[vpsFree.cz: community-list] mnoho spojení SYN_RECV - DDOS botnet?

V.K. vencour at gmail.com
Wed Oct 30 09:59:22 CET 2019 

Je něco proti něčemu dropovat obecně celý provoz z AS patřícího k oné IP
adrese? Plus nějaké porty povoluju.

To podle toho, jak se to u mne vyskytuje v logu a podle četnosti.


Vencour


On 30. 10. 19 9:52, zd nex wrote:
> Tak jsem to trochu prozkoumal více, vypadá to že je to nějaký scanner.
> Nyní je neaktivní (na žádném serveru to není)  a vypadá to, že
> přistupuje z  více obdobných adres např.  - každá z nich je z jiné
> části Amazonu (routing, compute) apod.. Vše je ale AWS Soul.
> 54.180.139.105
> 54.180.138.177
> 54.180.163.44
> 54.180.139.105
>
> 13.124.8.54
> 13.125.235.121
> 13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server
>
> https://www.abuseipdb.com/check/54.180.139.105
> https://www.abuseipdb.com/check/13.125.197.34
> <https://www.google.com/url?q=https://www.abuseipdb.com/check/13.125.197.34&sa=D&source=hangouts&ust=1572511680416000&usg=AFQjCNEOOO_7Kqh0hzDL5cQBvLnegK-rWA>
>
> podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?
>
> st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr <snajpa at snajpa.net
> <mailto:snajpa at snajpa.net>> napsal:
>
>     ... tak to prozkoumej, kdyz to rikas ;)
>
>     /snajpa
>
>     On 30 Oct 2019, at 07:04, zd nex <zdnexnet at gmail.com
>     <mailto:zdnexnet at gmail.com>> wrote:
>
>>     Ahojte,
>>
>>     popravdě jsem si toho také všiml, je to > vše na 443 nebo 80
>>     portu. Většina adress je Amazon south asia (seoul) + nějaký
>>     provider Leaseweb NL, je to na všech serverech.  Trochu by to asi
>>     stálo za prozkoumání. Není toho moc cca 50 -200. V minulosti to
>>     bylo víc, pak to ustálo a asi se to oživuje?
>>
>>     Zdenek
>>     út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa at snajpa.net
>>     <mailto:snajpa at snajpa.net>> napsal:
>>
>>         Ahoj,
>>
>>         co myslis tim resit na infrastrukture? My Ti do trafficu
>>         sahat nebudeme,
>>         pokud to nebude prusvih velikosti, jako byl ten prusvih s
>>         memcached udp
>>         amplification utokama - nic takovyho nepozorujeme; kazdopadne
>>         je mozny,
>>         ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla
>>         vlna abuse
>>         notices, to nevypada).
>>
>>         Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich
>>         dni hlavne
>>         napr. PHP-FPM, ktere ma remote code execution diru v urcitych
>>         setupech
>>         uz od PHP5... a na PHP7 je venku proof of concept exploit.
>>
>>         /snajpa
>>
>>         On 2019-10-29 15:28, Petr Parolek wrote:
>>         > Ahoj,
>>         >
>>         > už několik dnů na mé VPS pozoruju mnoho spojení se stavem
>>         SYN_RECV
>>         >
>>         > viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut
>>         -d: -f1 |
>>         > sort | uniq -c | sort -n
>>         >      23 xxx.xxx.xxx.xxx
>>         >      23 xxx.xxx.xxx.xxx
>>         > ...
>>         >
>>         > okolo 20 IP adres.
>>         >
>>         > Mám se tím znepokojovat nebo je vše ok a vše by se mělo
>>         řešit na
>>         > infrastruktuře?
>>         >
>>         > Díky moc za postřehy a rady
>>         >
>>         >
>>         > Petr
>>         > _______________________________________________
>>         > Community-list mailing list
>>         > Community-list at lists.vpsfree.cz
>>         <mailto:Community-list at lists.vpsfree.cz>
>>         > http://lists.vpsfree.cz/listinfo/community-list
>>         _______________________________________________
>>         Community-list mailing list
>>         Community-list at lists.vpsfree.cz
>>         <mailto:Community-list at lists.vpsfree.cz>
>>         http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>     _______________________________________________
>>     Community-list mailing list
>>     Community-list at lists.vpsfree.cz
>>     <mailto:Community-list at lists.vpsfree.cz>
>>     http://lists.vpsfree.cz/listinfo/community-list
>     _______________________________________________
>     Community-list mailing list
>     Community-list at lists.vpsfree.cz
>     <mailto:Community-list at lists.vpsfree.cz>
>     http://lists.vpsfree.cz/listinfo/community-list
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20191030/a4e8b67c/attachment-0001.html>

More information about the Community-list mailing list