[caiu] Ataques partindo da GVT
Filipe Alvarez
filipealvarez em gmail.com
Domingo Junho 26 22:21:08 BRT 2011
Em 26 de junho de 2011 17:38, Roberto Lima <smuxbr at gmail.com> escreveu:
> Boa tarde Srs,
> Bom, assim como o titulo desta thread sugere, estou com sérios problemas
> com "um sem o que fazer". Esse individuo possui botnets com cerca de 800
> ips
> dinâmicos da GVT contra meus servidores que estão localizados nos EUA, mas
> pra variar o datacenter se recusa a tomar uma atitude e sugeriu que fosse
> contratado o cisco guard por móicos U$800/mês por servidor, completamente
> inviável para o momento.
> Já contactei o abuse da GVT enviando mais de 100 ips dinâmicos que, ao
> perceberem que já estão todos bloqueados no firewall, fazem o renew na
> maquina e provavelmente pegam um novo ip.
> Há certos horários do dia que chego a receber 800 bloqueios por hora. Como
> o
> ataque está impossível de ser contido, em algumas maquinas eu bloqueei
> todas
> as classes da GVT descrita no registro.br[1]. Em outros servidos dos quais
> é
> completamente inviável estes bloqueios eu estou utilizando modsec para
> redirecionar os ataques ao próprio datacenter, que de uma certa forma eles
> assim poderão tomar alguma providencia.
> Por isso pergunto à vocês: Além do contato com o abuse at gvt.com.br, quais
> procedimentos devemos tomar junto à operadora, uma vez que estão utilizando
> redes zumbi com ips dinâmicos?
>
Tenho muitos hosts da GVT por dia fazendo bruteforce de autenticação SMTP,
'resolvo' com fail2ban.
[]s
Mais detalhes sobre a lista de discussão caiu