[GTER] Host da Locaweb sendo usado para ataques
Julio Arruda
jarruda-gter at jarruda.com
Sun Nov 29 01:05:07 -02 2009
Provedor Bogus wrote:
> Caros,
>
> Desculpem a demora. Estive /away.
> Otávio, obrigado pela dica e pela gentileza. Devia ter feito isso, mas,
> fiquei com receio de não lerem os e-mails do "abuse". Isso não é incomum.
>
> Antonio, Julio, Juliano, o ataque veio pela Intelig na forma de pacotes UDP
> de 1008 bytes, ou seja, sem pedido de resposta, apenas flood puro.
Ataque de banda...Que port number ?
> A operadora tem blackhole via BGP, então, é tranquilo mas bloqueia só o
> destino.
O problema e' identificar..
> Aliás, as operadoras deveriam ter capacidade (na verdade é vontade) de
> bloquear origem.
Algumas tem para uso interno, outras tem inclusive como fazer flow-spec,
so que nunca vi flow-spec entre dominios implementado..
>
> Acho que nenhum provedor/IDC quer ter seus links usados para esse tipo de
> coisa. Seria bom que existisse uma mailbox "urgent at provedor" para que nós,
> sysadmins, nos comunicassemos com mais rapidez. Acredito que a grande
> maioria de nós têm um smartphone pra receber os e-mails do sistema de
> monitoramento e os SMS das suas "crianças" que poderia ser usado pra isso
> também. O chato seria receber um spam as 3:30 da madrugada ou um "aumente
> seu pênis" bem na hora do motel né ? :-)
Mais chato seria se o email viesse da minha companheira de motel ;-)
> A propósito a Intelig estava ligando pra gente pra falar sobre bloqueio, ou
> seja, eles tem alguma ferramenta pra detectar esse tipo de situação. Só não
> sei qual seria a posição (deixar o pau comer, bloquear destino, desabilitar
> porta, etc) deles caso não tivessem conseguido falar conosco.
Provavelmente eles nao poderiam fazer nada, por que fica meio complicado
filtrar 'sem autorizacao' do dono do trafego.
O que eles fizeram foi identificar a anomalia, e provavelmente contactar
voces (ate como cortesia, presumo que o SLA deles nao tem um commitment
para isto), mas concorda que ficaria um pouco arbitrario ele filtrar ?
Como vao eles adivinhar se nao e' algo que voce quer receber ?
(sim, concordo que e' surreal :-) em alguns casos).
Em alguns provedores (nao poderia dizer se e' oferecido na Intelig),
existe a capacidade de oferecer um servico de Clean Pipes, onde pode ir
desde deteccao de anomalias (como o que aparentemente fizeram com voce)
com email de notificacao, ate mesmo portal web para tomar acoes como
mitigacoes inteligentes.
PS: Obviamente, eu sou suspeito para falar deste assunto, pois trabalho
na Arbor...include <disclaimer.h>..
>
> Abraço !
>
>
> 2009/11/28 Otávio Fernandes <otaviof at gmail.com>
>
>> 2009/11/27 Provedor Bogus <provedorbogus at gmail.com>:
>>> Caros,
>>>
>>> Não sei se há alguém da parte operacional da Locaweb aqui na lista,
>>> mas, espero que haja.
>>>
>>> O host 189.126.99.8 está sendo usado para atacar outros provedores.
>>> Semana passada
>>> um amigo de outro provedor foi atacado e agora fomos nós.
>>>
>>> Abraço !
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> Senhores,
>>
>> Este tipo de caso também pode ser direcionado para o abuse at
>> locaweb.com.br. Eu já encaminhei este email para eles, vamos esperar a
>> resposta.
>>
>> um abraço,
>>
>> --
>> Otávio Fernandes <otaviof at gmail.com>
>> http://blog.emresumo.com
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list