30 Oct
2019
30 Oct
'19
9:03 a.m.
Pro začátek - když se bavíme o spojení ve stavu SYN_RECV - ten paket
vůbec nemusel přijít z toho AS.
On 30. 10. 19 9:59, V.K. wrote:
Je něco proti něčemu dropovat obecně celý provoz z AS
patřícího k oné IP
adrese? Plus nějaké porty povoluju.
To podle toho, jak se to u mne vyskytuje v logu a podle četnosti.
Vencour
On 30. 10. 19 9:52, zd nex wrote:
Tak jsem to trochu prozkoumal více, vypadá to že
je to nějaký scanner.
Nyní je neaktivní (na žádném serveru to není) a vypadá to, že
přistupuje z více obdobných adres např. - každá z nich je z jiné
části Amazonu (routing, compute) apod.. Vše je ale AWS Soul.
54.180.139.105
54.180.138.177
54.180.163.44
54.180.139.105
13.124.8.54
13.125.235.121
13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server
https://www.abuseipdb.com/check/54.180.139.105
https://www.abuseipdb.com/check/13.125.197.34
<https://www.google.com/url?q=https://www.abuseipdb.com/check/13.125.197.34&sa=D&source=hangouts&ust=1572511680416000&usg=AFQjCNEOOO_7Kqh0hzDL5cQBvLnegK-rWA>
podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?
st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr <snajpa(a)snajpa.net
<mailto:snajpa@snajpa.net>> napsal:
... tak to prozkoumej, kdyz to rikas ;)
/snajpa
On 30 Oct 2019, at 07:04, zd nex <zdnexnet(a)gmail.com
<mailto:zdnexnet@gmail.com>> wrote:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Ahojte,
popravdě jsem si toho také všiml, je to > vše na 443 nebo 80
portu. Většina adress je Amazon south asia (seoul) + nějaký
provider Leaseweb NL, je to na všech serverech. Trochu by to asi
stálo za prozkoumání. Není toho moc cca 50 -200. V minulosti to
bylo víc, pak to ustálo a asi se to oživuje?
Zdenek
út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa(a)snajpa.net
<mailto:snajpa@snajpa.net>> napsal:
Ahoj,
co myslis tim resit na infrastrukture? My Ti do trafficu
sahat nebudeme,
pokud to nebude prusvih velikosti, jako byl ten prusvih s
memcached udp
amplification utokama - nic takovyho nepozorujeme; kazdopadne
je mozny,
ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla
vlna abuse
notices, to nevypada).
Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich
dni hlavne
napr. PHP-FPM, ktere ma remote code execution diru v urcitych
setupech
uz od PHP5... a na PHP7 je venku proof of concept exploit.
/snajpa
On 2019-10-29 15:28, Petr Parolek wrote:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Ahoj,
už několik dnů na mé VPS pozoruju mnoho spojení se stavem
SYN_RECV
viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut
-d: -f1 |
sort | uniq -c | sort -n
23 xxx.xxx.xxx.xxx
23 xxx.xxx.xxx.xxx
...
okolo 20 IP adres.
Mám se tím znepokojovat nebo je vše ok a vše by se mělo
řešit na
infrastruktuře?
Díky moc za postřehy a rady
Petr
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list