[caiu] Ataques direcionados

Lucas Willian Bocchi lucas.bocchi em gmail.com
Quarta Novembro 19 13:39:19 BRST 2014


Pessoal

Vcs iriam se surpreender como uma simples mudança de porta do serviço
reduz drasticamente o problema.

Nas minhas RB's desativo todos os serviços e deixo só o ssh e o winbox
ativos em portas totalmente nada a ver. É difícil aparecer um log de
acesso não autorizado nelas.

Em 19 de novembro de 2014 12:48, Nielsen <nk em nexttel.com.br> escreveu:
> Negocio é deixar só o serviço winbox ativo e claro trocar a senha
> Os log aqui de tentativas de acesso bombam.
>
>
> ----- Original Message ----- From: "Igor Thomaz Cassoni" <djigor em gmail.com>
> To: "Lista das indisponibilidades da Internet brasileira"
> <caiu em eng.registro.br>
> Sent: Wednesday, November 19, 2014 12:17 PM
> Subject: Re: [caiu] Ataques direcionados
>
>
>
> Tive problema semelhante nas SXT
>
>
> Em 19 de novembro de 2014 11:39, Esdras Ventura <esdras.ventura em gmail.com>
> escreveu:
>
>> Aqui recebi ontem diversas requisições ssh com usuário "root" de IPs
>> *"originados"* da China. Isso se repetiu em diversos hosts de nossa rede e
>> mesmo mudando a porta o ataque voltava horas depois. Resolvi fechar o
>> acesso ssh até vou subir algumas regras de acesso para esse serviço.
>>
>> Em 19 de novembro de 2014 10:29, Listas BC-Internet <
>> listas em brasconect.com.br> escreveu:
>>
>> > Puts, se isto vira moda!
>> > qual a CPE em si vc fala?
>> >
>> > Att.
>> >
>> >
>> > On 19-11-2014 11:18, Leandro de Lima Camargo wrote:
>> >
>> >> Aqui recebemos ataques mas ainda estou analisando...
>> >> De primeira mão, os caras acessam CPE's que estão com usuário default (
>> >> --'
>> >> ).
>> >> Colocam o script ./mipsel no diretório /tmp, e ele começa a enviar
>> >> requisições telnet pra Deus e o mundo.
>> >> Chega a contabilizar tráfego de 18Mbps de upload. Sem contar que o
>> >> RouterOS
>> >> não controlou a banda do cliente, mesmo setando manualmente com o IP
>> dele.
>> >>
>> >> É recente e estou vendo a fundo... Qualquer novidade, coloco aqui.
>> >>
>> >>
>> >>
>> >> Atenciosamente
>> >> Leandro de Lima Camargo
>> >>
>> >> On Wed Nov 19 2014 at 11:11:42 AM Fábio - RJ Network <
>> >> fabio em rjnetwork.com.br>
>> >> wrote:
>> >>
>> >>  Andamos tomando pau de DoS aqui também e recebi um email da *TUANIX*
>> >>> oferecendo "proteção".
>> >>>
>> >>>
>> >>> --
>> >>> Fábio R. Hernandes
>> >>> RJ Network - Tecnologia Integrada
>> >>> Fone: (17) 3211 4211
>> >>> www.rjnetwork.com.br
>> >>>
>> >>>
>> >>> 2014-11-14 17:55 GMT-02:00 Antonio Carlos Pina <
>> >>> antoniocarlospina em gmail.com>
>> >>> :
>> >>>
>> >>>  Lucas, desculpe a demora.
>> >>>>
>> >>>> Não posso detalhar com nomes, pois estaria acusando sem provas.
>> >>>>
>> >>>> Mas basicamente a estrutura de 3 conhecidos provedores aqui de SP
>> >>>>
>> >>> começaram
>> >>>
>> >>>> a receber ataques. Um deles ficou quase 2 dias inteiros offline. E aí
>> >>>>
>> >>> esse
>> >>>
>> >>>> "amigo" magicamente apareceu e ofereceu a solução da Staminus (que é
>> um
>> >>>> provedor internacional de mitigação de DDoS). Seria só uma
>> coincidência,
>> >>>>
>> >>> se
>> >>>
>> >>>> ele não tivesse aparecido para esses 3! Depois disso achei
>> coincidência
>> >>>> demais.
>> >>>>
>> >>>> Ele se coloca como engenheiro, revendedor da Staminus (que pode ser
>> >>>> comprada remotamente) e cobrou algo em torno dos R$ 35.000,00 de um
>> >>>>
>> >>> desses
>> >>>
>> >>>> provedores para estabelecer a sessão (e mais o valor mensal da
>> Staminus)
>> >>>>
>> >>>> Esse provedor optou por comprar a solução da Staminus diretamente
>> >>>>
>> >>> (Detalhe:
>> >>>
>> >>>> não é a que eu uso aqui, por isso não considere esse email uma
>> indicação
>> >>>>
>> >>> de
>> >>>
>> >>>> serviço).
>> >>>>
>> >>>> Mas esse foi o mecanismo. Outra coisa que foi observada é que um
>> quarto
>> >>>> provedor aqui de SP também ligava para os clientes afetados >>>>
>> >>>> oferecendo
>> >>>> um
>> >>>> "serviço melhor, com defesa de DDoS" durante os ataques  ...
>> >>>>
>> >>>> Abs
>> >>>>
>> >>>>
>> >>>> Em 11 de novembro de 2014 11:38, Lucas Willian Bocchi <
>> >>>> lucas.bocchi em gmail.com> escreveu:
>> >>>>
>> >>>>  Pina
>> >>>>>
>> >>>>> Tem como detalhar melhor essa estória?
>> >>>>> Não tenho AS mas estou recebendo flood num cliente com ip fixo
>> >>>>> dedicado quase diariamente. A operadora já está de saco cheio de
>> >>>>> tentar resolver o problema e o revendedor de link me disse que seria
>> >>>>> melhor migrar para um provedor mais robusto.
>> >>>>>
>> >>>>> Segundo o dono da empresa ele recebeu essa ligação do amigo, passou
>> >>>>> meu telefone mas o cara nunca mais entrou em contato e os ataques
>> >>>>> >>>>> vêm
>> >>>>> se repetindo a mais de 3 semanas.
>> >>>>>
>> >>>>> Em 11 de novembro de 2014 11:27, Rodrigo Augusto
>> >>>>> <rodrigo em 1telecom.com.br> escreveu:
>> >>>>>
>> >>>>>> Hoje pela manha comecou novamente nesses clientes, já ativei
>> netflow(
>> >>>>>> nfsen+nfdump) nas portas......vamos tentar ficar de olho...
>> >>>>>> Qualquer novidade posto...
>> >>>>>>
>> >>>>>> Rodrigo Augusto
>> >>>>>> Gestor de T.I. Grupo Connectoway
>> >>>>>> http://www.connectoway.com.br <http://www.connectoway.com.br/>
>> >>>>>> http://www.1telecom.com.br <http://www.1telecom.com.br/>
>> >>>>>> * rodrigo em connectoway.com.br
>> >>>>>> ( (81) 3497-6060
>> >>>>>> ( (81) 8184-3646
>> >>>>>> ( INOC-DBA 52965*100
>> >>>>>>
>> >>>>>>
>> >>>>>>
>> >>>>>  _______________________________________________
>> >>>> caiu mailing list
>> >>>> caiu em eng.registro.br
>> >>>> https://eng.registro.br/mailman/listinfo/caiu
>> >>>>
>> >>>>
>> >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >>>>
>> >>>> https://eng.registro.br/mailman/options/caiu
>> >>>>
>> >>>>  _______________________________________________
>> >>> caiu mailing list
>> >>> caiu em eng.registro.br
>> >>> https://eng.registro.br/mailman/listinfo/caiu
>> >>>
>> >>>
>> >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >>>
>> >>> https://eng.registro.br/mailman/options/caiu
>> >>>
>> >>>  _______________________________________________
>> >> caiu mailing list
>> >> caiu em eng.registro.br
>> >> https://eng.registro.br/mailman/listinfo/caiu
>> >>
>> >>
>> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >>
>> >> https://eng.registro.br/mailman/options/caiu
>> >>
>> >>  _______________________________________________
>> > caiu mailing list
>> > caiu em eng.registro.br
>> > https://eng.registro.br/mailman/listinfo/caiu
>> >
>> >
>> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >
>> > https://eng.registro.br/mailman/options/caiu
>> >
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>
>
>
> --
> Att
> Igor Thomaz Cassoni
> Panda Network
> www.pandanetwork.com.br
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu


More information about the caiu mailing list