[vpsFree.cz: community-list] mnoho spojení SYN_RECV - DDOS botnet?

[zd nex]

Ahojte,

popravdě jsem si toho také všiml, je to > vše na 443 nebo 80 portu. Většina
adress je Amazon south asia (seoul) + nějaký provider Leaseweb NL, je to na
všech serverech.  Trochu by to asi stálo za prozkoumání. Není toho moc cca
50 -200. V minulosti to bylo víc, pak to ustálo a asi se to oživuje?

Zdenek
út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:

> Ahoj,
>
> co myslis tim resit na infrastrukture? My Ti do trafficu sahat nebudeme,
> pokud to nebude prusvih velikosti, jako byl ten prusvih s memcached udp
> amplification utokama - nic takovyho nepozorujeme; kazdopadne je mozny,
> ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla vlna abuse
> notices, to nevypada).
>
> Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich dni hlavne
> napr. PHP-FPM, ktere ma remote code execution diru v urcitych setupech
> uz od PHP5... a na PHP7 je venku proof of concept exploit.
>
> /snajpa
>
> On 2019-10-29 15:28, Petr Parolek wrote:
> > Ahoj,
> >
> > už několik dnů na mé VPS pozoruju mnoho spojení se stavem SYN_RECV
> >
> > viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut -d: -f1 |
> > sort | uniq -c | sort -n
> >      23 xxx.xxx.xxx.xxx
> >      23 xxx.xxx.xxx.xxx
> > ...
> >
> > okolo 20 IP adres.
> >
> > Mám se tím znepokojovat nebo je vše ok a vše by se mělo řešit na
> > infrastruktuře?
> >
> > Díky moc za postřehy a rady
> >
> >
> > Petr
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz
> > http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20191030/7dddb522/attachment-0001.html>