Beste medegebruikers,
Het blijkt dat een site van een van mijn relaties gebruikt wordt om DDoS aanvallen te plegen / poorten te scannen.
De site is op donderdag 10 november in gebruik genomen met de OC 2.1.0.1 en op vrijdag 11 november kregen we onderstaande melding.
Wat is hier aan te doen en waar kan dit aan liggen???
Abuse Message [AbuseID:2D20B5:27]: PortscanInLevel: Portscan detected from 200.74.241.193
Dear Sir or Madam,
We have evidence that a network scan (or network attack) was carried out on a server belonging to a client of ours, from an IP address under your responsibility.
Please take all necessary actions to avoid this in the future and to resolve the current issue.
Furthermore we request a short statement, with information on the cause of the issue, as well as your response.
Please use the following link for the statement: http://abuse.hetzner.de/statements/?tok ... dbf46a30c7
Notes:
You should get this information only a few minutes after the incident.
All timestamps are in Central European Time (Berlin).
Important note:
When replying to us, please leave the abuse ID [AbuseID:2D20B5:27] unchanged in the subject line.
Please note that we do not provide telephone support in our department.
If you have any questions, please send them to us by responding to this email.
Kind regards
Network department
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen / Germany
Tel: +49 9831 505-0
Fax: +49 9831 505-3
abuse@hetzner.de
http://www.hetzner.com
Register Court: Registergericht Ansbach, HRB 6089
CEO: Martin Hetzner
On 11 Nov 18:06, root@monitoring2.rz1.hetzner.de wrote:
> ##########################################################################
> # Portscan detected from host 200.74.241.193 #
> ##########################################################################
>
> time protocol src_ip src_port dest_ip dest_port
> ---------------------------------------------------------------------------
> Fri Nov 11 18:06:09 2016 TCP 200.74.241.193 80 => 88.99.149.247 4176
> Fri Nov 11 18:05:29 2016 TCP 200.74.241.193 80 => 88.99.106.250 47894
> Fri Nov 11 18:05:54 2016 TCP 200.74.241.193 80 => 88.99.52.67 50624
> Fri Nov 11 18:05:36 2016 TCP 200.74.241.193 80 => 88.99.250.152 13789
> Fri Nov 11 18:05:41 2016 TCP 200.74.241.193 80 => 88.99.87.150 23955
> Fri Nov 11 18:05:34 2016 TCP 200.74.241.193 80 => 88.99.87.172 4058
> Fri Nov 11 18:05:09 2016 TCP 200.74.241.193 80 => 88.99.240.172 4058
> Fri Nov 11 18:05:44 2016 TCP 200.74.241.193 80 => 88.99.222.219 56413
> Fri Nov 11 18:05:45 2016 TCP 200.74.241.193 80 => 88.99.190.20 736
> Fri Nov 11 18:05:04 2016 TCP 200.74.241.193 80 => 88.99.125.82 89
En deze lijst is nog 100x langer...
Graag advies..
Als ik naar je IP's kijk zie ik 200.74.241.193 dit is een IP uit IP address 200.74.241.193
200.74.241.193 or host-200-74-241-193.ccipanama.com is an IPv4 address owned by Cyber Cast International and located in Panama City, Panama
en niet van Hetzner
200.74.241.193 or host-200-74-241-193.ccipanama.com is an IPv4 address owned by Cyber Cast International and located in Panama City, Panama
en niet van Hetzner
Gelukkig ken ik het uitlezen van error logs en server logs.Als je goed kijkt:
Dus met andere woorden IP 200.74.241.193 is een server van jouw en als jij de beheerder bent dan moet je dat account suspenden of de geïnstalleerde OpenCart shop goed bekijken of er geen hack files in zitten.Het blijkt dat een site van een van mijn relaties gebruikt wordt om DDoS aanvallen te plegen / poorten te scannen.
Als je de files van je site compared met een standaard versie kom je wel eens vreemde files tegen. Is dit niet het geval dan is je server compromised.
Maar zo te zien is er niet veel haast bij als ik de tussen liggende tijd zie tussen de posts
Maar zo te zien is er niet veel haast bij als ik de tussen liggende tijd zie tussen de posts
Hoi K2tech,
Ik heb de VPS server een ander IP-adres gegeven en alles via business versie van CloudFlare laten lopen.
Sindsdien draait het weer.
Daarnaast heb ik een gezondheids- en visumprobleempje gehad wat de nodige tijd heeft gekost.
Nog steeds nieuwsgierig naar hoe dit zo kwam. Er stonden ook geen vreemde files op de server. Ik zit nu wel met een ander probleempje en dat is dat er geen notification emails worden verstuurd naar de shopeigenaar en de klant.
En hier zijn de CloudFlare settings. Hier staan de vereiste settings:
Manual Settings
If you do not see an auto-configuration script for your client in the list above, you can manually configure your mail client using the settings below:
Non-SSL Settings
(NOT Recommended)
Username: sales@kingofhearts.click
Password: Use the email account’s password.
Incoming Server: mail.kingofhearts.click
IMAP Port: 143
POP3 Port: 110
Outgoing Server: mail.kingofhearts.click
SMTP Port: 26
Authentication is required for IMAP, POP3, and SMTP.
Heb ik ergens iets fout gedaan?
Ik heb de VPS server een ander IP-adres gegeven en alles via business versie van CloudFlare laten lopen.
Sindsdien draait het weer.
Daarnaast heb ik een gezondheids- en visumprobleempje gehad wat de nodige tijd heeft gekost.
Nog steeds nieuwsgierig naar hoe dit zo kwam. Er stonden ook geen vreemde files op de server. Ik zit nu wel met een ander probleempje en dat is dat er geen notification emails worden verstuurd naar de shopeigenaar en de klant.
En hier zijn de CloudFlare settings. Hier staan de vereiste settings:
Manual Settings
If you do not see an auto-configuration script for your client in the list above, you can manually configure your mail client using the settings below:
Non-SSL Settings
(NOT Recommended)
Username: sales@kingofhearts.click
Password: Use the email account’s password.
Incoming Server: mail.kingofhearts.click
IMAP Port: 143
POP3 Port: 110
Outgoing Server: mail.kingofhearts.click
SMTP Port: 26
Authentication is required for IMAP, POP3, and SMTP.
Heb ik ergens iets fout gedaan?
Who is online
Users browsing this forum: No registered users and 55 guests