با Attack abuse چه کنم ؟

[srh124]

سلام
امروز یک ایمیل attack abuse برای من اومده. سرور هم مسدود شده. توضیح زیادی در ایمیل نیست. فقط نکته مشترکش اینه که آیپی خروجی 445 هست.
چند روز قبل یک سری فایل های ویروسی توی سرور دیدم که آنتی ویروس clamwin رو نصب کردم که البته موفق نشد اون فایل ها رو به عنوان ویروس شناسایی کنه. فرداش سرور مسدود شد.
چون بار اولی هست که با این مسئله ابیوز روبرو میشم ممنون میشم راهنمایی کنید باید چی کار کنم. کلا 2-3 ماه بیشت نیست با Vps کار می کنم. سرور ویندوز 2003 هست. اصلا نمی دونم این ایمیل رو چه طور باید جواب بدم که سرور از دوباره باز بشه.


Register Court: Registergericht Ansbach, HRB 6089
CEO: Martin Hetzner

On 22 Apr 00:16, root@monitoring2.rz1.hetzner.de wrote:
> ################################################## ########################
> # Netscan detected from host 136.*.*.*#
> ################################################## ########################
>
> time protocol src_ip src_port dest_ip dest_port
> ---------------------------------------------------------------------------
> Fri Apr 22 00:16:10 2016 TCP 136.*.*.* 2066 => 3.25.195.246 445
> Fri Apr 22 00:16:10 2016 TCP 136.*.*.* 2098 => 7.42.8.14 445
> Fri Apr 22 00:16:10 2016 TCP 136.*.*.* 2076 => 7.182.141.167 445

[viasky]

پورت مسدود کنید فعلا

2066
2098
2076
به صورت رنج مسدود کنید
خروجی هم 445 ببندید

- - - Updated - - -

بهشون توضیح بدید که مجازی ساز نصب هست و موارد مورد نیاز و پیگیری خواهید کرد
درواقع یک تعهد و حتی می تونید درخواست مشورت کنید
حتما از میکروتیک هم استفاده کنید
موفق باشید

[srh124]

یعنی در پاسخ به تیکت باز شده بگم موارد مورد نیاز پیگیری خواهد شد تا سرور رو باز کنند؟ بعد پورت ها رو ببندم؟
یه چیزهایی رو توی اینترنت خوندم در مورد روش بستن پورت در تنظیمات ویندوز و یا فایروال. کدومش رو انجام بدم؟
من متوجه نشدم این پورت 2066 -2098 - 2076 رو چرا باید ببندم؟ همون 445 کافی نیست؟

متاسفانه با میکروتیک آشنا نیستم. فکر می کردم یه سیستم مجازی ساز هست مثل vmware



آپدبت: آهان! منظورتون این هست که از سروری استفاده کنم که مجازی ساز میکروتیک داشته باشه، نه vmware .درسته؟

[novinvps.com]

یعنی در پاسخ به تیکت باز شده بگم موارد مورد نیاز پیگیری خواهد شد تا سرور رو باز کنند؟ بعد پورت ها رو ببندم؟
یه چیزهایی رو توی اینترنت خوندم در مورد روش بستن پورت در تنظیمات ویندوز و یا فایروال. کدومش رو انجام بدم؟
من متوجه نشدم این پورت 2066 -2098 - 2076 رو چرا باید ببندم؟ همون 445 کافی نیست؟

متاسفانه با میکروتیک آشنا نیستم. فکر می کردم یه سیستم مجازی ساز هست مثل vmware



آپدبت: آهان! منظورتون این هست که از سروری استفاده کنم که مجازی ساز میکروتیک داشته باشه، نه vmware .درسته؟

سلام
بله اعلام کنید پیگیری و حل خواهد شد
البته پورت هارو مسدود کنید که مجددا رخ نده
اگر از میکروتیک در سرورتون به عنوان روتر استفاده میکنید به راحتی پورت رو میتونید از داخل ان مسدود کنید

[viasky]

اگر میکروتیک به عنوان روتر ندارید روی سرور
فعلا از خود سیستم عامل ها پورت ها را مدیریت کنید
اگر مصرف شخصی دارید کفایت میکنه

[vbgold]

ویندوز ۲۰۰۳ آپدیت ها رو دیگه نمیدن براش و زیاد به مشکل میخوره. ۲۰۱۲ نصب کن

[srh124]

2012 رم بالاتر می خواد و سی پی یو بهتر . این طور نیست؟
الان با رم 1 گیگ کار من با ویندوز 2003 انجام میشه.

[iranhostcom]

سلام دوست عزیز

همانطور که دوستان اشاره نمودند از آنجا که ویندوز سرور 2003 استفاه می کنید کار مدیریت شما را سخت تر می کند، د ر صورتی که می توانید سرویس خود را ارتقا دهید تا از امنیت بالاتری بهره ببرد.
فعلا درخواست دهید که به صورت موقت سرویس برای بازه ی زمانی چند ساعت فعال شود تا بتوانید علت را شناسایی و رفع کنید.
اینطور که مشخص است علت اصلی بروز نمودن مورد وجود بدافزار و ویروس می باشد و با صرف محدود نمودن پورتها این مشکل رفع نمی شود مگر تا زمانی که خود بدافزار به طور کامل پاک شود.
زمانی که علت را شناسایی و رفع کردید به سرویس دهنده خود اطلاع دهید تا مجدد سرویس شما را فعال کنند.

[srh124]

ممنون از شما
همون بدافزار رو چه طوری پاک کنم؟ آنتی ویروس clamwin رو که فری هست نصب کردم چیزی نشناخت. از این آنتی ویروس های کرک شده ، مثل nod32 نصب کنم مشکلی پیش نمی یاد؟

یک مسئله دیگه: ویندوز 2008 روی رم یک گیگ جواب می ده؟
من پردازش و بار زیادی ندارم. فقط یک tomcat هست که یک سری سرولت اجرا می کنه.
گفتم اگه با وین 2008 اوضاع بهتره، به مدیر سرور بگم کلا ویندوز رو عوض کنه. cup رو هم توی مشخصات اومده: یک هسته ای 3.7 گیگاهرتز.