Peri0t | 2021-02-26 10:01:22 UTC | #1
Dlaczego usługi Windows Server uruchomione na VPS są blokowane? Pisałem już raz do supportu i wczoraj VPS został po dwóch dniach odblokowany, a dzisiaj rano znów został zablokowany. Na serwerze uruchomiona była usługa AD DS oraz VPN. Ruch na porcie 389 jest generowany przez LDAP
SystemZ | 2021-02-26 10:10:42 UTC | #2
Czy to oznacza, że wystawiłeś do publicznej sieci usługę Active Directory czy LDAP ?
Nie jest to zalecane, przykładowy link:
https://serverfault.com/a/573751/195911
Peri0t | 2021-02-26 10:16:43 UTC | #3
Czyli gdybym przepuścił tą usługę przez VPN to wszystko powinno grać?
SystemZ | 2021-02-26 10:34:30 UTC | #4
Protokoły tego typu nie są zbyt odporne na ataki gdyż zostały zaprojektowane do wewnętrznych sieci.
Jeśli wytniesz wszystkie IP na firewallu i dodasz dostęp tylko dla zaufanych adresów lub postawisz usługę za VPNem to powinno być okej.
Obecnie raport antihack pokazuje prawdopodobnie atak typu amplification więc ktoś pewnie używa Twojej usługi aby wykonać atak. Blokada jest zasadna bo jesteś widoczny jako część botnetu który wykonuje DDoS.
Pobieżne sprawdzenie faktycznie to by potwierdzało, że protokół LDAP jest podatny.
Jeśli nie masz najnowszej wersji systemu czy aplikacji to z pewnością jest duży problem.
https://www.csoonline.com/article/3135686/attackers-are-now-abusing-exposed-ldap-servers-to-amplify-ddos-attacks.html
Tu znajdziesz schemat na przykładzie analogicznego ataku na otwarte serwery DNS
https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/
Peri0t | 2021-02-26 10:34:23 UTC | #5
Dziękuje za wyjaśnienie. Czy można byłoby prosić o odblokowanie VPS. Przepuszczę cały ruch przez VPN
Timo | 2021-02-26 10:35:57 UTC | #6
W tej kwestii skontaktuj się z obsługą poprzez ticket w panelu. Możesz podlinkować ten wątek na forum.
system | 2021-03-30 10:35:58 UTC | #7
Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.