Interruzione dei tentativi da secureserver.net

Naviga le tue risposte

Nelle ultime settimane ho visto dozzine se non centinaia di tentativi di effrazione dagli indirizzi IP che si riferiscono a secureserver.net. So che si tratta di macchine GoDaddy di chi sta cercando. Qualcosa sembra andare avanti con la loro rete di macchine. Ogni giorno vedo una macchina che tenta di accedere tramite ssh come root, admin, ecc. Blocco quelle subnet IP e ogni giorno viene visualizzato un nuovo batch nel log.

Non riesco a trovare un contatto illecito per segnalarlo. Quando li ho chiamati, ho ricevuto un sacco di cazzate dal ragazzo all'altro capo del telefono che continuava a chiedere il mio numero di conto. Non sono riuscito a convincermi che non ero un cliente, ma ero preoccupato che la loro rete fosse stata compromessa.

Qualcun altro ha notato un numero insolito di tentativi di interruzione dai server GoDaddy? Qualcuno sa a chi dovrei segnalare questo?

    
posta Matt Mashyna 18.05.2015 - 21:29
fonte

2 risposte

Molto strano che gli attacchi provenissero da secureserver.net Essendo un precedente cliente di GoDaddy in passato ho visto solo quel nome di dominio usato per i servizi di posta. Riferimento: collegamento Vorrei preformare un whois sull'ip offendente e segnalare il problema al supporto tecnico / consulente abuso. Questa informazione si trova nel rapporto whois. In caso di mancata risposta, inoltrare il reclamo a un fornitore di servizi di black list e ricevere una risposta.

Prima di utilizzare uno dei metodi sopra, utilizzerei questo modulo per presentare un reclamo.

link

    
risposta data 19.05.2015 - 07:03
fonte

Raccomando Fail2ban per mitigare gli attacchi di accesso. È una soluzione automatizzata gratuita / open source che non richiede configurazione per la protezione contro i tentativi di accesso SSH.

Se un IP tenta e non riesce ad accedere troppo spesso (iirc, questo valore predefinito è 10 tentativi in 10 minuti), Fail2ban dirà al firewall del sistema di abbandonare il traffico IP per un po 'di tempo (iirc, per default a 10 minuti). Fail2ban cerca anche particolari sonde di exploit e può bloccare anche quelle.

Una volta che hai una soluzione, puoi lavorare per aiutare gli altri lavorando per fermare il problema alla fonte. Raggiungi la squadra degli abusi di GoDaddy e spiega loro il problema. Speriamo che possano usare i tuoi registri per rintracciare la fonte del loro problema.

Vedi anche l'incidente SSHPsychos , in cui Cisco Talos è stato in grado di correlare un terzo di tutto il SSH mondiale login effettua il sweep su una singola rete, che Level 3 Communications decolla effettivamente da Internet. (Gli attacchi sono ripresi da un'altra rete, ma ogni takedown è significativamente più costoso per gli attaccanti rispetto ai difensori.)

    
risposta data 31.05.2015 - 01:17
fonte

Leggi altre domande sui tag

Intercettazione del traffico SSL sull'app per Android Quanto è facile per gli hacker ottenere accesso non autorizzato alle risorse su un telefono Android?