Author Topic: CentOS Web Panel causing the issue?  (Read 7461 times)

0 Members and 1 Guest are viewing this topic.

Offline
*
CentOS Web Panel causing the issue?
« on: August 08, 2015, 07:45:17 PM »
Hello,

I noticed all my websites hosted under my OVH Dedicated Server are always not working properly. Then after checking the control panel, I was shocked that the "Anti-DDoS" protection actually "blocked" my IPs and I have no idea why.

I just have 2 CentOS Web Panel installation. The first one uses Apache with Varnish, and the second one uses Varnish, nginx and Apache.

Anyway, for reference, here are the logs of OVH regarding the DDoS attacks.

Code: [Select]
Attack detail : 113Kpps/100Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason               
2015.08.08 18:45:24 CEST   167.X.X.69:19343    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:52574    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:60099    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:32168    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:40814    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:3550     61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:3519     61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:24980    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:51592    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:30214    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:49539    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:45648    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:2619     61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:24919    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:53093    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:37711    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:16872    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:19043    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:33666    61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:45:24 CEST   167.X.X.69:7683     61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN

Code: [Select]
Attack detail : 101Kpps/91Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason               
2015.08.08 18:48:43 CEST   198.X.X.47:26756      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:56316      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:35233      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:56013      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:43843      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:65193      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:33684      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:5957       61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:55075      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:54670      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:55055      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:63289      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:27728      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:58513      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:30378      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:48607      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:46149      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:45119      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:20494      61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN       
2015.08.08 18:48:43 CEST   198.X.X.47:7498       61.174.49.99:80         TCP      SYN           936 ATTACK:TCP_SYN

Thanks.

Offline
*
Re: CentOS Web Panel causing the issue?
« Reply #1 on: August 10, 2015, 05:41:33 AM »
since you server is attacking IP 61.174.49.99 from random port this looks like compromised server or in most cases hacked website.
Did you had mod_security enabled with CSF Firewall on your server ?

Anyway you should contact your sysadmin or our managed support for detailed check and infection removal.
Some instructions are provided on our wiki
http://wiki.centos-webpanel.com/
AntiDDoS Protection (web + mail)
http://centos-webpanel.com/website-ddos-protection-proxy

Join our Development Team and get paid !
http://centos-webpanel.com/develope-modules-for-cwp


Services Monitoring & RBL Monitoring
http://centos-webpanel.com/services-monitor


Do you need Fast and FREE Support included for your CWP linux server?
http://centos-webpanel.com/noc-partner-list
Installation Instructions
http://centos-webpanel.com/installation-instructions
Get Fast Support Here
http://centos-webpanel.com/support-services