[caiu] Ataques direcionados

[Leandro de Lima Camargo]

Aqui recebemos ataques mas ainda estou analisando...
De primeira mão, os caras acessam CPE's que estão com usuário default ( --'
).
Colocam o script ./mipsel no diretório /tmp, e ele começa a enviar
requisições telnet pra Deus e o mundo.
Chega a contabilizar tráfego de 18Mbps de upload. Sem contar que o RouterOS
não controlou a banda do cliente, mesmo setando manualmente com o IP dele.

É recente e estou vendo a fundo... Qualquer novidade, coloco aqui.



Atenciosamente
Leandro de Lima Camargo

On Wed Nov 19 2014 at 11:11:42 AM Fábio - RJ Network <fabio em rjnetwork.com.br>
wrote:

> Andamos tomando pau de DoS aqui também e recebi um email da *TUANIX*
> oferecendo "proteção".
>
>
> --
> Fábio R. Hernandes
> RJ Network - Tecnologia Integrada
> Fone: (17) 3211 4211
> www.rjnetwork.com.br
>
>
> 2014-11-14 17:55 GMT-02:00 Antonio Carlos Pina <
> antoniocarlospina em gmail.com>
> :
>
> > Lucas, desculpe a demora.
> >
> > Não posso detalhar com nomes, pois estaria acusando sem provas.
> >
> > Mas basicamente a estrutura de 3 conhecidos provedores aqui de SP
> começaram
> > a receber ataques. Um deles ficou quase 2 dias inteiros offline. E aí
> esse
> > "amigo" magicamente apareceu e ofereceu a solução da Staminus (que é um
> > provedor internacional de mitigação de DDoS). Seria só uma coincidência,
> se
> > ele não tivesse aparecido para esses 3! Depois disso achei coincidência
> > demais.
> >
> > Ele se coloca como engenheiro, revendedor da Staminus (que pode ser
> > comprada remotamente) e cobrou algo em torno dos R$ 35.000,00 de um
> desses
> > provedores para estabelecer a sessão (e mais o valor mensal da Staminus)
> >
> > Esse provedor optou por comprar a solução da Staminus diretamente
> (Detalhe:
> > não é a que eu uso aqui, por isso não considere esse email uma indicação
> de
> > serviço).
> >
> > Mas esse foi o mecanismo. Outra coisa que foi observada é que um quarto
> > provedor aqui de SP também ligava para os clientes afetados oferecendo um
> > "serviço melhor, com defesa de DDoS" durante os ataques  ...
> >
> > Abs
> >
> >
> > Em 11 de novembro de 2014 11:38, Lucas Willian Bocchi <
> > lucas.bocchi em gmail.com> escreveu:
> >
> > > Pina
> > >
> > > Tem como detalhar melhor essa estória?
> > > Não tenho AS mas estou recebendo flood num cliente com ip fixo
> > > dedicado quase diariamente. A operadora já está de saco cheio de
> > > tentar resolver o problema e o revendedor de link me disse que seria
> > > melhor migrar para um provedor mais robusto.
> > >
> > > Segundo o dono da empresa ele recebeu essa ligação do amigo, passou
> > > meu telefone mas o cara nunca mais entrou em contato e os ataques vêm
> > > se repetindo a mais de 3 semanas.
> > >
> > > Em 11 de novembro de 2014 11:27, Rodrigo Augusto
> > > <rodrigo em 1telecom.com.br> escreveu:
> > > > Hoje pela manha comecou novamente nesses clientes, já ativei netflow(
> > > > nfsen+nfdump) nas portas......vamos tentar ficar de olho...
> > > > Qualquer novidade posto...
> > > >
> > > > Rodrigo Augusto
> > > > Gestor de T.I. Grupo Connectoway
> > > > http://www.connectoway.com.br <http://www.connectoway.com.br/>
> > > > http://www.1telecom.com.br <http://www.1telecom.com.br/>
> > > > * rodrigo em connectoway.com.br
> > > > ( (81) 3497-6060
> > > > ( (81) 8184-3646
> > > > ( INOC-DBA 52965*100
> > > >
> > > >
> > >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>