Discussion:
statystyki ataków
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Arni
2024-05-13 06:26:53 UTC
Permalink
Macie jakies niestandardowe obserwacje z logów?
Z mojego serwera pocztowego widzę od ok 2 tygodni ogromny wzrost macania
pod kątem poszukiwania open relaya z pojedynczych adresów IP z klas,
jakie dotychczas u mnie nie występowały. IP mi się porządkują klasami i
jak widzę, ze z danej klasy jest za dużo prób to wycinam całe /24 na
firewallu. Dlatego łatwo mi wychwycić pojedyncze IP z nienotowanych
dotychczas klas. I jest tego 3-4 razy więcej niż zwykle. Ktoś buduje
albo już zbudował botnet.

Ponadto z monitoringu sieci firmowej widzę, że w tym samym czasie
drastycznie wzrosła ilość prób wszelkiej maści ataków skryptowych na
routery/firewalle a nawet na stronę www.
A jak sie to zestawi z wiadomościami z kraju i ze świata to coś musi być
na rzeczy.
--
Arni
Marcin Safiejuk
2024-05-13 06:53:00 UTC
Permalink
Post by Arni
Macie jakies niestandardowe obserwacje z logów?
Z mojego serwera pocztowego widzę od ok 2 tygodni ogromny wzrost macania
pod kątem poszukiwania open relaya z pojedynczych adresów IP z klas,
jakie dotychczas u mnie nie występowały. IP mi się porządkują klasami i
jak widzę, ze z danej klasy jest za dużo prób to wycinam całe /24 na
firewallu. Dlatego łatwo mi wychwycić pojedyncze IP z nienotowanych
dotychczas klas. I jest tego 3-4 razy więcej niż zwykle. Ktoś buduje
albo już zbudował botnet.
Ponadto z monitoringu sieci firmowej widzę, że w tym samym czasie
drastycznie wzrosła ilość prób wszelkiej maści ataków skryptowych na
routery/firewalle a nawet na stronę www.
A jak sie to zestawi z wiadomościami z kraju i ze świata to coś musi być
na rzeczy.
Sprawdzałeś może narodowość tych IP ?

Możliwe, że to jakiś nowy wirus.
Albo nasi "bracia" zza Buga :)
Andrzej A. Filip
2024-05-13 06:57:41 UTC
Permalink
Post by Marcin Safiejuk
Post by Arni
Macie jakies niestandardowe obserwacje z logów?
Z mojego serwera pocztowego widzę od ok 2 tygodni ogromny wzrost
macania pod kątem poszukiwania open relaya z pojedynczych adresów IP
z klas, jakie dotychczas u mnie nie występowały. IP mi się
porządkują klasami i jak widzę, ze z danej klasy jest za dużo prób
to wycinam całe /24 na firewallu. Dlatego łatwo mi wychwycić
pojedyncze IP z nienotowanych dotychczas klas. I jest tego 3-4 razy
więcej niż zwykle. Ktoś buduje albo już zbudował botnet.
Ponadto z monitoringu sieci firmowej widzę, że w tym samym czasie
drastycznie wzrosła ilość prób wszelkiej maści ataków skryptowych na
routery/firewalle a nawet na stronę www.
A jak sie to zestawi z wiadomościami z kraju i ze świata to coś musi
być na rzeczy.
Sprawdzałeś może narodowość tych IP ?
Możliwe, że to jakiś nowy wirus.
Albo nasi "bracia" zza Buga :)
Więcej wiary w ojczyznę zyskownego spamu (USA).
--
Andrzej A. Filip
Arni
2024-05-13 07:56:52 UTC
Permalink
Post by Marcin Safiejuk
Sprawdzałeś może narodowość tych IP ?
Możliwe, że to jakiś nowy wirus.
Albo nasi "bracia" zza Buga :)
totalna mieszanka: USA, Hiszpania, jakieś arabskie
--
Arni
Arni
2024-05-13 08:00:58 UTC
Permalink
Post by Arni
Post by Marcin Safiejuk
Sprawdzałeś może narodowość tych IP ?
Możliwe, że to jakiś nowy wirus.
Albo nasi "bracia" zza Buga :)
totalna mieszanka: USA, Hiszpania, jakieś arabskie
przed chwilą Bruksela i Szwecja
--
Arni
Marcin Safiejuk
2024-05-13 10:28:00 UTC
Permalink
Post by Arni
Post by Arni
Post by Marcin Safiejuk
Sprawdzałeś może narodowość tych IP ?
Możliwe, że to jakiś nowy wirus.
Albo nasi "bracia" zza Buga :)
totalna mieszanka: USA, Hiszpania, jakieś arabskie
przed chwilą Bruksela i Szwecja
Pewnie jakiś wirus się rozpanoszył na komputerach w świecie i dlatego
wygląda na bot. Z opisu wnioskuję, że szuka jakichś zaprogramowanych w
nim dziur.
Ale szukanie openrelay? Spóźniona próba o co najmniej kilka lat. Tak jak
wysyłałk informacji o darowiźnie od bogatego krewnego.
Arni
2024-05-13 13:19:36 UTC
Permalink
Post by Marcin Safiejuk
Post by Arni
Post by Arni
Post by Marcin Safiejuk
Sprawdzałeś może narodowość tych IP ?
Możliwe, że to jakiś nowy wirus.
Albo nasi "bracia" zza Buga :)
totalna mieszanka: USA, Hiszpania, jakieś arabskie
przed chwilą Bruksela i Szwecja
Pewnie jakiś wirus się rozpanoszył na komputerach w świecie i dlatego
wygląda na bot. Z opisu wnioskuję, że szuka jakichś zaprogramowanych w
nim dziur.
ataki sa na rożne elementy sieci, rożnymi technikami. Iniekcja kodów,
szukanie podatności, próby nieautoryzowanego zalogowania itp
Post by Marcin Safiejuk
Ale szukanie openrelay? Spóźniona próba o co najmniej kilka lat. Tak jak
wysyłałk informacji o darowiźnie od bogatego krewnego.
jaka spóźniona? to trwa cały czas od poczatku mojej karkiery w tej
branzy. Skrypt po 3 nieudanych próbach autoryzacji smtp (a raczej jej
braku) blokuje takich delikwentów, Jedyne co sie zmieniło to właśnie
adresacja IP no i skala blokad ostatnio znacznie wzrosła.
--
Arni
Loading...