server vytvari moc UDP spojeni

[net.work]

Zdravim Vas,

posledni tyden me zacal trapit podivny problem - mam na siti jeden server s win7 (legal), ktery bezi uz vice nez rok vicemene bez jedineho problemu...
Posledni tyden, ale zacinam pozorovat toto (udaj z netflow):



(206.206 je IP serveru) takovych to UDP prenosu udela behem cca. 1-2minut nekolik tisic.. Dokaze to dokonce kompletne vytizit 100Mbit upload linky do netu.

Cely komp jsem projizdel microsoftim antivirem, nodem a spybotem - neco (cca. 2 polozky) to naslo, ale problem to nevyresilo... Firewall je samozrejme zaply a jsou v nem povoleny pouze nezbytne nutne sluzby/porty...

Graf do netu pak vypada takto:

http://62.209.206.2/graphs/iface/ether1/


Neporadi nekdo co s tim????

[Repkins]

Přesně tohle se mě stalo loni koncem roku, když jsem měl nahozenej jeden náhradní server s WinXP, Apache, MySQL. Firewall zapnutej, povolenej jen port 80, aktualizace pravidelně instalovaný. Někdo se tam naboural a mašina pak hltila linku do netu UDP provozem během pár sekund mraky connections. Proklepnul jsem celej systém a zjistil jsem, že tam někdo vytvořil druhýho uživatele a nainstaloval tam nějakej softwer a kupodivu i torrent klienta. Tak jsem to všechno polikvidoval, ale mám pocit, že to UDP bombardování se ještě několikrát opakovalo, Tak jsem jako nouzovku vytvořil pár dropovacích pravidel a rychle jsem zprovoznil server na linuxu, kam jsem pak přesunul obsah toho náhradního serveru a ten jsem pak odpojil.

[net.work]

Přesně tohle se mě stalo loni koncem roku, když jsem měl nahozenej jeden náhradní server s WinXP, Apache, MySQL. Firewall zapnutej, povolenej jen port 80, aktualizace pravidelně instalovaný. Někdo se tam naboural a mašina pak hltila linku do netu UDP provozem během pár sekund mraky connections. Proklepnul jsem celej systém a zjistil jsem, že tam někdo vytvořil druhýho uživatele a nainstaloval tam nějakej softwer a kupodivu i torrent klienta. Tak jsem to všechno polikvidoval, ale mám pocit, že to UDP bombardování se ještě několikrát opakovalo, Tak jsem jako nouzovku vytvořil pár dropovacích pravidel a rychle jsem zprovoznil server na linuxu, kam jsem pak přesunul obsah toho náhradního serveru a ten jsem pak odpojil.

hmm, tak to je teda celkem hardcore... ucty jsem jeste nekontroloval, ale co se tyce procesu, tak je to fakt ciste....

[reset]

sorry, ale vystavil widle server na internet je sebevrazda v primym prenosu .
Kazdej stredne zkusenej hacker ti to loupne behem chvile a muzes tam mit treba bambilion firewallu

[net.work]

sorry, ale vystavil widle server na internet je sebevrazda v primym prenosu .
Kazdej stredne zkusenej hacker ti to loupne behem chvile a muzes tam mit treba bambilion firewallu

a to si jako myslis ze vsechny servery na celem svete bezi na Vasem milovanem Linuxu?
Nevim proc tu pises kraviny - vim, je to trosku o hubu, ale vice nez rok s tim nebyl problem tak nevim proc by to nemelo fungovat i na dale.....

[reset]

nerikam ze na linuxovejch zrovna, ale unixovejch a jinych systemech (jinych nezli widle) bezi prevazna vetsina inetu .
Ja proti tvym widlim nic nemam, klidne si je tam nech pusteny, muzou ti bezet rok , dva , tri , 10 let , a nebo taky den , dva, tri .
Je otazkou proc by nekdo hakoval zrovna tvuj server , ale vzdycky se nejaky nenechavec najde.

viz treba Repkins

[net.work]

nerikam ze na linuxovejch zrovna, ale unixovejch a jinych systemech (jinych nezli widle) bezi prevazna vetsina inetu .
Ja proti tvym widlim nic nemam, klidne si je tam nech pusteny, muzou ti bezet rok , dva , tri , 10 let , a nebo taky den , dva, tri .
Je otazkou proc by nekdo hakoval zrovna tvuj server , ale vzdycky se nejaky nenechavec najde.

viz treba Repkins

jasne, urcite riziko tam je, ale neverim tomu ze to nejde zabezpecit...

jinak repkins mel winXP ktere bych se bal mit i za NATem, natoz na verejne IP...

[Repkins]

Ono s těma Woknama je to spíš o náhodě, že se tam někdo trefí. Mám jeden miniserver, kde mě běží na woknech (WIN2000) web už asi 6 let bez jedinýho problému, monitoring sítě mě taky běžel pod woknama několik let bez problémů + pár dalších PC s woknama, který sedí 24h/7d na veřejné IP. Ve firmách, kde se staráme o síťě taky jedou WIN servery a v klidu.

[Repkins]

Zrovna teď jsem izoloval jednoho hackerskýho šmejda, co se zmocnil vzdálené plochy na PC v jedné klientské firmě. Vytvořil si tam uživatelskej účet s názvem sys, kterej nebyl v seznamu uživatelů vidět a nainstaloval si tam nějakej soft, kterej pak skenoval net a hledal PC s dostupnou vzdálenou plochou a snažil se tam nabourat. Celá tahle sranda generovala 16Mbit datovýho toku, což jim trochu vysosnulo net. Navíc jsem tam našel nainstalovanej nějakej modifikovanej terminálovej server. Už to má za sebou. Kdybyste náhodou někdy v task manageru narazili na proces "svshost" (nikoliv svchost), tak to rychle killnite. Ten soft, co tam byl nainstalovanej se jmenuje DUBrute, nějakej lamač hesel.

[okoun]

ano, z vlastní zkušenosti windows server nikdy nedávám na veřejnou adresu, windows server jsou dobré tak někam do lanky, kde třeba obstarávají nějaké active directory, ale prostě nic více, provozovat webserver na windows server je fakt slušná sebevražda, jak už tady někdo písal.