[GTER] Host da Locaweb sendo usado para ataques
Antonio Carlos Pina
antoniocarlospina at gmail.com
Sat Nov 28 13:08:59 -02 2009
Por origem, não conheço nenhuma. Por destino, todas.
Bloqueio por origem TEMPORARIO, todas fazem. Na sua ponta mesmo, via ACL.
2009/11/28 Juliano Primavesi | KingHost <juliano at kinghost.com.br>
>
> Blackhole por origem? Qual operadora faz isso??
>
> Só conheço synkhole/blackhole por destino...
>
>
> Juliano
>
> Antonio Carlos Pina escreveu:
>
>> Saiu um ataque daqui de uns 1,5Gb/s há dois dias, que nós bloqueamos. Veio
>>
>> de um grupo de clientes, mas não analisamos exatamente o que foi, somente
>> bloqueamos e avisamos aos clientes.
>>
>> Pode ser que tenha alguma vulnerabilidade nova em scripts ou frameworks
>> que
>> o pessoal esteja instalando por aí. E essa vuln pode ser explorada para
>> fazer exatamente isso.
>> Bogus, você possui algum sistema de blackhole instalado com a operadora ?
>> Você não pode pedir o bloqueio nas operadoras para essa origem até a
>> locaweb
>> resolver ?
>>
>> Abs
>> 2009/11/27 Julio Arruda <jarruda-gter at jarruda.com>
>>
>>
>>
>>> Provedor Bogus wrote:
>>>
>>>
>>>
>>>> Pois é ... já fiz isso, mas acho que alguém da Locaweb deveria saber que
>>>> estão usando um host
>>>> deles pra ataque. E parece que tem bastante link disponível. Encheu um
>>>> 500
>>>> mbps nosso com
>>>> os pés nas costas ... :-)
>>>>
>>>>
>>>>
>>>>
>>> O problema, como o Bogus (?) mencionou, e' que hosts em um IDC com 'banda
>>> a
>>> vontade', pode dar muita aporrinhacao.
>>> Existem ilhas no Caribe, onde com 622 voce tirava cassinos inteiros do ar
>>> a
>>> uns 1 e 1/2 anos atras..
>>>
>>> Se o provedor nao seguir um minimo de BCP 38 (ao menos prevenir
>>> spoofing),
>>> ainda pode dar mais trabalho..
>>> Quanto ao nullroute, neste caso, ele teria que fazer um S/RTBH por
>>> exemplo,
>>> ja que ele quer evitar entrada de trafego, nao resposta (nao e' claro
>>> qual o
>>> tipo de ataque, mas 500 Mbps dao trabalho mesmo se for sem resposta :-)..
>>>
>>>
>>>
>>>
>>>
>>>
>>>> 2009/11/27 Itamar Reis Peixoto <itamar at ispbrasil.com.br>
>>>>
>>>> da um nullroute e envia este ip para bogus!
>>>>
>>>>
>>>>> 2009/11/27 Provedor Bogus <provedorbogus at gmail.com>:
>>>>>
>>>>>
>>>>>
>>>>>> Caros,
>>>>>>
>>>>>> Não sei se há alguém da parte operacional da Locaweb aqui na lista,
>>>>>> mas, espero que haja.
>>>>>>
>>>>>> O host 189.126.99.8 está sendo usado para atacar outros provedores.
>>>>>> Semana passada
>>>>>> um amigo de outro provedor foi atacado e agora fomos nós.
>>>>>>
>>>>>> Abraço !
>>>>>> --
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>> --
>>>>> ------------
>>>>>
>>>>> Itamar Reis Peixoto
>>>>>
>>>>> e-mail/msn/google talk/sip: itamar at ispbrasil.com.br
>>>>> skype: itamarjp
>>>>> icq: 81053601
>>>>> +55 11 4063 5033
>>>>> +55 34 3221 8599
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>> --
>>>>>
>>>>>
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>>
>>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>>
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list