[caiu] Ataques direcionados
Igor Thomaz Cassoni
djigor em gmail.com
Quarta Novembro 19 12:17:58 BRST 2014
Tive problema semelhante nas SXT
Em 19 de novembro de 2014 11:39, Esdras Ventura <esdras.ventura em gmail.com>
escreveu:
> Aqui recebi ontem diversas requisições ssh com usuário "root" de IPs
> *"originados"* da China. Isso se repetiu em diversos hosts de nossa rede e
> mesmo mudando a porta o ataque voltava horas depois. Resolvi fechar o
> acesso ssh até vou subir algumas regras de acesso para esse serviço.
>
> Em 19 de novembro de 2014 10:29, Listas BC-Internet <
> listas em brasconect.com.br> escreveu:
>
> > Puts, se isto vira moda!
> > qual a CPE em si vc fala?
> >
> > Att.
> >
> >
> > On 19-11-2014 11:18, Leandro de Lima Camargo wrote:
> >
> >> Aqui recebemos ataques mas ainda estou analisando...
> >> De primeira mão, os caras acessam CPE's que estão com usuário default (
> >> --'
> >> ).
> >> Colocam o script ./mipsel no diretório /tmp, e ele começa a enviar
> >> requisições telnet pra Deus e o mundo.
> >> Chega a contabilizar tráfego de 18Mbps de upload. Sem contar que o
> >> RouterOS
> >> não controlou a banda do cliente, mesmo setando manualmente com o IP
> dele.
> >>
> >> É recente e estou vendo a fundo... Qualquer novidade, coloco aqui.
> >>
> >>
> >>
> >> Atenciosamente
> >> Leandro de Lima Camargo
> >>
> >> On Wed Nov 19 2014 at 11:11:42 AM Fábio - RJ Network <
> >> fabio em rjnetwork.com.br>
> >> wrote:
> >>
> >> Andamos tomando pau de DoS aqui também e recebi um email da *TUANIX*
> >>> oferecendo "proteção".
> >>>
> >>>
> >>> --
> >>> Fábio R. Hernandes
> >>> RJ Network - Tecnologia Integrada
> >>> Fone: (17) 3211 4211
> >>> www.rjnetwork.com.br
> >>>
> >>>
> >>> 2014-11-14 17:55 GMT-02:00 Antonio Carlos Pina <
> >>> antoniocarlospina em gmail.com>
> >>> :
> >>>
> >>> Lucas, desculpe a demora.
> >>>>
> >>>> Não posso detalhar com nomes, pois estaria acusando sem provas.
> >>>>
> >>>> Mas basicamente a estrutura de 3 conhecidos provedores aqui de SP
> >>>>
> >>> começaram
> >>>
> >>>> a receber ataques. Um deles ficou quase 2 dias inteiros offline. E aí
> >>>>
> >>> esse
> >>>
> >>>> "amigo" magicamente apareceu e ofereceu a solução da Staminus (que é
> um
> >>>> provedor internacional de mitigação de DDoS). Seria só uma
> coincidência,
> >>>>
> >>> se
> >>>
> >>>> ele não tivesse aparecido para esses 3! Depois disso achei
> coincidência
> >>>> demais.
> >>>>
> >>>> Ele se coloca como engenheiro, revendedor da Staminus (que pode ser
> >>>> comprada remotamente) e cobrou algo em torno dos R$ 35.000,00 de um
> >>>>
> >>> desses
> >>>
> >>>> provedores para estabelecer a sessão (e mais o valor mensal da
> Staminus)
> >>>>
> >>>> Esse provedor optou por comprar a solução da Staminus diretamente
> >>>>
> >>> (Detalhe:
> >>>
> >>>> não é a que eu uso aqui, por isso não considere esse email uma
> indicação
> >>>>
> >>> de
> >>>
> >>>> serviço).
> >>>>
> >>>> Mas esse foi o mecanismo. Outra coisa que foi observada é que um
> quarto
> >>>> provedor aqui de SP também ligava para os clientes afetados oferecendo
> >>>> um
> >>>> "serviço melhor, com defesa de DDoS" durante os ataques ...
> >>>>
> >>>> Abs
> >>>>
> >>>>
> >>>> Em 11 de novembro de 2014 11:38, Lucas Willian Bocchi <
> >>>> lucas.bocchi em gmail.com> escreveu:
> >>>>
> >>>> Pina
> >>>>>
> >>>>> Tem como detalhar melhor essa estória?
> >>>>> Não tenho AS mas estou recebendo flood num cliente com ip fixo
> >>>>> dedicado quase diariamente. A operadora já está de saco cheio de
> >>>>> tentar resolver o problema e o revendedor de link me disse que seria
> >>>>> melhor migrar para um provedor mais robusto.
> >>>>>
> >>>>> Segundo o dono da empresa ele recebeu essa ligação do amigo, passou
> >>>>> meu telefone mas o cara nunca mais entrou em contato e os ataques vêm
> >>>>> se repetindo a mais de 3 semanas.
> >>>>>
> >>>>> Em 11 de novembro de 2014 11:27, Rodrigo Augusto
> >>>>> <rodrigo em 1telecom.com.br> escreveu:
> >>>>>
> >>>>>> Hoje pela manha comecou novamente nesses clientes, já ativei
> netflow(
> >>>>>> nfsen+nfdump) nas portas......vamos tentar ficar de olho...
> >>>>>> Qualquer novidade posto...
> >>>>>>
> >>>>>> Rodrigo Augusto
> >>>>>> Gestor de T.I. Grupo Connectoway
> >>>>>> http://www.connectoway.com.br <http://www.connectoway.com.br/>
> >>>>>> http://www.1telecom.com.br <http://www.1telecom.com.br/>
> >>>>>> * rodrigo em connectoway.com.br
> >>>>>> ( (81) 3497-6060
> >>>>>> ( (81) 8184-3646
> >>>>>> ( INOC-DBA 52965*100
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>> _______________________________________________
> >>>> caiu mailing list
> >>>> caiu em eng.registro.br
> >>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>
> >>>>
> >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>
> >>>> https://eng.registro.br/mailman/options/caiu
> >>>>
> >>>> _______________________________________________
> >>> caiu mailing list
> >>> caiu em eng.registro.br
> >>> https://eng.registro.br/mailman/listinfo/caiu
> >>>
> >>>
> >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>
> >>> https://eng.registro.br/mailman/options/caiu
> >>>
> >>> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> >> _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
Att
Igor Thomaz Cassoni
Panda Network
www.pandanetwork.com.br
More information about the caiu
mailing list