راهکارهای جلوگیری از دریافت شکایت – Abuse توسط دیتاسنترها



ابیوز سرور

موارد رایجی که باعث دریافت شکایت – Abuse از دیتاسنتر بصورت عمدی یا ناخواسته میشه را بررسی و راهنمایی هایی برای جلوگیری از دریافت abuse میکنیم و کارهایی که در سرور نباید انجام بدیم تا از دیتاسنترها شکایت دریافت کنیم رو هم توضیح میدیم، پس لازم هست که بعد از تحویل سرور، حتما نسبت به ایمن سازی سرورتون اقدام کنین که حتی بصورت ناخواسته، شکایتی از دیتاسنتر دریافت نکنین که منجر به بسته شدن سرورتون بشه. اگر کاربر حرفه ای یا تازه کار هستید، لطفا یکبار این مقاله رو بخونید.

اگر v–p–n یا ssh-T-unnel در سرورهای ویندوز (مثل soft-eth.er) و لینوکس راه اندازی و در موبایل یا کامپیوترتون استفاده کنین، ممکن هست برنامه هایی آلوده به بدفزار داخل موبایل و کامپیوترتون نصب داشته باشید که خودتون هم ندونین بدافزار هستن! یا اسکریپت ها و پلاگین هایی داخل سیستم عامل یا سایتتون نصب کنید و ندونید برای فعالیت های netscan یا دیداس یا بدافزاری ایجاد شدن.

بخاطر اینکه چون وقتی بصورت v-p-n –  tun-nel – ssh tun-nel و… دارید استفاده میکنید، IP موبایل یا کامپیوتر شما، به IP سرور مجازی تبدیل میشه و درصورتیکه موبایل یا کامپیوتر شما آلوده به بدافزار باشه، فعالیت های netscan – دیداس و اتک با IP سرور شما انجام میشه و شکایتش از دیتاسنتر برای شما میاد و سرورتون مسدود میشه و هزینه ای که بابت خرید سرور کردید رو از دست میدید.

فعال کردن فایروال احتمال دریافت شکایت از دیتاسنتر، بابت شکایت های رایجی که اتفاق میافته رو بسیار کم میکنه، پس حتما چه در سیستم عامل ویندوز و چه در لینوکس firewall فعال کنید و فقط پورت هایی که نیاز دارید را در قسمت inbound و outbound وارد کنید.

 

چه کارهایی با سرور نباید انجام بشه :

(دیتاسنترها به فعالیت های زیر حساس هستن و در صورت مشاهده سرور را مسدود میکنند – یعنی هر سروری مناسب هر فعالیتی نیست و دیتاسنترها سخت گیری های خودشونو دارن و طبق شرایط دیتاسنترها باید فعالیت کنید.)

  • Netscan – port scan – ip scan به هیچ عنوان نکنید.
  • از تورنت دانلود نشه.
  • تست نفود با IP سرور نباید انجام بشه.
  • دیداس/ attack نباید انجام بشه.
  • credential stuffing attack، brute force حملات غیرمجازی هستند که به قصد نفوذ به سایر سرورها، با داشتن لیستی از user/passwordها برای پیدا کردن مشخصات صحیح آن سرور و برای ورود به آن انجام میشود و نباید رو سرورها انجام بشه.
  • با IP سرورها هک نباید انجام بشه.
  • فیشینگ نباید انجام بشه.
  • ارسال ایمیل اسپم و فیشینگ.
  • قانون کپی رایت فایل ها باید رعایت بشه (فایل هایی که قانون کپی رایت دارن رو داخل سرور نگهداری نکنید و به عنوان هاست دانلود استفاده نکنین. استریم از ویدیوهایی که کپی رایت دارند مثل مسابقات ورزشی، انجام ندید.)
  • ماین ارز دیجیتال روی سرورها انجام نشه و Node کریپتو روی سرورهای دیتاسنتر هتزنر نباید راه اندازی بشه.

 

نصب فایروال برای کنترل و مدیریت روی پورت ها

این آموزش برای جلوگیری از دریافت شکایت Netscan یا جلوگیری از حملات دیداس و malware میتونه مناسب باشه. پورت های رایجی که برای سرورها استفاده میشه، پورت هایی مثل  53 – 80 – 443 هستن که برای اتصال به سرورها مثل باز کردن صفحات وب و پیام رسان ها هستن. تعداد 65535 تا پورت داریم که میتونیم ازشون استفاده کنیم، ولی اگر فایروال فعال نباشه، این پورت ها میتونن توسط بدافزارها فعال بشن. با نصب و تنظیم فایروال، جلوی در دسترس بودن سایر پورت هایی که بهشون نیاز نداریم رو میگیرم که بصورت ناخواسته و بدون اجازه ما فعال نشن.

 

NetScan (نت اسکن) – Port Scan (پورت اسکن)

فعالیتی هست که برای پیدا کردن پورت های باز یک سرور انجام میشه که معمولا هدف از اینکار برای پیدا کردن پورت های سرور و نفوذ به سرور هست. برای پیدا کردن IP سالم کلودفلر با سرورها اسکن انجام ندهید.

 

نصب فایروال CSF

با نصب فایروال پورت هارو محدود و جلوی فعال شدن پورت هایی که استفاده نمیشه رو میگیریم که باعث دریافت شکایت ناخواسته از دیتاسنتر نشه. دستورات زیر رو به ترتیب در ترمینال لینوکس اوبونتو وارد میکنیم تا فایروال CSF نصب و فعال بشه.

sudo apt-get update -y
cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
perl /usr/local/csf/bin/csftest.pl
apt-get install zip unzip

echo '#!/bin/sh' > /usr/sbin/sendmail
chmod +x /usr/sbin/sendmail
apt-get install libwww-perl -y
sudo service csf start
sudo service csf status

فایل تنظیمات فایروال CSF در مسیر زیر قرار داره، هم میتونیم از طریق محیط گرافیکی Web UI تنظیمات فایروال انجام بدیم، یا اینکه با استفاده از یک ویرایشگر مثل nano این تنظیمات رو داخل فایل csf.conf اعمال کنیم.

/etc/csf/csf.conf

 

با ویرایشگر نانو و دستور nano /etc/csf/csf.conf فایل تنظیمات فایروال CSF باز میکنیم و یکم به پایین صفحه اسکرول میکنیم تا به تنظیمات عکس زیر برسیم، در عکس زیر میتونیم پورت های پروتکل TCP و UDP برای IPv4 رو مدیریت کنیم، یعنی هر پورتی که داخل تصویر زیر نوشته شده، توسط فایروال اجازه فعالیت داره و باز هست و بقیه پورت ها بسته هستن و فایروال اجازه فعال شدن بهشون رو نمیده.

 

  • پورت هایی مثل 53 – 80 – 443 باید همیشه چه در ورودی و خروجی باز باشن و پورت SSH سرورتون هم در TCP_IN باید باز باشه.
  • یه سری پورت ها هم برای Cloudflare هست اگه از این CDN استفاده میکنین میتونین باز کنین، مثل 8080 ,8880 ,2052 ,2082 ,2086 ,2095, 2053, 2083, 2087, 2096, 8443
  • اگر استفاده ارسال ایمیل ندارید، بهتر هست که پورت های 25, 587, 465 رو هم استفاده نکنید و ببندید.
  • اگر از داخل سرورتون به سرور دیگه ای SSH نمیزنین، پورت 22 خروجی (TCP_OUT) رو هم برای جلوگیری از حملات brure force که معمولا از پورت 22 خروجی انجام میشه، ببندید.

 

(تصویر زیر برای ipv4 هست، داخل همین صفحه تنظیمات و کمی پایینتر، تنظیمات برای Ipv6 هم قرار داره که اگر از Ipv6 استفاده میکنین، باید تنظیمات رو هم برای اون انجام بدید.)

مدیریت پورت ها با CSF
مثلا در پورت های زیر، فقط دسترسی به پورت های رایج که عموما برای استفاده های معمول هستن رو باز گذاشتیم. شما هم میتونین هر پورتی که نیاز دارید رو داخل این فیلدها قرار بدید و بعد از انجام با دستور csf -r، فایروال رو ریستارت کنید. هم در قسمت Inbound و هم در outbound پورت ها را محدود کنید.

# Allow incoming TCP ports
TCP_IN = "80,53,443,8080,8880,2052,2082,2086,2095,2053,2083,2087,2096,8443,2200"

# Allow outgoing TCP ports
TCP_OUT = "80,53,443,8080,8880,2052,2082,2086,2095,2053,2083,2087,2096,8443"

# Allow incoming UDP ports
UDP_IN = "80,53,443,8080,8880,2052,2082,2086,2095,2053,2083,2087,2096,8443"

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list 
UDP_OUT = "80,53,443,8080,8880,2052,2082,2086,2095,2053,2083,2087,2096,8443"


 

اگر بخوایم Web UI (محیط گرافیکی فایروال CSF که برای باز کردن در مرورگر) رو فعال کنیم، بصورت پیش فرض web ui فعال نیست و اول با nano /etc/csf/csf.conf باید این فایل رو باز کنیم و تنظیمات زیر رو پیدا کنیم و مقادیرش رو هم مثل زیر بذاریم. UI =1 برای فعال کردن محیط گرافیکی هست، UI_PORT برای عدد پورتی که برای باز کردن محیط گرافیکی فایروال CSF در مرورگر باید وارد کنیم انتخاب میکنیم، UI_USER یوزرنیم ورود و UI_PASS هم رمز ورود هست.

 

# 1 to enable, 0 to disable web ui 
UI = "1"

# Set port for web UI. The default port is 6666, but
# I change this to 1025 to easy access. Default port create some issue
# with popular chrome and firefox browser (in my case) 

UI_PORT = "1025"

# Leave blank to bind to all IP addresses on the server 
UI_IP = ""

# Set username for authetnication 
UI_USER = "admin1"

# Set a strong password for authetnication 
UI_PASS = "H9UFVTH@qrpPqh9"

 

تنظیمات انجام میدیم و csf با دستور زیر ریستارت میکنیم

csf -r

حالا اگه مثلا IP سرور ما 192.168.1.1 باشه، آدرس ورود به پنل گرافیکی CSF اینجوری میشه :

http://192.168.1.1:1025

و بعد از ورود، از طریق دکمه ” firewall configuration ” میتونین تنظیمات فایروال انجام بدید.

 

ثبت دامنه در کلودفلر

 

مسدود کردن IP در CSF

اگر هم قصد مسدود کردن IP در فایروال را داشته باشید، فایل زیر را لطفا باز کنید

nano /etc/csf/csf.deny

بعدش IP مورد نظر رو در این فایل وارد میکنیم و فایروال ریست میکنیم.

csf -r

 

ترجیحا بعد از نصب فایروال، IP های زیر رو ببندید، بخاطر اینکه سابقه دریافت abuse برای بدافزارهارو دارن و برای کاربران ایرانی معمولا برای این IP ها شکایت میاد.

54.244.188.177

206.191.152.58

216.218.185.162

 

فایروال UFW

اگر از فایروال پیش فرض اوبونتو که UFW هست استفاده میکنین، از دستورات زیر برای باز کردن پورت هایی که نیاز دارید میتونین استفاده کنین.

sudo ufw default deny outgoing
sudo ufw default deny incoming

sudo ufw allow 53
sudo ufw allow 80
sudo ufw allow 443


sudo ufw allow out 53
sudo ufw allow out 80
sudo ufw allow out 443

 

برای بستن پورت هم از دستور زیر استفاده میکنیم

sudo ufw deny out 25

 

دستور بستن IP های خاص

sudo ufw deny from 216.218.185.162
sudo ufw deny out from any to 216.218.185.162

 

در نهایت با دستور زیر، فایروال UFW فعال میکنیم

sudo ufw enable

 

 

اگر هم IP خاصی را بخواهیم مسدود کنیم، از دستور زیر استفاده میکنیم

sudo ufw deny from 216.218.185.162
sudo ufw deny out from any to 216.218.185.162

 

 

تغییر پورت SSH

حملاتی تحت عنوان brute force توسط botnet ها روی صفحات لاگین مثل SSH یا صفحات ورود cPanel و DirectAdmin انجام میشه تا با لیستی از هزاران و میلیون ها user و password هایی که در اختیار Bot ها هست، به صفحات لاگین حمله کنند و تک تک اون مشخصات رو برای هر سرور تست میکنن و در صورت مطابقت با اطلاعات شما، وارد سرور شما شوند. پس حتما از روزهای قوی استفاده کنین و اینطور فکر نکنین که از کجا ممکن هست که رمز سرور شمارو داشته باشند.

به هیچ عنوان از پورت پیش فرض 22 استفاده نکنین، ما در بلوسرور پورت SSH سرورهارو عوض میکنیم.

bash <(curl -Ls https://gist.github.com/blueserver1/45a9ac3b7230cd3ba4bb9116fde8536b/raw)

 

 


< <