OVH Community, your new community space.

Escaneos desde OVH


Power
27/08/2009, 08:28
Hola,
Cita Publicado inicialmente por Diablo48
A mi me gustaria saber como poder configurar el servidor para evitar que algun cliente en su tiempo de ocio se dedique a hacer estas cosas, por lo general no doy shell, pero esque un escaneo de puertos se puede hacer incluso desde php, no tan cantoso o fuerte como desde shell, pero si lo suficientemente para que te cierren el servidor.
En CSF tienes la posibilidad de configurar hacia qué puertos se habilitan las salidas de TCP y UDP.

De esta manera, nadie podrá enviar nada a puertos diferentes de los especificados ahí.

Saludos

Diablo48
26/08/2009, 22:10
Cita Publicado inicialmente por Power
Hola,

Yo tengo configurado CSF para que, en caso de escaneos, bloquee de forma permanente la IP.

Si es alguien conocido, ya pedirá que se la desbloquee.

Saludos
Pues la verdad es que es lo mejor, si es conocido y anda haciendo escaneos, o alguno de sus clientes anda haciendo escaneos deberia vigilarlo xD.

A mi lo que me molesta de estas cosas es que algunos usuarios del foro han visto como su servidor era cancelado por esto, cuando alomejor era la primera vez que pasaba o algo, y cantidad de servidores estan todo el dia escaneando puertos los reportas y ves que a los 2 dias sigue el servidor con los escaneos, tan exigentes para unas cosas y para otras.....


A mi me gustaria saber como poder configurar el servidor para evitar que algun cliente en su tiempo de ocio se dedique a hacer estas cosas, por lo general no doy shell, pero esque un escaneo de puertos se puede hacer incluso desde php, no tan cantoso o fuerte como desde shell, pero si lo suficientemente para que te cierren el servidor.

Power
26/08/2009, 18:59
Hola,

Yo tengo configurado CSF para que, en caso de escaneos, bloquee de forma permanente la IP.

Si es alguien conocido, ya pedirá que se la desbloquee.

Saludos

Salteador
26/08/2009, 18:53
Yo he reportado varias veces estos escaneos y al dia siguiente he recibido el mismo escaneo, esto durante 1 mes, asi que ovh pasaba olimpicamente, al final me canse y denegue la IP permanentemente.

magnun
26/08/2009, 18:30
es algo muy comun si...
puedes mandar un trozo del log a oles@ovh.net o abuse@ovh.net.

neojordan
26/08/2009, 17:07
Buenas, he recibido este email de mi preciado csf+lfd:

Titulo: lfd on ks366868.kimsufi.com: 213.186.33.61 (FR/France/a1.ovh.net) blocked for port scanning

ime: Wed Aug 26 14:33:46 2009 +0200
IP: 213.186.33.61 (FR/France/a1.ovh.net)
Hits: 11
Blocked: Temporary Block

Sample of block hits:
Aug 26 14:32:47 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=40841 DF PROTO=TCP SPT=50446 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 26 14:32:49 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=48511 DF PROTO=TCP SPT=55062 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 26 14:32:53 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=260 DF PROTO=TCP SPT=48625 DPT=79 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 26 14:32:56 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=10893 DF PROTO=TCP SPT=41972 DPT=3260 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 26 14:32:58 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=7505 DF PROTO=TCP SPT=54813 DPT=3389 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 26 14:33:00 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=62750 DF PROTO=TCP SPT=52431 DPT=8443 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 26 14:33:36 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=13333 DF PROTO=TCP SPT=54812 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 26 14:33:38 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=37952 DF PROTO=TCP SPT=34617 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 26 14:33:42 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=16905 DF PROTO=TCP SPT=47642 DPT=79 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 26 14:33:44 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=63351 DF PROTO=TCP SPT=46911 DPT=3260 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 26 14:33:46 ks366868 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:1c:c0:3e:71:d3:00:22:91:08:04:00:08:00 SRC=213.186.33.61 DST=94.23.20.159 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=29214 DF PROTO=TCP SPT=36908 DPT=3389 WINDOW=5840 RES=0x00 SYN URGP=0
Al parecer he sido escaneado (o lo han intentado) desde un servidor de OVH. Si no me equivoco, estan usando un servidor de OVH con fines de explotar vulnerabilidades de otras máquinas.

¿Estoy en lo cierto?
De ser así, habría que avisar a OVH, ¿cierto?