Come posso trovare la fonte di traffico presumibilmente proveniente dal mio indirizzo IP?

4

Ho un problema che dura da almeno 6 settimane.

Ho Time Warner per il mio provider Internet e alcuni siti Web ospitati su GoDaddy.

Da quello che GoDaddy mi dice che la ragione per cui non riesco a visualizzare i miei siti Web da casa e che non riesco a connettermi al loro server FTP è a causa di un attacco di forza bruta sul loro server FTP originato dal mio indirizzo IP. Avevo il mio ISP cambiare il mio indirizzo IP e entro 15 minuti GoDaddy mi aveva bloccato di nuovo perché il loro server FTP stava ancora ricevendo il traffico di attacchi di forza bruta dal mio nuovo indirizzo IP.

Ho pensato che fosse un problema con GoDaddy, quindi ho impostato un nuovo account di hosting con 1and1.com ma dopo 4 ore stavano bloccando anche il mio indirizzo IP perché dicono di aver visto troppi tentativi di accesso falliti, proprio come GoDaddy aveva.

Quindi, ho fatto un arresto completo di tutte le mie apparecchiature (2 volte) per 8 ore durante la notte, e anche scollegato il cavo dal modem via cavo e continuano a dichiarare che stanno vedendo il traffico di attacco proveniente dal mio indirizzo IP. Né Time Warner (il mio ISP) né GoDaddy sembrano essere in grado di aiutarmi a risolvere questo problema. Ho eseguito AVG, Malwarebytes e Rootkit, ma non è stato trovato nulla. GoDaddy mi ha mandato una traccia di WireShark e non hanno visto nulla, ma non possono guardare i pacchetti che colpiscono il loro server FTP a causa del volume. Sono al massimo livello di supporto a GoDaddy, Time Warner e 1and1.com, ma sono confuso e continuano a incolpare la mia macchina anche quando l'ho chiusa.

Apprezzerei qualsiasi aiuto, dato che sto per rinunciare a costruire siti web a causa di questo.

    
posta gary 26.04.2013 - 22:19
fonte

5 risposte

6

In primo luogo, l'FTP è molto insicuro e non deve mai essere utilizzato per l'accesso ai file autenticato. È nel tuo interesse non usare mai ftp e usa sempre SFTP o FTPS. Se un fornitore di servizi offre solo FTP, utilizza un fornitore di servizi che si preoccupa veramente dei loro clienti.

Il malware attaccherà FTP sniffando la rete alla ricerca di richieste di autenticazione e sfruttando questa diffusione infettando i file .html o web application. È probabile che la tua macchina o un'altra macchina sulla tua rete siano infetti e attui attacchi usando la tua connessione.

    
risposta data 26.04.2013 - 22:43
fonte
2

Quando hai tirato fisicamente tutti i dispositivi, la tua linea telefonica o router wifi (a prescindere dal tuo utilizzo) è offline? Se lo hai fatto e il tuo vecchio (e successivo) IP era attivo mentre non eri online in alcun modo, la tua descrizione "potrebbe" corrispondere a un attacco MITM (Man In The Middle) originato da (es. ) un vicino che è fisicamente "toccando il filo" .

    
risposta data 25.07.2013 - 05:29
fonte
0

Il miglior consiglio che potrei dare è di lasciare tutto online e connesso a Internet e far funzionare Wireshark su tutti i tuoi dispositivi per molte ore. Quindi esegui una ricerca di pacchetti con gli indirizzi IP dei server FTP come indirizzo di origine o di destinazione.

Quanti dispositivi ci sono nella tua rete? Sembra che tu abbia correttamente cancellato il tuo computer, ma per quanto riguarda le altre cose? Computer portatili, tablet, telefoni?

    
risposta data 27.04.2013 - 00:23
fonte
0

Se si tratta di qualcosa sul tuo computer locale, potresti trovarlo aprendo un prompt dei comandi ed eseguendo:

netstat -ABN

Cerca un processo che sta comunicando con il tuo provider sulla porta 21.

    
risposta data 26.07.2013 - 20:40
fonte
0

Una presa di rete a basso costo e un laptop di riserva con wireshark dovrebbero consentire di individuare esattamente da dove viene il traffico.

Sposta il rubinetto intorno alla tua rete usando wireshark e un filtro per la porta 21 e dovresti essere in grado di isolare l'esatto IP interno, quindi il dispositivo proviene dal traffico.

    
risposta data 27.07.2013 - 17:28
fonte

Leggi altre domande sui tag