[vpsFree.cz: community-list] mnoho spojení SYN_RECV - DDOS botnet?

Jan Pleva jenik.pleva at gmail.com
Wed Oct 30 10:05:59 CET 2019


A ma to nejaky realny smysl? Port scanning a hledani napadnutelnych sluzeb
je proste bezna vec, ktere se deje a dit bude a to neustale. To by asi
clovek nemusel delat nic jineho, nez porad pridavat nove rozsahy techto
zaskodniku a pak co opusti nejaky prideleny rozsah to schyta nekdo legitmni
po jeho znovu-uziti... Zejmena u AWS.

S pozdravem

Jan Pleva


st 30. 10. 2019 v 10:02 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:

> Nejlip bude to na Internet nevystavovat v takovym pripade vubec ;)
>
> Nebo jaky je toho duvod? Ja to nechapu. Je smyslem zamezit jakemukoliv
> dalsimu vyhledavaci, co neni Google, aby vubec vzniknul?
>
> Nebo proc proboha?
>
> Vzdyt byt videt je podstatou toho byt na Internetu...
>
> /snajpa
>
> On 30 Oct 2019, at 09:59, V.K. <vencour at gmail.com> wrote:
>
> Je něco proti něčemu dropovat obecně celý provoz z AS patřícího k oné IP
> adrese? Plus nějaké porty povoluju.
>
> To podle toho, jak se to u mne vyskytuje v logu a podle četnosti.
>
>
> Vencour
>
>
> On 30. 10. 19 9:52, zd nex wrote:
>
> Tak jsem to trochu prozkoumal více, vypadá to že je to nějaký scanner.
> Nyní je neaktivní (na žádném serveru to není)  a vypadá to, že přistupuje
> z  více obdobných adres např.  - každá z nich je z jiné části Amazonu
> (routing, compute) apod.. Vše je ale AWS Soul.
> 54.180.139.105
> 54.180.138.177
> 54.180.163.44
> 54.180.139.105
>
> 13.124.8.54
> 13.125.235.121
> 13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server
>
> https://www.abuseipdb.com/check/54.180.139.105
> https://www.abuseipdb.com/check/13.125.197.34
> <https://www.google.com/url?q=https://www.abuseipdb.com/check/13.125.197.34&sa=D&source=hangouts&ust=1572511680416000&usg=AFQjCNEOOO_7Kqh0hzDL5cQBvLnegK-rWA>
>
> podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?
>
> st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
>
>> ... tak to prozkoumej, kdyz to rikas ;)
>>
>> /snajpa
>>
>> On 30 Oct 2019, at 07:04, zd nex <zdnexnet at gmail.com> wrote:
>>
>> Ahojte,
>>
>> popravdě jsem si toho také všiml, je to > vše na 443 nebo 80 portu.
>> Většina adress je Amazon south asia (seoul) + nějaký provider Leaseweb NL,
>> je to na všech serverech.  Trochu by to asi stálo za prozkoumání. Není toho
>> moc cca 50 -200. V minulosti to bylo víc, pak to ustálo a asi se to oživuje?
>>
>> Zdenek
>> út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa at snajpa.net>
>> napsal:
>>
>>> Ahoj,
>>>
>>> co myslis tim resit na infrastrukture? My Ti do trafficu sahat nebudeme,
>>> pokud to nebude prusvih velikosti, jako byl ten prusvih s memcached udp
>>> amplification utokama - nic takovyho nepozorujeme; kazdopadne je mozny,
>>> ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla vlna abuse
>>> notices, to nevypada).
>>>
>>> Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich dni hlavne
>>> napr. PHP-FPM, ktere ma remote code execution diru v urcitych setupech
>>> uz od PHP5... a na PHP7 je venku proof of concept exploit.
>>>
>>> /snajpa
>>>
>>> On 2019-10-29 15:28, Petr Parolek wrote:
>>> > Ahoj,
>>> >
>>> > už několik dnů na mé VPS pozoruju mnoho spojení se stavem SYN_RECV
>>> >
>>> > viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut -d: -f1 |
>>> > sort | uniq -c | sort -n
>>> >      23 xxx.xxx.xxx.xxx
>>> >      23 xxx.xxx.xxx.xxx
>>> > ...
>>> >
>>> > okolo 20 IP adres.
>>> >
>>> > Mám se tím znepokojovat nebo je vše ok a vše by se mělo řešit na
>>> > infrastruktuře?
>>> >
>>> > Díky moc za postřehy a rady
>>> >
>>> >
>>> > Petr
>>> > _______________________________________________
>>> > Community-list mailing list
>>> > Community-list at lists.vpsfree.cz
>>> > http://lists.vpsfree.cz/listinfo/community-list
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>
>
> _______________________________________________
> Community-list mailing listCommunity-list at lists.vpsfree.czhttp://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20191030/58215d62/attachment.html>


More information about the Community-list mailing list