Ataque [RESOLVIDO]

wesleya2
(usa Debian)

Enviado em 19/06/2012 - 18:54h

Alguem sabe como me livro disso?

19:03:19.791562 IP enr-g.com.domain > xxxx.xxxxx.com.br.domain: 952+ [1au] ANY? ripe.net. (38)

Grato.

renato_pacheco
(usa Debian)

Enviado em 19/06/2012 - 21:04h

Tem como ser mais claro? Esse log é d onde? Em qual porta houve o ataque e em qual protocolo (TCP ou UDP)?

wesleya2
(usa Debian)

Enviado em 20/06/2012 - 08:55h

A uns 2 dias eu comecei a receber um monte de pacote.

EX.

UDP (66 BYTES) from xxx.xxx.xxx.xxx:53 to xxx.xx.xxx.xxx:53 on eth2

wesleya2
(usa Debian)

Enviado em 20/06/2012 - 08:55h

o primeiro log é do tcpdump o segundo é do iptraf

renato_pacheco
(usa Debian)

Enviado em 20/06/2012 - 09:17h

Essa máquina é um firewall? Se for, tente impedir q esses pacotes entrem na rede:

iptables -A INPUT -s xxx.xxx.xxx.xxx -p udp --dport 53 -j DROP
iptables -A FORWARD -s xxx.xxx.xxx.xxx -p udp --dport 53 -j DROP
 

wesleya2
(usa Debian)

Enviado em 20/06/2012 - 09:37h

eu fechei o udp da rede na 53 e paro ai eu abri denovo
coloquei essa regra que foi postada e irei testar no proximo ataque.

o estranho é que esse é o 3º ataque que recebo em 3 dias e não liberei nada para justificar isso.

renato_pacheco
(usa Debian)

Enviado em 20/06/2012 - 09:50h

Ataques são comuns em máquinas q estão expostas à Internet. O lance é bloquear tudo e liberar d acordo com a necessidade, pois facilita no momento das análises.

wesleya2
(usa Debian)

Enviado em 20/06/2012 - 10:19h

ainda não estou conseguindo travar isso

10:20:51.268702 IP 87.117.202.149.domain > mail.xxxx.br.domain: 952+ [1au] ANY? ripe.net. (38)
10:20:51.269513 IP www.ndc.co.uk.domain > mail.xxxx.com.br.domain: 952+ [1au] ANY? ripe.net. (38)
10:20:51.269854 IP www.ndc.co.uk.domain > mail.xxxx.com.br.domain: 952+ [1au] ANY? ripe.net. (38)
10:20:51.272526 IP 87.117.202.149.domain > mail.xxxx.com.br.domain: 952+ [1au] ANY? ripe.net. (38)
10:20:51.274692 IP 87.117.202.149.domain > mail.xxxx.com.br.domain: 952+ [1au] ANY? ripe.net. (38)
10:20:51.275107 IP www.ndc.co.uk.domain > mail.xxxx.com.br.domain: 952+ [1au] ANY? ripe.net. (38)
10:20:51.276476 IP www.ndc.co.uk.domain > mail.xxxx.com.br.domain: 952+ [1au] ANY? ripe.net. (38)
10:20:51.276789 IP 87.117.202.149.domain > mail.xxxx.com.br.domain: 952+ [1au] ANY? ripe.net. (38)


to sendo bombardeado

dar um drop na 53 não esta adiantando

UDP (66 bytes) from 87.106.143.18:53 to ip:53 on eth2 │
│ UDP (588 bytes) from ip:53 to 87.117.202.149:53 on eth2 │
│ UDP (66 bytes) from 87.106.143.18:53 to ip:53 on eth2 │
│ UDP (66 bytes) from 87.117.202.149:53 to ip:53 on eth2 │
│ UDP (66 bytes) from 87.117.202.149:53 to ip:53 on eth2 │
│ UDP (66 bytes) from 87.106.143.18:53 to ip:53 on eth2 │
│ UDP (66 bytes) from 87.106.143.18:53 to ip:53 on eth2 │
│ UDP (66 bytes) from 87.117.202.149:53 to ip:53 on eth2 │
│ UDP (66 bytes) from 87.117.202.149:53 to ip:53 on eth2 │
│ UDP (588 bytes) from ip:53 to 87.117.202.149:53 on eth2

renato_pacheco
(usa Debian)

Enviado em 20/06/2012 - 10:29h

Pensando melhor, independentemente d vc bloquear o pacote no seu firewall, o máximo q vc vai evitar é q o pacote vá para o destino, mas ainda sim o pacote chega, podendo negar o seu serviço. O q vc pode fazer é entrar em contato com essa empresa (www.ndc.co.uk) ou com o seu provedor e reportar o problema. Infelizmente, não há muito o q fazer.

wesleya2
(usa Debian)

Enviado em 20/06/2012 - 10:53h

abri um tiquet no meu provedor

pq é isso mesmo por mais que eu tenha um drop, o ataque não para

danilorpneves
(usa FreeBSD)

Enviado em 20/06/2012 - 12:49h

também estou com o mesmo problema que vc :D....é uma briga da cão e gato.
também entrei em contato com a operadora hoje.
E digo mais....a minha origem de ataque é a mesma que a sua...mandei um email para o provedor do ip de origem..
vamos ver o que acontece :/

wesleya2
(usa Debian)

Enviado em 20/06/2012 - 14:13h

cara liguei na telefonica (vulgo vivo)

o pessoal nem sabe quem é o setor responsavel pelo meu caso ¬¬

tenho que enviar um e-mail para o gerente da conta e perguntar p ele ¬¬