[vpsFree.cz: community-list] mnoho spojení SYN_RECV - DDOS botnet?
Lukas Vana
fabian at fabian.cz
Wed Oct 30 10:01:11 CET 2019
Ahoj,
máme podobný návštěvy na jednom projektu. Nejedná se o VPSfree servery, je
to projekt se servery v Rakousku. Občas se v nginx access logu
objevuje "Cloud mapping experiment. Contact research at pdrlabs.net"
--
Lukáš Váňa (fabian)
On 30 October 2019 at 09:52:43, zd nex (zdnexnet at gmail.com) wrote:
Tak jsem to trochu prozkoumal více, vypadá to že je to nějaký scanner. Nyní
je neaktivní (na žádném serveru to není) a vypadá to, že přistupuje z
více obdobných adres např. - každá z nich je z jiné části Amazonu
(routing, compute) apod.. Vše je ale AWS Soul.
54.180.139.105
54.180.138.177
54.180.163.44
54.180.139.105
13.124.8.54
13.125.235.121
13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server
https://www.abuseipdb.com/check/54.180.139.105
https://www.abuseipdb.com/check/13.125.197.34
<https://www.google.com/url?q=https://www.abuseipdb.com/check/13.125.197.34&sa=D&source=hangouts&ust=1572511680416000&usg=AFQjCNEOOO_7Kqh0hzDL5cQBvLnegK-rWA>
podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?
st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
> ... tak to prozkoumej, kdyz to rikas ;)
>
> /snajpa
>
> On 30 Oct 2019, at 07:04, zd nex <zdnexnet at gmail.com> wrote:
>
> Ahojte,
>
> popravdě jsem si toho také všiml, je to > vše na 443 nebo 80 portu.
> Většina adress je Amazon south asia (seoul) + nějaký provider Leaseweb NL,
> je to na všech serverech. Trochu by to asi stálo za prozkoumání. Není toho
> moc cca 50 -200. V minulosti to bylo víc, pak to ustálo a asi se to oživuje?
>
> Zdenek
> út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
>
>> Ahoj,
>>
>> co myslis tim resit na infrastrukture? My Ti do trafficu sahat nebudeme,
>> pokud to nebude prusvih velikosti, jako byl ten prusvih s memcached udp
>> amplification utokama - nic takovyho nepozorujeme; kazdopadne je mozny,
>> ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla vlna abuse
>> notices, to nevypada).
>>
>> Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich dni hlavne
>> napr. PHP-FPM, ktere ma remote code execution diru v urcitych setupech
>> uz od PHP5... a na PHP7 je venku proof of concept exploit.
>>
>> /snajpa
>>
>> On 2019-10-29 15:28, Petr Parolek wrote:
>> > Ahoj,
>> >
>> > už několik dnů na mé VPS pozoruju mnoho spojení se stavem SYN_RECV
>> >
>> > viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut -d: -f1 |
>> > sort | uniq -c | sort -n
>> > 23 xxx.xxx.xxx.xxx
>> > 23 xxx.xxx.xxx.xxx
>> > ...
>> >
>> > okolo 20 IP adres.
>> >
>> > Mám se tím znepokojovat nebo je vše ok a vše by se mělo řešit na
>> > infrastruktuře?
>> >
>> > Díky moc za postřehy a rady
>> >
>> >
>> > Petr
>> > _______________________________________________
>> > Community-list mailing list
>> > Community-list at lists.vpsfree.cz
>> > http://lists.vpsfree.cz/listinfo/community-list
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
_______________________________________________
Community-list mailing list
Community-list at lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20191030/3b9ffe45/attachment.html>
More information about the Community-list
mailing list