LINUX.ORG.RU
решено ФорумAdmin

Абуза от хетцнеров. Подскажите, как искать причину.

 , ,


1

1

We have received information regarding spam and/or abuse from autogenerated@blocklist.de.

Please would you take all necessary measures to avoid this in future.

Furthermore, we request that you send a short response within 24 hours to us and to the complainant. This response should contain information about how this issue could happen and what you intend to do about it.

How to proceed:

- Solve the problem.
- Send a response to us using the following link: http://abuse.hetzner.de/statements/?token=blablabla
- Send a response by email to the complainant

A technician will check the data and coordinate further proceedings. If multiple complaints have been received, the situation could lead to the server being blocked.

Important note:



Не пинайте, пожалуйста, за незнание, но. Мне никогда не приходилось расследовать. Хочу научиться. Подскажите, какие утилиты мне в помощь нужны, на что обратить внимание, куда копать?

★★★★★
SSD vs HHD@RAID0
IP Route на Centos 6.5

Думаю, сначала стоит наехать на этот blocklist.de с вопросом «какого хрена?»
Вроде как, должны всё объяснить.

Hurenweibel ★★
()
Ответ на: комментарий от Hurenweibel

на их сайте вот такие логи есть 

Date +-1 Min +0100: 	Host: 	                                Service: 	  On Server: 	        to: 	Status:
02.03.2015 10:04:00 	static.88-....nts.your-server.de 	badbot 	          ID: 180 (private) 		blocked
01.03.2015 13:24:15 	static.88-....nts.your-server.de 	badbot 	          ID: 180 (private) 	1 x 	blocked

bvn13 ★★★★★
() автор топика
Ответ на: комментарий от bvn13

Кто-то отрепортил (через fail2ban к примеру) ip вашего сервера.

badbot это какие-то irc активности вроде - см. на их сайте.

В течении 24 часов хецнер просит прислать письмо как вы решаете проблему. Написать:

1. Blocklist.de conntacted to understand the issue 2. Passwords changed, system audit started, suspected services limited or disabled 3. Investigation is in progress

Ну и выполнить что-нить из пп.1-3.

eabi
()
Ответ на: комментарий от eabi

не, это-то понятно, что надо отписаться хостеру.

Щас я посмотрел логи апача, который стоит и работает через mod_proxy (у нас jira attlassian крутится на этом же сервере). там дохренища запросов через наш сервер к сторонним ресурсам. И часть из них - успешная (без кодов возрвата 404, 409, 502). Вот как с этим быть?

bvn13 ★★★★★
() автор топика
Ответ на: комментарий от Goury

ну уж нет уж :)

я так понял, что наш апач юзают как проксю. вот по логам виртхоста, который через mod_proxy до жиры настроен: http://susepaste.org/89232007

вот как можно апач так использовать? пробовал наш айпишник и порт ставить в проксю браузера - он при запросах к любым сайтам отдает страничку нашей жиры.

bvn13 ★★★★★
() автор топика
Ответ на: комментарий от eabi

кроме того конфига апача, что тут представлен, у нас еще стоит: 

ProxyRequests On
ProxyStatus On
а так вроде ничего криминального

bvn13 ★★★★★
() автор топика
Последнее исправление: bvn13 (всего исправлений: 1)
Ответ на: комментарий от bvn13

вот как можно апач так использовать?

Вот чтобы не было таких вопросов надо перестать экономить на сисадминах. Хецнер выпилит с хостинга и правильно сделает.

Goury ★★★★★
()
Последнее исправление: Goury (всего исправлений: 1)
Ответ на: комментарий от bvn13

Тогда надо было сначала научиться сисадминить, а потом уже пытаться лезть в публичные серверы.

Goury ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
SSD vs HHD@RAID0
Admin
IP Route на Centos 6.5