Automatyczna blokada VPS przy używaniu Windows Server

Pytania i problemy
Peri0t
Peri0t

Dlaczego usługi Windows Server uruchomione na VPS są blokowane? Pisałem już raz do supportu i wczoraj VPS został po dwóch dniach odblokowany, a dzisiaj rano znów został zablokowany. Na serwerze uruchomiona była usługa AD DS oraz VPN. Ruch na porcie 389 jest generowany przez LDAP image|623x500

SystemZ
SystemZ Admin lvlup.pro

Czy to oznacza, że wystawiłeś do publicznej sieci usługę Active Directory czy LDAP ? Nie jest to zalecane, przykładowy link:

https://serverfault.com/a/573751/195911

Peri0t
Peri0t

Czyli gdybym przepuścił tą usługę przez VPN to wszystko powinno grać?

SystemZ
SystemZ Admin lvlup.pro

Protokoły tego typu nie są zbyt odporne na ataki gdyż zostały zaprojektowane do wewnętrznych sieci. Jeśli wytniesz wszystkie IP na firewallu i dodasz dostęp tylko dla zaufanych adresów lub postawisz usługę za VPNem to powinno być okej.

Obecnie raport antihack pokazuje prawdopodobnie atak typu amplification więc ktoś pewnie używa Twojej usługi aby wykonać atak. Blokada jest zasadna bo jesteś widoczny jako część botnetu który wykonuje DDoS.

Pobieżne sprawdzenie faktycznie to by potwierdzało, że protokół LDAP jest podatny. Jeśli nie masz najnowszej wersji systemu czy aplikacji to z pewnością jest duży problem.

https://www.csoonline.com/article/3135686/attackers-are-now-abusing-exposed-ldap-servers-to-amplify-ddos-attacks.html

Tu znajdziesz schemat na przykładzie analogicznego ataku na otwarte serwery DNS

https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/

Peri0t
Peri0t

Dziękuje za wyjaśnienie. Czy można byłoby prosić o odblokowanie VPS. Przepuszczę cały ruch przez VPN

Timo
Timo Moderator forum.lvlup.pro

W tej kwestii skontaktuj się z obsługą poprzez ticket w panelu. Możesz podlinkować ten wątek na forum.

system
system

Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.