[vpsFree.cz: community-list] mnoho spojení SYN_RECV - DDOS botnet?
Pavel Snajdr
snajpa at snajpa.net
Wed Oct 30 10:02:16 CET 2019
Nejlip bude to na Internet nevystavovat v takovym pripade vubec ;)
Nebo jaky je toho duvod? Ja to nechapu. Je smyslem zamezit jakemukoliv dalsimu vyhledavaci, co neni Google, aby vubec vzniknul?
Nebo proc proboha?
Vzdyt byt videt je podstatou toho byt na Internetu...
/snajpa
> On 30 Oct 2019, at 09:59, V.K. <vencour at gmail.com> wrote:
>
> Je něco proti něčemu dropovat obecně celý provoz z AS patřícího k oné IP adrese? Plus nějaké porty povoluju.
>
> To podle toho, jak se to u mne vyskytuje v logu a podle četnosti.
>
>
>
> Vencour
>
>
>
>> On 30. 10. 19 9:52, zd nex wrote:
>> Tak jsem to trochu prozkoumal více, vypadá to že je to nějaký scanner. Nyní je neaktivní (na žádném serveru to není) a vypadá to, že přistupuje z více obdobných adres např. - každá z nich je z jiné části Amazonu (routing, compute) apod.. Vše je ale AWS Soul.
>> 54.180.139.105
>> 54.180.138.177
>> 54.180.163.44
>> 54.180.139.105
>>
>> 13.124.8.54
>> 13.125.235.121
>> 13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server
>>
>> https://www.abuseipdb.com/check/54.180.139.105
>> https://www.abuseipdb.com/check/13.125.197.34
>>
>> podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?
>>
>> st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
>>> ... tak to prozkoumej, kdyz to rikas ;)
>>>
>>> /snajpa
>>>
>>> On 30 Oct 2019, at 07:04, zd nex <zdnexnet at gmail.com> wrote:
>>>
>>>> Ahojte,
>>>>
>>>> popravdě jsem si toho také všiml, je to > vše na 443 nebo 80 portu. Většina adress je Amazon south asia (seoul) + nějaký provider Leaseweb NL, je to na všech serverech. Trochu by to asi stálo za prozkoumání. Není toho moc cca 50 -200. V minulosti to bylo víc, pak to ustálo a asi se to oživuje?
>>>>
>>>> Zdenek
>>>> út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
>>>>> Ahoj,
>>>>>
>>>>> co myslis tim resit na infrastrukture? My Ti do trafficu sahat nebudeme,
>>>>> pokud to nebude prusvih velikosti, jako byl ten prusvih s memcached udp
>>>>> amplification utokama - nic takovyho nepozorujeme; kazdopadne je mozny,
>>>>> ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla vlna abuse
>>>>> notices, to nevypada).
>>>>>
>>>>> Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich dni hlavne
>>>>> napr. PHP-FPM, ktere ma remote code execution diru v urcitych setupech
>>>>> uz od PHP5... a na PHP7 je venku proof of concept exploit.
>>>>>
>>>>> /snajpa
>>>>>
>>>>> On 2019-10-29 15:28, Petr Parolek wrote:
>>>>> > Ahoj,
>>>>> >
>>>>> > už několik dnů na mé VPS pozoruju mnoho spojení se stavem SYN_RECV
>>>>> >
>>>>> > viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut -d: -f1 |
>>>>> > sort | uniq -c | sort -n
>>>>> > 23 xxx.xxx.xxx.xxx
>>>>> > 23 xxx.xxx.xxx.xxx
>>>>> > ...
>>>>> >
>>>>> > okolo 20 IP adres.
>>>>> >
>>>>> > Mám se tím znepokojovat nebo je vše ok a vše by se mělo řešit na
>>>>> > infrastruktuře?
>>>>> >
>>>>> > Díky moc za postřehy a rady
>>>>> >
>>>>> >
>>>>> > Petr
>>>>> > _______________________________________________
>>>>> > Community-list mailing list
>>>>> > Community-list at lists.vpsfree.cz
>>>>> > http://lists.vpsfree.cz/listinfo/community-list
>>>>> _______________________________________________
>>>>> Community-list mailing list
>>>>> Community-list at lists.vpsfree.cz
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20191030/4356bff1/attachment-0001.html>
More information about the Community-list
mailing list