.186.132:48089 213.140.1.253:21
2009-05-19 08:14:25 2009-05-19 08:14:25 213.251.186.132:53761 213.193.120.45:21
2009-05-19 08:14:34 2009-05-19 08:14:35 213.251.186.132:43515 213.163.3.10:21
2009-05-19 08:14:58 2009-05-19 08:14:58 213.251.186.132:54165 213.193.116.2:21
2009-05-19 08:14:34 2009-05-19 08:14:34 213.251.186.132:37307 213.163.7.73:21
2009-05-19 08:14:58 2009-05-19 08:14:59 213.251.186.132:53240 213.199.7.35:21
2009-05-19 08:14:28 2009-05-19 08:14:56 213.251.186.132:54802 213.162.9.33:21


--------------------------- FIN DES LOGS ---------------------------
Heeft iemand een idee wat ik hier tegen kan doen?
Ik raak niet graag m'n dedi kwijt namelijk.

Alvast bedankt,

Lennard.