Languages:

Deutsch  • English   • Русский

Мой сервер заблокирован?

Если ваш сервер заблокирован, вы будете об этом оповещены по e-mail. Вы также можете это проверить самостоятельно. Один из способов проверить — это выполнить traceroute до вашего сервера (на Windows машине используйте tracert.exe). Если ваш сервер действительно заблокирован, то вы увидите что-то вроде следующего:

[root@www ~]# traceroute 213.239.XXX.XXX
traceroute to 213.239.XXX.XXX (213.239.XXX.XXX), 30 hops max, 38 byte  packets
1  192.168.0.1 (192.168.0.1)  3.416 ms  2.870 ms  1.964 ms
2  BBRAS-SR-ERX2-DEFAULT.nefkom.de (212.114.214.8)  25.070 ms  15.886  ms  17.453 ms
3  gi1-9.r2.nue2.m-online.net (212.18.6.237)  13.509 ms  13.117 ms   21.906 ms
4  gi3-17.r1.nue1.m-online.net (212.18.6.77)  13.822 ms  12.883 ms  13.028 ms
5  nix-gw.hetzner.de (195.85.217.16)  13.680 ms  13.333 ms   13.045 ms

В этом случае traceroute не достигает вашего сервера и заканчивается на первом маршрутизаторе Hetzner Online AG. Имя маршрутизатора зависит от канала вашего Интернет подключения. Обычно имя выглядит так:

(канал)-gw.hetzner.de

Примеры наиболее широко используемых каналов:

dtag-gw.hetzner.de
noris-gw.hetzner.de
decix-gw.hetzner.de
nix-gw.hetzner.de

В качестве альтернативы traceroute вы можете отправить запрос в поддержку из вашей панели администрирования Robot

Почему мой сервер заблокировали?

Наиболее распространённые причины блокирования сервера:

• Атаки с/на ваш сервер
• Агрессивное использование сети, например, сканирование портов
• Неправильные сетевые настройки

Мы блокируем сервер такой для поддержания стабильности сети, а также для защиты владельцев соответствующих серверов. Например, блокируя сервер мы предотвращаем возникновение ненужного трафика, за который клиент должен был бы платить. Более того, существует опасность того, что скомпрометированный сервер будет использован для незаконных действий, что может привести к искам о компенсациях. Блокирование сервера помогает защитить наших клиентов от подобных угроз. Для анализа причин блокирования в оповещающее email сообщение добавляется лог файл с детальной информацией.

Существует три различных типа логов:

Информация о портах / Netscan

###################################################################
#          Netscan detected from host   x.x.x.x                   #
###################################################################

time                       src_ip         	dest_ip:dest_port
-------------------------------------------------------------------
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.0:   22
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.1:   22
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.2:   22
Thu Nov 13 18:14:27 2008:   x.x.x.x =>         65.98.236.3:   22
.....

Этот лог отображает только исходящие подключения. В нём описаны IP-адреса назначения или использующиеся порты на IP-адресах назначения. Это поможет вам легко обнаружить проблему.

Краткий отчёт о превышениях количества пакетов.

Direction OUT
Internal x.x.x.x
Sum                     62.790 packets/s , 14 MBit/s
External 125.162.12.67, 62.770 packets/s , 13 MBit/s
External 72.14.220.136,      3 packets/s ,  0 MBit/s
External 66.249.72.235       3 packets/s ,  0 MBit/s

В этом логе не перечисляется каждое подключение но в нём содержится отчёт о трафике для каждого IP-адреса. Этот лог отображает возникший трафик, количество подключений и общую скорость. Это открывает цель атаки и даёт вам возможность понять, какое приложение могло участвовать в атаке. В этом случае вы также видите только исходящие подключения.

Подробная статистика трафика

21:44:53.145756 IP x.x.x.x.55008 > 76.9.23.182.29615: UDP, length 9216
21:44:53.145883 IP x.x.x.x.55030 > 76.9.23.182.45527: UDP, length 9216
21:44:53.146007 IP x.x.x.x.55046 > 76.9.23.182.1826: UDP, length 9216
21:44:53.146126 IP x.x.x.x.55064 > 76.9.23.182.34940: UDP, length 9216
21:44:53.146249 IP x.x.x.x.55080 > 76.9.23.182.20559: UDP, length 9216
21:44:53.146371 IP x.x.x.x.55093 > 76.9.23.182.31488: UDP, length 9216
21:44:53.146493 IP x.x.x.x.55112 > 76.9.23.182.56406: UDP, length 9216
21:44:53.146616 IP x.x.x.x.55132 > 76.9.23.182.43714: UDP, length 9216
21:44:53.146741 IP x.x.x.x.55147 > 76.9.23.182.64613: UDP, length 9216

В этом логе отображается подробная статистика трафика на входящих и исходящих подключениях. Здесь вы можете видеть следующую информацию: IP-адрес и порт назначения, размер и тип пакетов. Отображение статистики по каждому пакету было бы огромным количеством информации. Поэтому отображается только малая часть трафика. Эти данные помогут вам распознать закономерности и использовать их для дальнейшего анализа. Если вам нужна дополнительная помощь в отношении лог файлов, мы будем рады помочь.

Когда мой сервер снова будет в сети?

Сначала нужно устранить проблему. Только после устранения проблемы ваш сервер снова будет в сети. Вы должны отправить нам по email или факсом подписанное вами заявление, в котором вы описываете как вы устранили проблему и что вами сделано для того чтобы такая проблема не повторилась впредь. Форму заявления можно скачать здесь.

Для устранения причины блокирования мы предлагаем вам (в панели администрирования https://robot.your-server.de/ -> Main functions -> Servers -> Server locking ) возможность доступа на ваш заблокированный сервер с вашего текущего публичного IP-адреса (т.е. IP-адрес, назначенный вам вашим поставщиком интернет услуг).

Tакие меры предпринимаются в следующих случаях:

• С сервера была произведена атака
• С сервера производилось сканирование сети
• Злоупотребление

Во всех остальных случаях вам будет предоставлена удалённая консоль (LARA) для устранения проблемы. Только лишь если вы абсолютно уверены в том, что проблема устранена, мы можем разблокировать сервер. В противном случае сервер может продолжить, например атаку, и мы будем вынуждены его заблокировать опять. Для заказа удалённой консоли, откройте тикет обращения в техническую поддержку в вашем интерфейсе администрирования https://robot.your-server.de/ -> Support -> Requests -> Order remote console Lara

Как я могу проверить свой сервер на уязвимости в безопасности?

Во первых, пожалуйста, проверьте лог файлы вашего сервера. Зачастую там вы найдёте информацию о том, как вредоносное ПО попало в вашу систему. Однако полностью положиться на лог файлы нельзя, так как они часто изменяются или удаляются этим же вредоносным ПО.

Программы для обнаружения вредоносного ПО можно скачать с:

• http://www.rootkit.nl/
• http://www.chkrootkit.org/

Для отображения всех выполняемых на вашем сервере процессов, воспользуйтесь "ps auxf" или "top". Эти утилиты выводят информацию об использовании процессора и памяти различными процессами.

Если вы находите подозрительный процесс, можно продолжить расследование с помощью команды "lsof". Она отобразит открытые файлы, директории, unix сокеты, ip сокеты и каналы (pipes). Если выполнить "lsof" с соответствующими ключами, можно отобразить все файлы и сетевые подключения, открытые определённым процессом; все процессы, использующие какой-либо файл или сетевое подключение или имена всех ожидающих процессов на сетевом подключении. Для детального вывода всех открытых файлов и сетевых подключений используйте команду "lsof -p process ID". Если вы нашли брешь в безопасности, вам следует проверить следующее:

• Устанавливаете ли вы обновления безопасности регулярно?
• Были ли недавно выявлены уязвимости в ПО, используемом на сервере?
• Пользуетесь ли вы небезопасными паролями?

После обнаружения источника проблемы встаёт вопрос — что делать? Самым безопасным было-бы переустановить операционную систему. Очень опасно продолжать использование скомпрометированной системы. Вы не сможете быть абсолютно уверены в отсутствии на сервере вредоносного ПО. Переустановка ОС будет иметь смысл только в случае, когда вы нашли точную причину, повлекшую блокирование. Иначе переустановка бесполезна, так как система может быть скомпрометирована через эту же брешь снова. После переустановки ОС можно восстановить данные из ваших резервных копий. Пожалуйста, будьте осторожны. Вредоносное ПО может оказаться и в ваших резервных копиях.