[caiu] Ataques direcionados

Leandro de Lima Camargo leandrolcz em icloud.com
Quarta Novembro 19 13:34:43 BRST 2014 

São vários fabricantes, mas o sistema embarcado é o mesmo: Busybox v1.12.1.
Com o comando #ps, você vê alguns processos executando o script ./mipsel,
mas quando vai na pasta /tmp, ele não está mais lá.
Ainda estou vendo aqui...


Atenciosamente
Leandro de Lima Camargo



On Wed Nov 19 2014 at 11:29:50 AM Listas BC-Internet <
listas em brasconect.com.br> wrote:

> Puts, se isto vira moda!
> qual a CPE em si vc fala?
>
> Att.
>
> On 19-11-2014 11:18, Leandro de Lima Camargo wrote:
> > Aqui recebemos ataques mas ainda estou analisando...
> > De primeira mão, os caras acessam CPE's que estão com usuário default (
> --'
> > ).
> > Colocam o script ./mipsel no diretório /tmp, e ele começa a enviar
> > requisições telnet pra Deus e o mundo.
> > Chega a contabilizar tráfego de 18Mbps de upload. Sem contar que o
> RouterOS
> > não controlou a banda do cliente, mesmo setando manualmente com o IP
> dele.
> >
> > É recente e estou vendo a fundo... Qualquer novidade, coloco aqui.
> >
> >
> >
> > Atenciosamente
> > Leandro de Lima Camargo
> >
> > On Wed Nov 19 2014 at 11:11:42 AM Fábio - RJ Network <
> fabio em rjnetwork.com.br>
> > wrote:
> >
> >> Andamos tomando pau de DoS aqui também e recebi um email da *TUANIX*
> >> oferecendo "proteção".
> >>
> >>
> >> --
> >> Fábio R. Hernandes
> >> RJ Network - Tecnologia Integrada
> >> Fone: (17) 3211 4211
> >> www.rjnetwork.com.br
> >>
> >>
> >> 2014-11-14 17:55 GMT-02:00 Antonio Carlos Pina <
> >> antoniocarlospina em gmail.com>
> >> :
> >>
> >>> Lucas, desculpe a demora.
> >>>
> >>> Não posso detalhar com nomes, pois estaria acusando sem provas.
> >>>
> >>> Mas basicamente a estrutura de 3 conhecidos provedores aqui de SP
> >> começaram
> >>> a receber ataques. Um deles ficou quase 2 dias inteiros offline. E aí
> >> esse
> >>> "amigo" magicamente apareceu e ofereceu a solução da Staminus (que é um
> >>> provedor internacional de mitigação de DDoS). Seria só uma
> coincidência,
> >> se
> >>> ele não tivesse aparecido para esses 3! Depois disso achei coincidência
> >>> demais.
> >>>
> >>> Ele se coloca como engenheiro, revendedor da Staminus (que pode ser
> >>> comprada remotamente) e cobrou algo em torno dos R$ 35.000,00 de um
> >> desses
> >>> provedores para estabelecer a sessão (e mais o valor mensal da
> Staminus)
> >>>
> >>> Esse provedor optou por comprar a solução da Staminus diretamente
> >> (Detalhe:
> >>> não é a que eu uso aqui, por isso não considere esse email uma
> indicação
> >> de
> >>> serviço).
> >>>
> >>> Mas esse foi o mecanismo. Outra coisa que foi observada é que um quarto
> >>> provedor aqui de SP também ligava para os clientes afetados oferecendo
> um
> >>> "serviço melhor, com defesa de DDoS" durante os ataques  ...
> >>>
> >>> Abs
> >>>
> >>>
> >>> Em 11 de novembro de 2014 11:38, Lucas Willian Bocchi <
> >>> lucas.bocchi em gmail.com> escreveu:
> >>>
> >>>> Pina
> >>>>
> >>>> Tem como detalhar melhor essa estória?
> >>>> Não tenho AS mas estou recebendo flood num cliente com ip fixo
> >>>> dedicado quase diariamente. A operadora já está de saco cheio de
> >>>> tentar resolver o problema e o revendedor de link me disse que seria
> >>>> melhor migrar para um provedor mais robusto.
> >>>>
> >>>> Segundo o dono da empresa ele recebeu essa ligação do amigo, passou
> >>>> meu telefone mas o cara nunca mais entrou em contato e os ataques vêm
> >>>> se repetindo a mais de 3 semanas.
> >>>>
> >>>> Em 11 de novembro de 2014 11:27, Rodrigo Augusto
> >>>> <rodrigo em 1telecom.com.br> escreveu:
> >>>>> Hoje pela manha comecou novamente nesses clientes, já ativei netflow(
> >>>>> nfsen+nfdump) nas portas......vamos tentar ficar de olho...
> >>>>> Qualquer novidade posto...
> >>>>>
> >>>>> Rodrigo Augusto
> >>>>> Gestor de T.I. Grupo Connectoway
> >>>>> http://www.connectoway.com.br <http://www.connectoway.com.br/>
> >>>>> http://www.1telecom.com.br <http://www.1telecom.com.br/>
> >>>>> * rodrigo em connectoway.com.br
> >>>>> ( (81) 3497-6060
> >>>>> ( (81) 8184-3646
> >>>>> ( INOC-DBA 52965*100
> >>>>>
> >>>>>
> >>>>
> >>> _______________________________________________
> >>> caiu mailing list
> >>> caiu em eng.registro.br
> >>> https://eng.registro.br/mailman/listinfo/caiu
> >>>
> >>>
> >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>
> >>> https://eng.registro.br/mailman/options/caiu
> >>>
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>

More information about the caiu mailing list