Yaklaşık 3-4 aydır sadecehosting şirketinden hizmet almaktaydım, site yaşadığım şehirin yerel forumu...Son iki gündür başıma ilginç şeyler geliyor...

2 gün önce siteme erişmeye çalıştığımda 403 forbidden hatası aldım dedim heralde bir bakım çalışması var bekledim 24 saat geçti aradan ama hala aynı aradım telefon ile yetkili bana sitenize attack yapılıyor dedim hmm peki dedim atak ne zaman kesildi dedim saat 11de ve aradığımda saat 5di peki o zaman neden açmadınız dedim birşey demedi neyse sonra açıldı.

aradan bir gün geçti yine aynı sorun aradım yine atak oldu dediler(kendimi biraz keriz hissetim) daha sonra teknik konulara geçtim telefonda keriz olmadığımı anlatmak için atağın türü gibi bazı teknik sorulardan sonra onlara atak ile ilgili ayrıntılı bilgi istediğimi söyledim logların mail adresime gönderilmesini istedim...sıkı durun yanıtı aynen şu şekildeydi "ip adresleri tutulmuyor" :)

evet işte sadecehosting'in sistemi bu şekilde arkaşlar, eğer gıcık olduğunuz birinin sitesi sadecehosting'deyse istediğiniz kadar saldırın ip adresi tutulmuyor çünkü :kuuul:

şimdi bekliyorum bir mail atacaklarmış konuyla ilgili, sizce ben mi saçmalıyorum onlar mı ?

unutmadan herhangi bir kimseyi suçlamıyorum sadece bu konu hakkında yanılıyormuyum yoksa gerçekten ip adresleri tutulmaz mı(!) bunu öğrenmek için açtım :)

Yaklaşık 3-4 aydır sadecehosting şirketinden hizmet almaktaydım, site yaşadığım şehirin yerel forumu...Son iki gündür başıma ilginç şeyler geliyor...

2 gün önce siteme erişmeye çalıştığımda 403 forbidden hatası aldım dedim heralde bir bakım çalışması var bekledim 24 saat geçti aradan ama hala aynı aradım telefon ile yetkili bana sitenize attack yapılıyor dedim hmm peki dedim atak ne zaman kesildi dedim saat 11de ve aradığımda saat 5di peki o zaman neden açmadınız dedim birşey demedi neyse sonra açıldı.

aradan bir gün geçti yine aynı sorun aradım yine atak oldu dediler(kendimi biraz keriz hissetim) daha sonra teknik konulara geçtim telefonda keriz olmadığımı anlatmak için atağın türü gibi bazı teknik sorulardan sonra onlara atak ile ilgili ayrıntılı bilgi istediğimi söyledim logların mail adresime gönderilmesini istedim...sıkı durun yanıtı aynen şu şekildeydi "ip adresleri tutulmuyor" :)

evet işte sadecehosting'in sistemi bu şekilde arkaşlar, eğer gıcık olduğunuz birinin sitesi sadecehosting'deyse istediğiniz kadar saldırın ip adresi tutulmuyor çünkü :kuuul:

şimdi bekliyorum bir mail atacaklarmış konuyla ilgili, sizce ben mi saçmalıyorum onlar mı ?
atak nedir???:garip:

Dün güncellemek için bir müşterimin web sitesinin bilgilerini aldım.
Yönetim panelinden kontrol ettiğimde 50 MB alanın fazlasıyla kullanılıyor olduğunu gördüm.
Dosyalar ancak 15-20 MB'lık bir alan kaplıyordu.
Neden bu kadar alanın dolu göründüğünü merak edip HC Paneli biraz daha kurcaladığımda 48 MB'lık log dosyasının olduğuna şahit oldum, artık ne kadar zamanda birikmişse.

Site loglarının tutulmasını, olağan dışı bir durum olmadığı ve müşteri istemediği müddetçe silinmemesi gerektiğini düşünüyorum.

@bunalthe:'(: atak nedir sorusunu cevabı sadece atak başka bilgi vermiyorlar atak oluyor diyorlar o kadar :)

@virtuozzo: 2-3 kere saldırı oluyorsa hangi hosting firması siler saldırı loglarını ve saldırıyı bana dakkikası dakikasına bakarak söylüyor ama başka bilgi yok ?

@bunalthe:'(: atak nedir sorusunu cevabı sadece atak başka bilgi vermiyorlar atak oluyor diyorlar o kadar :)

@virtuozzo: 2-3 kere saldırı oluyorsa hangi hosting firması siler saldırı loglarını ve saldırıyı bana dakkikası dakikasına bakarak söylüyor ama başka bilgi yok ?
eyw kardes;)

Bugün arayıp şu bilgiyi verdiler:

Bir çok ipden botnet saldırı oluyor dediler tekrar logları alabilirmiyim dediğimde bu sefer ulaştığımızda size göndereceğiz dediler.Bende dünkü arkadaş log tutulmadığını söyledi dedim oda ipler anlık tutuluyor vs türünden kıvırmaya çalıştı.

sana ait bir hosting panel vermediler mi?
benim kullandığım hostta loglara ftp den bile erişebiliyorum(silip, değiştirme olmuyor tabi).
Ama teşekkürler , karaliste ye ekledim kendilerini.

loglara bende ftpden ulaşabiliyorum ama suspend ettikleri için ftpyede ulaşamıyorum.

Host işi birazda güven işi, yani bende bir firmayIm ve tutup kimseye log vermem.. Onlar yalanda söylüyor olabilir, günahlarinada girmek istemiyorum..
AnsIzIn, cekemeyen veya 12-17 yaş grubu ellerinde irc trojanlarla ddos attack felan atiyor ve yemeyecek sistem yok.. Sonucta sunucu makina packetlere karsilik vermek zorunda, bunlarida önlemek için aslinda sistem var ama yeri geliyor bi yere kadar yetişebiliyorsunuz. 100 tane botla saldirsa bir sunucu iptal olur. E hangi Ip araligini yasaklayacaksiniz? Botlarin her biri farkli makinalarda.. Yeri geliyor 2000 bot geliyor..
Yani diyecegim şu ki, bazen elde olmayan sebeplerden dolayI bende zor durumda kaliyorum..
Ip adresleri tutulmaz mi konusuna gelince, tutulmaz tutulmaz yani.. Sen istemeden kimse zorlamaz heralde makina log tutsun diye ;)
Ama tutulmasI gerekirdi.Şahsen ben aliyorum.

Host işi birazda güven işi, yani bende bir firmayIm ve tutup kimseye log vermem.. Onlar yalanda söylüyor olabilir, günahlarinada girmek istemiyorum..
AnsIzIn, cekemeyen veya 12-17 yaş grubu ellerinde irc trojanlarla ddos attack felan atiyor ve yemeyecek sistem yok.. Sonucta sunucu makina packetlere karsilik vermek zorunda, bunlarida önlemek için aslinda sistem var ama yeri geliyor bi yere kadar yetişebiliyorsunuz. 100 tane botla saldirsa bir sunucu iptal olur. E hangi Ip araligini yasaklayacaksiniz? Botlarin her biri farkli makinalarda.. Yeri geliyor 2000 bot geliyor..
Yani diyecegim şu ki, bazen elde olmayan sebeplerden dolayI bende zor durumda kaliyorum..
Ip adresleri tutulmaz mi konusuna gelince, tutulmaz tutulmaz yani.. Sen istemeden kimse zorlamaz heralde makina log tutsun diye ;)
Ama tutulmasI gerekirdi.Şahsen ben aliyorum.

Zombiler kullanılarak yapılan saldırılar gerçekten zorluyor bunu bende biliyorum ve bunun yüzünden site geçici olarak kapatılabilir sadece burda haklı sadecehosting.Nerde mi haksız ?

1-) IP tutulmaz diye birşey ben daha bugune görmedim ha oldu öyle bir acemilik yaptılar neden ertesi gün adam bana logları mailinize göndereceğiz diyor ?
2-) Göndereceğiz dedikleri loglar asla mailime gelmedi.
3-) Çat diye siteyi kapatmayı iyi biliyorlar ama saldırı kesildikten sonrada açmıyorlar arayıp açtırman gerekiyor, saldırı bitti 1 gün geçti hala kapalıydı site aramasam heralde hiç açmayacaklardı.
4-) Zombi saldırılarını savunmak zor biliyorum fakat bu saldırıya karşı yaptıkları tek şey site kapatmak.

Not: sunucu değişikliğini bu gece yapacağım bakalım gerçekten saldırı oluyor mu...

Hesap dondurmak çözümyolu degil tabikide, bugun tutup üç beş kuruş para bulan reseller alip host kiraliyor, normaldir yani..

yeni hostumda 48 saat geçti herhangi bir sorun yok(sadecehosting'den çıkarken logları download ettim bir anormallik görmedim)

evet işte sadecehosting'in sistemi bu şekilde arkaşlar, eğer gıcık olduğunuz birinin sitesi sadecehosting'deyse istediğiniz kadar saldırın ip adresi tutulmuyor çünkü

Loglar tutuluyor.. Hatta siteadi.com/logs dıyerek ben dahı ulasabılırım bunlara..

Ama su var.. Bır suredır sadecehostıng'ın bası atak yıyen sıtelelerle dertte.. Senın aldıgın atak yuzunden benım uc bes sıtem de acılmıyor mesela.. Yada sıtenın bırı sonsuz donguye gırıyor hayda ne kadar sıte varsa hepsı bırden surunmeye baslıyor..

Kısaca adam gıbı yonetemıyorlar sunucuyu.. Aylardır sunucuyu zorlayan sıtelerı bulup da kapatamadılar.. Yada baska bır sunucuya tasıyamadılar..

Sırf bu yuzden bende ayrılmayı dusunuyorum sadecehostıng'den..

Sadecehosting'de benimde birkaç müşterim var bugüne kadar bi sorun yaşamadım. Ama sizin söyledikleriniz beni baya düşündürdü...

@HunTER: siteadi.com/logs bu şekilde ulaştığın loglar awstats logları olmuyor mu ? awstats logları pek bilgi vermiyor. customlog adında text tabanlı bir dosya indirdim onda tüm get ve post istekleri ayrıntılarıyla vardı fakat dediğim gibi bi anormallik yaşaladım zaten şuan yeni hostumda sorunsuz devam ediyorum, yeni hosta geçince bıraktılar heralde saldırmayı :p

sadece hosting'ten sunucu kiralamayı düşünüyordum ben de.bunları okuduktan sonra sanırım bir kere daha düşünmükte fayda var.

evet yaklaşık 1 haftadır yeni sunucuda problemsiz(%100 uptime) yayın yapıyorum, heralde yeni server'a geçince atak yapmayı bıraktılar :)

3 gün önce şöyle bir mail geldi:


Sayın Müşterimiz;

Web hosting servislerimizde yaptığımız çalışmalardan dolayı bazı aksaklık veya problemler yaşatabilmekteyiz. Bu nedenle öncelikle bu sorunlardan ötürü özür diler, yaptığımız çalışmaların sizlere daha iyi servis verebilmeyi amaçladığını bilmenizi isteriz.

Aşağıda sistemlerimiz üzerinde yeni yapılmakta olan ve 15-17 Haziran tarihlerinde yapılacak olan çalışmalar hakkında bilgileri bulabilirsiniz.

# IP adreslerinin güncellenmesi

Öncelikle tüm sistemimizin ip adresleri güncellenmektedir. Şimdilik sadece standart web server ve web site adresleri güncellenmiş durumdadır. Bu ip güncelleme işlemleri bu hafta sonu içerisinde sonuçlanacak olup özellikle sanal pos ve ip tabanlı erişim yapılan müşterilerimizin sunucu ip bilgilerine göre güncelleme yapmaları önemle rica olunur. Aşağıda sunucularımızın yeni ip adresleri belirtilmektedir. Mail sunucu SQL sunucu gibi sistemlerimizin ip adresleri önümüzdeki hafta sonu yapılacak bir çalışmadır. Bu hafta içerisindeki iş planımıza dahil değildir.

# Log sistemi ve REMOTE_ADDR parametresi değişimleri

Sunucularımız üzerinde kullanmaya başladığımız CITRIX NETSCALER 9010 performans ve güvenlik cihazı nedeni ile geçen hafta içerisinde REMOTE_ADDR header ile tespit edilebilen ip ayarlarının log sistemi ile sorun yaratmasından dolayı çalışma şeklinde bir değişiklik yapılmak zorunda kalındı. Bu değişikliğe göre Client-IP olarak almanız mümkün olan ziyaretçi ip adreslerini ESKİSİ GİBİ REMOTE_ADDR ile alabilirsiniz. Bu değişim hem Linux hem Windows 2003 sunucularımızın tamamında geçerlidir.

# Disk kotası ve Trafik kotası raporları ve hata mesajları hakkında

Sunucularımız üzerindeki disk kotalarınıza ziyaretçi LOG dosyaları tarafından oluşturulan kullanımlar dahil değildir. Analiz sistemimiz hafta sonu güncellenerek bu düzenlemeye uygun hale getirilecektir. 18 Haziran tarihine kadar gelecek kota aşım mesajlarını lütfen dikkate almayınız.

Sunucu ip bilgileri


linux01 sistem ip adresi: 77.92.153.64
linux02 sistem ip adresi: 77.92.153.80
linux03 sistem ip adresi: 77.92.153.96
linux04 sistem ip adresi: 77.92.153.112
linux07 sistem ip adresi: 77.92.153.160

win01 sistem ip adresi: 77.92.153.192
win02 sistem ip adresi: 77.92.153.208
win03 sistem ip adresi: 77.92.153.224

Saygılarımızla;
Sadecehosting.com


Bundan öncede sync atakları aldıklarını, bu yüzden firewalllarını ve teknik bazı donanımlarını değiştireceklerini yazmışlardı.

2 yıldır sadecehosting müşterisiyim, IP loglarının tutulmadığını biliyordum, yani kullandıkları firewallda log tutma ayarı varsayılan olarak açık geldiği halde nedenini halen anlayamadığım ilginç bir durumdan dolayı log tutmayı kapatmışlar..

An itibariyle linux sunucuları kapandı ve koca bir B2C sisteminin Sadecehosting'te olan kısmı çalışmıyor..

En son yedeğimi bugün 23:00'de almıştım, iyikide almışım, kendi kendime seviniyorum şu anda, ayrıca kendilerinden bu saatte benide az trafikli bir mail sunucusunu devre dışı bıraktırıp yerine FreeBSD kurup Sadecehosting'teki bölümünü bu sunucuya taşıttırdıkları için hayır duamı eksik etmiyorum..

Adındanda anlaşılacağı gibi Sadece hosting, gerisiyle ilgilenmiyor arkadaşlar, sadece hosting hizmeti sağlıyorlar, gerisiyle tanburi Cemil Bey ilgileniyormuş..

Sorun sunucuda değil DNS deymiş, benimle birkaç kişi daha bağlanamadığı için bir an paniklemiştim ama iyi oldu, ben bugüne kadar Sadecehosting'te herhangi bir problem yaşamadım ama tek sorun şu saldırı ve bakım olayı..

Adındanda anlaşılacağı gibi Sadece hosting, gerisiyle ilgilenmiyor arkadaşlar, sadece hosting hizmeti sağlıyorlar, gerisiyle tanburi Cemil Bey ilgileniyormuş..

Süper :D

Sunucu yönetimi kolay değil de bu kadarda olmaz yani, anlık olarak hangi domaine çağrı yapıldığını tespit edebiliyorsunuz sonra sistemi yavaşlatan domainleri tespit edebiliyorsunuz bir kaç bash komutuyla.

Sunucu yönetimi kolay değil de bu kadarda olmaz yani, anlık olarak hangi domaine çağrı yapıldığını tespit edebiliyorsunuz sonra sistemi yavaşlatan domainleri tespit edebiliyorsunuz bir kaç bash komutuyla.

Pehhh serce parmagimla yapiyorum bennn(:iih: ) Mingitau tu bilir... :ginginn:

ahh ah.

Sunucu yönetimi kolay değil de bu kadarda olmaz yani, anlık olarak hangi domaine çağrı yapıldığını tespit edebiliyorsunuz sonra sistemi yavaşlatan domainleri tespit edebiliyorsunuz bir kaç bash komutuyla.

Sevabına maıl atıp gonderıver su bash komutlarını sadecehostıng'e.. Adamlar kac aydır kurdesen doktuler sorunlu hostınglerı tespıt edebılmek ıcın..

Ya da bızı yıyorlar.. Emın degılım..

Sevabına maıl atıp gonderıver su bash komutlarını sadecehostıng'e.. Adamlar kac aydır kurdesen doktuler sorunlu hostınglerı tespıt edebılmek ıcın..

Ya da bızı yıyorlar.. Emın degılım..
Onlar sevabına bana 5 mbit hat ve 20 makinalık bir hacim temin ederlerse neden olmasın :p

olmadı mingitau ...

çok şey istemiyor musun? 20 makina .... benim boyum kadar bi kabinete ancak sığar bunlar.. (makinaları 1U kabul ediyoruz)

ama şaka bi yana yurtdışındaki hosting şirketlerinin altyapılarına bakıyorum da resimlerden gördüğüm kadarıyla adamlar her şeyi anında görebiliyorlar. .

Yahu arkadaslar Firmayı eleştirmeyin bde şu yonden düşünün Botnet saldırıları tek ip üzerinden yapılmaz bazen bu saldırılar milyonlarca ip üzerinden yapılır Botnet saldırısı yapan kişilerin Zombie Adı verilen ve daha önceden çeşitli yollarla ele geçirdiği bilgisayarların tamamıyla bir server a yüklenmesi demektir yani ipleri alsanda bir sonuca varamazdın çok iyi biliyorum bir arkadasımın sunucusuna botnet saldırısı yapılıyordu adam ne firewall kurmadıgı kaldı ne satın almadıgı kaldı sonunda sunucu değiştirdi öle durdu saldırılar yani ipler kayıt edilse bile sen 1 milyon ip adresinden hangisnin saldırgana ait oldugunu bilemezsin ;)


Ayrıca İpleri kayıt etse görüleceği gibi çok büyük bir alan kaplar.

çok şey istemiyor musun? 20 makina .... benim boyum kadar bi kabinete ancak sığar bunlar.. (makinaları 1U kabul ediyoruz)


Ben 20 atx hacmi istiyor sanmıştım ilk gördüğümde, o biraz fazla demiştim ama siz 20 x 1u'lara da mı fazla diyorsunuz, peh :)


Yahu arkadaslar Firmayı eleştirmeyin bde şu yonden düşünün Botnet saldırıları tek ip üzerinden yapılmaz bazen bu saldırılar milyonlarca ip üzerinden yapılır Botnet saldırısı yapan kişilerin Zombie Adı verilen ve daha önceden çeşitli yollarla ele geçirdiği bilgisayarların tamamıyla bir server a yüklenmesi demektir yani ipleri alsanda bir sonuca varamazdın çok iyi biliyorum bir arkadasımın sunucusuna botnet saldırısı yapılıyordu adam ne firewall kurmadıgı kaldı ne satın almadıgı kaldı sonunda sunucu değiştirdi öle durdu saldırılar yani ipler kayıt edilse bile sen 1 milyon ip adresinden hangisnin saldırgana ait oldugunu bilemezsin ;)


Ayrıca İpleri kayıt etse görüleceği gibi çok büyük bir alan kaplar.


Bak işte ne güzel sunucu değiştirmiş rahatlamış.. (Ben sunucu değiştirdi derken datacenter değiştirdi olarak algıladım..)

Eski hosting sağlayıcısı yapamıyorsa yenisi yapmış işte ne güzel, bu işi yapamıyorlarsada bıraksınlar..