[vpsFree.cz: community-list] mnoho spojení SYN_RECV - DDOS botnet?

Jirka Bourek vpsfree-list at keroub.cz
Wed Oct 30 10:03:12 CET 2019 

Pro začátek - když se bavíme o spojení ve stavu SYN_RECV - ten paket 
vůbec nemusel přijít z toho AS.

On 30. 10. 19 9:59, V.K. wrote:
> Je něco proti něčemu dropovat obecně celý provoz z AS patřícího k oné IP
> adrese? Plus nějaké porty povoluju.
> 
> To podle toho, jak se to u mne vyskytuje v logu a podle četnosti.
> 
> 
> Vencour
> 
> 
> On 30. 10. 19 9:52, zd nex wrote:
>> Tak jsem to trochu prozkoumal více, vypadá to že je to nějaký scanner.
>> Nyní je neaktivní (na žádném serveru to není)  a vypadá to, že
>> přistupuje z  více obdobných adres např.  - každá z nich je z jiné
>> části Amazonu (routing, compute) apod.. Vše je ale AWS Soul.
>> 54.180.139.105
>> 54.180.138.177
>> 54.180.163.44
>> 54.180.139.105
>>
>> 13.124.8.54
>> 13.125.235.121
>> 13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server
>>
>> https://www.abuseipdb.com/check/54.180.139.105
>> https://www.abuseipdb.com/check/13.125.197.34
>> <https://www.google.com/url?q=https://www.abuseipdb.com/check/13.125.197.34&sa=D&source=hangouts&ust=1572511680416000&usg=AFQjCNEOOO_7Kqh0hzDL5cQBvLnegK-rWA>
>>
>> podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?
>>
>> st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr <snajpa at snajpa.net
>> <mailto:snajpa at snajpa.net>> napsal:
>>
>>      ... tak to prozkoumej, kdyz to rikas ;)
>>
>>      /snajpa
>>
>>      On 30 Oct 2019, at 07:04, zd nex <zdnexnet at gmail.com
>>      <mailto:zdnexnet at gmail.com>> wrote:
>>
>>>      Ahojte,
>>>
>>>      popravdě jsem si toho také všiml, je to > vše na 443 nebo 80
>>>      portu. Většina adress je Amazon south asia (seoul) + nějaký
>>>      provider Leaseweb NL, je to na všech serverech.  Trochu by to asi
>>>      stálo za prozkoumání. Není toho moc cca 50 -200. V minulosti to
>>>      bylo víc, pak to ustálo a asi se to oživuje?
>>>
>>>      Zdenek
>>>      út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa at snajpa.net
>>>      <mailto:snajpa at snajpa.net>> napsal:
>>>
>>>          Ahoj,
>>>
>>>          co myslis tim resit na infrastrukture? My Ti do trafficu
>>>          sahat nebudeme,
>>>          pokud to nebude prusvih velikosti, jako byl ten prusvih s
>>>          memcached udp
>>>          amplification utokama - nic takovyho nepozorujeme; kazdopadne
>>>          je mozny,
>>>          ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla
>>>          vlna abuse
>>>          notices, to nevypada).
>>>
>>>          Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich
>>>          dni hlavne
>>>          napr. PHP-FPM, ktere ma remote code execution diru v urcitych
>>>          setupech
>>>          uz od PHP5... a na PHP7 je venku proof of concept exploit.
>>>
>>>          /snajpa
>>>
>>>          On 2019-10-29 15:28, Petr Parolek wrote:
>>>          > Ahoj,
>>>          >
>>>          > už několik dnů na mé VPS pozoruju mnoho spojení se stavem
>>>          SYN_RECV
>>>          >
>>>          > viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut
>>>          -d: -f1 |
>>>          > sort | uniq -c | sort -n
>>>          >      23 xxx.xxx.xxx.xxx
>>>          >      23 xxx.xxx.xxx.xxx
>>>          > ...
>>>          >
>>>          > okolo 20 IP adres.
>>>          >
>>>          > Mám se tím znepokojovat nebo je vše ok a vše by se mělo
>>>          řešit na
>>>          > infrastruktuře?
>>>          >
>>>          > Díky moc za postřehy a rady
>>>          >
>>>          >
>>>          > Petr
>>>          > _______________________________________________
>>>          > Community-list mailing list
>>>          > Community-list at lists.vpsfree.cz
>>>          <mailto:Community-list at lists.vpsfree.cz>
>>>          > http://lists.vpsfree.cz/listinfo/community-list
>>>          _______________________________________________
>>>          Community-list mailing list
>>>          Community-list at lists.vpsfree.cz
>>>          <mailto:Community-list at lists.vpsfree.cz>
>>>          http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>
>>>      _______________________________________________
>>>      Community-list mailing list
>>>      Community-list at lists.vpsfree.cz
>>>      <mailto:Community-list at lists.vpsfree.cz>
>>>      http://lists.vpsfree.cz/listinfo/community-list
>>      _______________________________________________
>>      Community-list mailing list
>>      Community-list at lists.vpsfree.cz
>>      <mailto:Community-list at lists.vpsfree.cz>
>>      http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> 
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>

More information about the Community-list mailing list