[caiu] DDos em massa partindo de IPS nacionais

THIAGO AYUB thiago.ayub em upx.com
Qui Jul 26 22:26:49 -03 2018


Olá Gelson,


IP Spoofados não são capazes de estabelecer conexões TCP. Somente
denunciamos os IPs que estão estabelecendo conexões TCP ou se ao fazermos o
portscan devolta identificamos a vulnerabilidade utilizada para nos atacar
ou atacar nossos clientes.

Quanto a eventuais inocentes que recebam IP dinâmico previamente envolvido
em atividade maliciosa cabe ao sistema autônomo responsável pelo endereço
IP impedir que vulnerabilidades sejam exploradas (ISPs) ou o uso abusivo de
sua rede (datacenters) para impedir que isso ocorra. Enviamos e-mails aos
contatos do WHOIS ensinando como evitar novas ocorrências. O que não pode é
atividade maliciosa ficar impune.


Abraços,



*Thiago Ayub *| Network Director

+55 (11) 2626-3952 <(11)%202626-3952>
upx.com


2018-07-26 19:57 GMT-03:00 Gelson Santos <gelson.dias em gmail.com>:

> Qual a utilidade de se aplicar filtro por IP de origem se eles sempre são
> spoofed e mesmo que não fossem, seriam dinâmicos? Isso não acaba por
> filtrar inocentes sem resolver o problema?
> Gelson
>
> Em qui, 26 de jul de 2018 19:07, Christian David <davidchristia em gmail.com>
> escreveu:
>
> > Vocês que captaram os logs de acessos dos ataques, poderiam compartilhar
> > com a lista para fins de atualização dos ips infectados nas listas dos
> > nossos equipamentos?
> >
> > Em qui, 26 de jul de 2018 às 15:44, Rafael Floriano <
> rafloriano em gmail.com>
> > escreveu:
> >
> > > Aqui eu venho sofrendo a 3 semanas.
> > >
> > > Sexta passada dispararam um caminhão de acessos falsos para wap.ind.br
> ,
> > > ssh, ftp e login web.
> > >
> > > Essa semana desde ontem estão martelando em uma URL da beautycolor, mas
> > > dessa vez não é tentativa de quebrar senha, é milhares de acessos a uma
> > URL
> > > publica do site como se o objetivo fosse apenas derrubar o site.
> > >
> > > O user agent desse ataque é na maior parte android mobile.
> > >
> > > Em qui, 26 de jul de 2018 às 13:23, contato em gomais.com.br <
> > > contato em gomais.com.br> escreveu:
> > >
> > > > so voces verem esse anuncio pelo tal guerreiro ddos
> > > >
> > > > lista de isp/provedores vulneráveis
> > > > com equipamentos vulneráveis para implatação de botnets
> > > > que serão usados para efetuar ataques
> > > > http://equipepnt.com.br/vulneraveis/lista.20.07.2018.txt
> > > >
> > > >
> > > > Em 26/07/2018 12:11, Eduardo Schoedler escreveu:
> > > > > Boa tarde,
> > > > >
> > > > > Em 26 de julho de 2018 03:04, Rafael VOlpe TI
> > > > > <rafaelvolpeti em gmail.com> escreveu:
> > > > >> Bom dia galera,
> > > > >>
> > > > >> mais alguém tem enfrentado ataques DDos (Geralmente em
> Webservers),
> > em
> > > > >> LARGA escala (mais de 5000 ips nacionais - Vivo/Claro/Ctbc) para
> > > > aplicações
> > > > >> WEB?
> > > > > Ih, toda hora rsrs.
> > > > >
> > > > > Com ips nacionais especificamente, não.
> > > > > Mas não confio nisso, porque geralmente são falsos.
> > > > >
> > > > > Contratamos uma ferramenta, o engraçado é que ele sempre aponta o
> > > > > mitigador de Frankfurt como entrada do tráfego de ataque.
> > > > > Nesse caso, os IPs eram de um ASN da Alemanha mesmo.
> > > > >
> > > > > Abs,
> > > > >
> > > > > --
> > > > > Eduardo Schoedler
> > > > > _______________________________________________
> > > > > caiu mailing list
> > > > > caiu em eng.registro.br
> > > > > https://eng.registro.br/mailman/listinfo/caiu
> > > > >
> > > > >
> > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >
> > > > > https://eng.registro.br/mailman/options/caiu
> > > > >
> > > >
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > >
> > >
> > > --
> > > ____________________________________________________________
> > > Rafael Martins.
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> >
> >
> > --
> > _______________________________________________________
> >
> > Christian David Moura de Freitas
> >
> > NOC - Viva Telecom (AS264564)
> > Técnico em tecnologia na informação (Desenvolvimento Web e Redes de
> > computadores)
> > Graduando Ciência da Computação pela UERN
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu