Почему разная активность в разных датацентрах?

0

1

Есть 2 VPS под управлением Debian Wheezy. VPS идентичны друг другу, так как созданы один из снапшота другого, но находятся в разных ДЦ одного провайдера. Один из этих ДЦ, по моему впечатлению, значительно более популярен и раскручен, чем другой.

На обоих виртуалках snort ежесуточно отчитывается о различной активности. В более популярном ДЦ отчеты кишат подобными и другими уведомлениями:

SCAN UPnP service discover attempt
ICMP PING NMAP
EXPLOIT ntpdx overflow attempt
ICMP PING BSDtype
ICMP PING Flowpoint2200 or Network Management Software

А в другом ДЦ, который менее популярен (как мне кажется), тишина. Отчеты содержат только знакомые мне адреса и ничего дискомфортного.

Как можно объяснить такую разницу?

Ссылка

←	Использование чужого $SSH_AUTH_SOCK

ограничить кол-во исходящих подключений к провайдеру на порт 25 ?

→

IP из разных пулов?

ziemin ★★
(22.11.14 13:57:53 MSK)

Ответ на: комментарий от ziemin 22.11.14 13:57:53 MSK

Сейчас - из одного.

Deleted
(22.11.14 14:01:16 MSK)

Ответ на: комментарий от Deleted 22.11.14 14:01:16 MSK

А сканирующие ip не из того же?

ziemin ★★
(22.11.14 14:19:58 MSK)

Ответ на: комментарий от ziemin 22.11.14 14:19:58 MSK

Нет, это совершенно разные адреса, ничего общего вообще нет ни с моим, ни между ними. «ntpdx» встречается просто регулярно с разных адресов.

Deleted
(22.11.14 14:59:30 MSK)

Ответ на: комментарий от Deleted 22.11.14 14:59:30 MSK

Значит до тебя на одном из ip висел какой-то ресурс, на который все и ломятся. Я не слышал про «карантин» ip, да и пулы худеют на глазах, так что скорее всего сразу по освобождению идут в дело.

ziemin ★★
(22.11.14 15:54:50 MSK)

Ответ на: комментарий от ziemin 22.11.14 15:54:50 MSK

Как быть? Клонировать на другой ip? Или вообще в другой регион? Или у другого провайдера настроить то же самое?

Deleted
(22.11.14 16:50:51 MSK)

Ответ на: комментарий от Deleted 22.11.14 16:50:51 MSK

От «реликтового излучения» интернета ты никуда не денешься. Своевременно обновляйся и забей на пугающие записи в логах.

Не паникуй, короче.

~~entefeed~~ ☆☆☆
(22.11.14 17:03:35 MSK)

Ответ на: комментарий от entefeed 22.11.14 17:03:35 MSK

От «реликтового излучения» интернета ты никуда не денешься. Своевременно обновляйся и забей на пугающие записи в логах.

Всё нормально, продолжаем дальше плакать, колоться и жевать кактус жевать.

Топикстартеру: может быть активность на IP? От того что они разные, такая разница.

oskar0609 ★
(22.11.14 17:19:26 MSK)

Ответ на: комментарий от oskar0609 22.11.14 17:19:26 MSK

О нет, у меня в логах нашелся мимобот, срочно переезжаем в другой ДЦ, меняем проекту домен, цель и назначение, а себе паспорт, цвет глаз и пол.

Тебя правда так напрягают сканирования ботов?

~~entefeed~~ ☆☆☆
(22.11.14 17:29:28 MSK)

Ответ на: комментарий от entefeed 22.11.14 17:03:35 MSK

Дело не в панике. Дело в разнице. Меня даже скорее напрягает тишина на втором, а не шорох в логах. Эта тишина была с самого начала.

Deleted
(22.11.14 17:32:12 MSK)

Ответ на: комментарий от oskar0609 22.11.14 17:19:26 MSK

От того что они разные, такая разница.

В смысле?

Deleted
(22.11.14 17:32:34 MSK)

Ответ на: комментарий от Deleted 22.11.14 16:50:51 MSK

Всегда есть шанс напороться на такое же. Да и в чём собственно проблема? Ломятся на реальные сервисы (которые у тебя есть) или просто перебирают? Руби всё, что тебе не нужно b snort настрой чтобы только на реальные реагировал.

ziemin ★★
(22.11.14 19:44:51 MSK)

Ссылка

Ответ на: комментарий от entefeed 22.11.14 17:29:28 MSK

ботов бояться - в гугле не подниматься!

~~darkenshvein~~ ★★★★★
(22.11.14 19:50:56 MSK)

Ссылка

Ответ на: комментарий от Deleted 22.11.14 17:32:12 MSK

Намекаете, что во втором ДЦ есть какая-то система защиты от скана?

mky ★★★★★
(23.11.14 05:58:59 MSK)

Ответ на: комментарий от mky 23.11.14 05:58:59 MSK

Я не знаю. Может, это обычное дело.

Deleted
(23.11.14 14:24:26 MSK)

Ответ на: комментарий от Deleted 22.11.14 17:32:34 MSK

В смысле адреса 1.2.3.4 и 5.6.7.8, на 1.2.3.4 могут стучаться боты по «инерции».

oskar0609 ★
(23.11.14 21:52:34 MSK)

Ссылка

Ответ на: комментарий от Deleted 23.11.14 14:24:26 MSK

Ну попробуйте со своего компа посканировать этот второй сервер с пустыми логами. Если в логах будет пусто, то либо логи не пишутся, либо датацентр прикрывает.

А обычное дело, ИМХО, — это то, что везде всё по разному и не пойми где как.

mky ★★★★★
(24.11.14 05:10:09 MSK)

Ответ на: комментарий от mky 24.11.14 05:10:09 MSK

Ну, в общем

либо датацентр

А что ж тогда другой дц (который первый) не прикрывает? Это закладывается на этапе проектирования и потом не добавить? Второй дц был создан позднее.

Deleted
(24.11.14 11:59:09 MSK)

Ответ на: комментарий от Deleted 24.11.14 11:59:09 MSK

Добавть то можно, но это расходы, денег всем жалко. А может, эта железяка Cisco ASA (обычное ей делают подобные вещи) есть, но 100500 причин почему она не работает, — сгорел блок питания, неправильно настроена, не туда воткнули, не справлялась с нагрузкой и её отключили...

Те компоненты, без которых всё работает, обычно в таком не понятном состоянии.

ИМХО, вам проще написать в техподдержку, чем тут гадать, почему там есть, а тут нет.

mky ★★★★★
(25.11.14 04:19:03 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Использование чужого $SSH_AUTH_SOCK

Security

ограничить кол-во исходящих подключений к провайдеру на порт 25 ?

→

Похожие темы