A ma to nejaky realny smysl? Port scanning a hledani napadnutelnych sluzeb je proste bezna vec, ktere se deje a dit bude a to neustale. To by asi clovek nemusel delat nic jineho, nez porad pridavat nove rozsahy techto zaskodniku a pak co opusti nejaky prideleny rozsah to schyta nekdo legitmni po jeho znovu-uziti... Zejmena u AWS.
 
S pozdravem

Jan Pleva


st 30. 10. 2019 v 10:02 odesílatel Pavel Snajdr <snajpa@snajpa.net> napsal:
Nejlip bude to na Internet nevystavovat v takovym pripade vubec ;)

Nebo jaky je toho duvod? Ja to nechapu. Je smyslem zamezit jakemukoliv dalsimu vyhledavaci, co neni Google, aby vubec vzniknul?

Nebo proc proboha?

Vzdyt byt videt je podstatou toho byt na Internetu...

/snajpa

On 30 Oct 2019, at 09:59, V.K. <vencour@gmail.com> wrote:

Je něco proti něčemu dropovat obecně celý provoz z AS patřícího k oné IP adrese? Plus nějaké porty povoluju.

To podle toho, jak se to u mne vyskytuje v logu a podle četnosti.


Vencour


On 30. 10. 19 9:52, zd nex wrote:
Tak jsem to trochu prozkoumal více, vypadá to že je to nějaký scanner. Nyní je neaktivní (na žádném serveru to není)  a vypadá to, že přistupuje z  více obdobných adres např.  - každá z nich je z jiné části Amazonu (routing, compute) apod.. Vše je ale AWS Soul.
54.180.139.105
54.180.138.177
54.180.163.44
54.180.139.105

13.124.8.54
13.125.235.121
13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server


podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?

st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr <snajpa@snajpa.net> napsal:
... tak to prozkoumej, kdyz to rikas ;)

/snajpa

On 30 Oct 2019, at 07:04, zd nex <zdnexnet@gmail.com> wrote:

Ahojte,

popravdě jsem si toho také všiml, je to > vše na 443 nebo 80 portu. Většina adress je Amazon south asia (seoul) + nějaký provider Leaseweb NL, je to na všech serverech.  Trochu by to asi stálo za prozkoumání. Není toho moc cca 50 -200. V minulosti to bylo víc, pak to ustálo a asi se to oživuje?

Zdenek
út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa@snajpa.net> napsal:
Ahoj,

co myslis tim resit na infrastrukture? My Ti do trafficu sahat nebudeme,
pokud to nebude prusvih velikosti, jako byl ten prusvih s memcached udp
amplification utokama - nic takovyho nepozorujeme; kazdopadne je mozny,
ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla vlna abuse
notices, to nevypada).

Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich dni hlavne
napr. PHP-FPM, ktere ma remote code execution diru v urcitych setupech
uz od PHP5... a na PHP7 je venku proof of concept exploit.

/snajpa

On 2019-10-29 15:28, Petr Parolek wrote:
> Ahoj,
>
> už několik dnů na mé VPS pozoruju mnoho spojení se stavem SYN_RECV
>
> viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut -d: -f1 |
> sort | uniq -c | sort -n
>      23 xxx.xxx.xxx.xxx
>      23 xxx.xxx.xxx.xxx
> ...
>
> okolo 20 IP adres.
>
> Mám se tím znepokojovat nebo je vše ok a vše by se mělo řešit na
> infrastruktuře?
>
> Díky moc za postřehy a rady
>
>
> Petr
> _______________________________________________
> Community-list mailing list
> Community-list@lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list


_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list