Nejlip bude to na Internet nevystavovat v takovym pripade vubec ;)
Nebo jaky je toho duvod? Ja to nechapu. Je smyslem zamezit jakemukoliv dalsimu vyhledavaci, co neni Google, aby vubec vzniknul?
Nebo proc proboha?
Vzdyt byt videt je podstatou toho byt na Internetu...
/snajpa
On 30 Oct 2019, at 09:59, V.K. vencour@gmail.com wrote:
Je něco proti něčemu dropovat obecně celý provoz z AS patřícího k oné IP adrese? Plus nějaké porty povoluju.
To podle toho, jak se to u mne vyskytuje v logu a podle četnosti.
Vencour
On 30. 10. 19 9:52, zd nex wrote: Tak jsem to trochu prozkoumal více, vypadá to že je to nějaký scanner. Nyní je neaktivní (na žádném serveru to není) a vypadá to, že přistupuje z více obdobných adres např. - každá z nich je z jiné části Amazonu (routing, compute) apod.. Vše je ale AWS Soul. 54.180.139.105 54.180.138.177 54.180.163.44 54.180.139.105
13.124.8.54 13.125.235.121 13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server
https://www.abuseipdb.com/check/54.180.139.105 https://www.abuseipdb.com/check/13.125.197.34
podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?
st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr snajpa@snajpa.net napsal:
... tak to prozkoumej, kdyz to rikas ;)
/snajpa
On 30 Oct 2019, at 07:04, zd nex zdnexnet@gmail.com wrote:
Ahojte,
popravdě jsem si toho také všiml, je to > vše na 443 nebo 80 portu. Většina adress je Amazon south asia (seoul) + nějaký provider Leaseweb NL, je to na všech serverech. Trochu by to asi stálo za prozkoumání. Není toho moc cca 50 -200. V minulosti to bylo víc, pak to ustálo a asi se to oživuje?
Zdenek út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr snajpa@snajpa.net napsal:
Ahoj,
co myslis tim resit na infrastrukture? My Ti do trafficu sahat nebudeme, pokud to nebude prusvih velikosti, jako byl ten prusvih s memcached udp amplification utokama - nic takovyho nepozorujeme; kazdopadne je mozny, ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla vlna abuse notices, to nevypada).
Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich dni hlavne napr. PHP-FPM, ktere ma remote code execution diru v urcitych setupech uz od PHP5... a na PHP7 je venku proof of concept exploit.
/snajpa
On 2019-10-29 15:28, Petr Parolek wrote:
Ahoj,
už několik dnů na mé VPS pozoruju mnoho spojení se stavem SYN_RECV
viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 23 xxx.xxx.xxx.xxx 23 xxx.xxx.xxx.xxx ...
okolo 20 IP adres.
Mám se tím znepokojovat nebo je vše ok a vše by se mělo řešit na infrastruktuře?
Díky moc za postřehy a rady
Petr _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list