[caiu] Ataques direcionados

Esdras Ventura esdras.ventura em gmail.com
Quarta Novembro 19 11:39:01 BRST 2014


Aqui recebi ontem diversas requisições ssh com usuário "root" de IPs
*"originados"* da China. Isso se repetiu em diversos hosts de nossa rede e
mesmo mudando a porta o ataque voltava horas depois. Resolvi fechar o
acesso ssh até vou subir algumas regras de acesso para esse serviço.

Em 19 de novembro de 2014 10:29, Listas BC-Internet <
listas em brasconect.com.br> escreveu:

> Puts, se isto vira moda!
> qual a CPE em si vc fala?
>
> Att.
>
>
> On 19-11-2014 11:18, Leandro de Lima Camargo wrote:
>
>> Aqui recebemos ataques mas ainda estou analisando...
>> De primeira mão, os caras acessam CPE's que estão com usuário default (
>> --'
>> ).
>> Colocam o script ./mipsel no diretório /tmp, e ele começa a enviar
>> requisições telnet pra Deus e o mundo.
>> Chega a contabilizar tráfego de 18Mbps de upload. Sem contar que o
>> RouterOS
>> não controlou a banda do cliente, mesmo setando manualmente com o IP dele.
>>
>> É recente e estou vendo a fundo... Qualquer novidade, coloco aqui.
>>
>>
>>
>> Atenciosamente
>> Leandro de Lima Camargo
>>
>> On Wed Nov 19 2014 at 11:11:42 AM Fábio - RJ Network <
>> fabio em rjnetwork.com.br>
>> wrote:
>>
>>  Andamos tomando pau de DoS aqui também e recebi um email da *TUANIX*
>>> oferecendo "proteção".
>>>
>>>
>>> --
>>> Fábio R. Hernandes
>>> RJ Network - Tecnologia Integrada
>>> Fone: (17) 3211 4211
>>> www.rjnetwork.com.br
>>>
>>>
>>> 2014-11-14 17:55 GMT-02:00 Antonio Carlos Pina <
>>> antoniocarlospina em gmail.com>
>>> :
>>>
>>>  Lucas, desculpe a demora.
>>>>
>>>> Não posso detalhar com nomes, pois estaria acusando sem provas.
>>>>
>>>> Mas basicamente a estrutura de 3 conhecidos provedores aqui de SP
>>>>
>>> começaram
>>>
>>>> a receber ataques. Um deles ficou quase 2 dias inteiros offline. E aí
>>>>
>>> esse
>>>
>>>> "amigo" magicamente apareceu e ofereceu a solução da Staminus (que é um
>>>> provedor internacional de mitigação de DDoS). Seria só uma coincidência,
>>>>
>>> se
>>>
>>>> ele não tivesse aparecido para esses 3! Depois disso achei coincidência
>>>> demais.
>>>>
>>>> Ele se coloca como engenheiro, revendedor da Staminus (que pode ser
>>>> comprada remotamente) e cobrou algo em torno dos R$ 35.000,00 de um
>>>>
>>> desses
>>>
>>>> provedores para estabelecer a sessão (e mais o valor mensal da Staminus)
>>>>
>>>> Esse provedor optou por comprar a solução da Staminus diretamente
>>>>
>>> (Detalhe:
>>>
>>>> não é a que eu uso aqui, por isso não considere esse email uma indicação
>>>>
>>> de
>>>
>>>> serviço).
>>>>
>>>> Mas esse foi o mecanismo. Outra coisa que foi observada é que um quarto
>>>> provedor aqui de SP também ligava para os clientes afetados oferecendo
>>>> um
>>>> "serviço melhor, com defesa de DDoS" durante os ataques  ...
>>>>
>>>> Abs
>>>>
>>>>
>>>> Em 11 de novembro de 2014 11:38, Lucas Willian Bocchi <
>>>> lucas.bocchi em gmail.com> escreveu:
>>>>
>>>>  Pina
>>>>>
>>>>> Tem como detalhar melhor essa estória?
>>>>> Não tenho AS mas estou recebendo flood num cliente com ip fixo
>>>>> dedicado quase diariamente. A operadora já está de saco cheio de
>>>>> tentar resolver o problema e o revendedor de link me disse que seria
>>>>> melhor migrar para um provedor mais robusto.
>>>>>
>>>>> Segundo o dono da empresa ele recebeu essa ligação do amigo, passou
>>>>> meu telefone mas o cara nunca mais entrou em contato e os ataques vêm
>>>>> se repetindo a mais de 3 semanas.
>>>>>
>>>>> Em 11 de novembro de 2014 11:27, Rodrigo Augusto
>>>>> <rodrigo em 1telecom.com.br> escreveu:
>>>>>
>>>>>> Hoje pela manha comecou novamente nesses clientes, já ativei netflow(
>>>>>> nfsen+nfdump) nas portas......vamos tentar ficar de olho...
>>>>>> Qualquer novidade posto...
>>>>>>
>>>>>> Rodrigo Augusto
>>>>>> Gestor de T.I. Grupo Connectoway
>>>>>> http://www.connectoway.com.br <http://www.connectoway.com.br/>
>>>>>> http://www.1telecom.com.br <http://www.1telecom.com.br/>
>>>>>> * rodrigo em connectoway.com.br
>>>>>> ( (81) 3497-6060
>>>>>> ( (81) 8184-3646
>>>>>> ( INOC-DBA 52965*100
>>>>>>
>>>>>>
>>>>>>
>>>>>  _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>>  _______________________________________________
>>> caiu mailing list
>>> caiu em eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>>>  _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>>  _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


More information about the caiu mailing list