Maciej Kaźmierczak 0 Zgłoś post Napisano Maj 21, 2009 Witam, Dzisiaj rano wylapalem wieksza czesc botnetu doklejajacego iframe ... prawie same egzotyczne ipeki: 113.53.169.185 115.76.220.140 116.68.98.1 118.173.81.99 119.94.174.183 120.143.171.204 121.246.8.154 121.247.129.24 122.161.16.24 122.161.86.215 122.162.138.1 122.164.212.13 122.167.218.168 122.168.220.103 122.169.65.199 122.170.22.212 122.173.147.20 122.174.99.133 123.236.117.101 123.238.188.193 124.120.117.64 124.125.25.20 124.253.89.213 128.135.73.71 189.124.171.162 195.225.93.34 201.86.198.183 210.211.176.7 212.174.62.194 219.64.114.248 24.184.93.76 59.162.119.148 60.243.125.146 60.48.253.196 62.112.222.59 65.35.8.51 69.121.225.19 72.72.19.183 74.194.237.227 74.50.98.160 75.116.238.110 75.178.39.89 77.124.238.140 78.161.89.65 78.165.238.156 78.172.226.103 79.100.209.96 79.110.123.150 79.172.141.165 80.242.77.51 80.253.28.162 80.76.185.76 81.201.19.154 81.215.115.124 82.79.20.56 83.11.29.80 83.12.76.153 83.144.95.210 84.109.251.82 84.204.130.246 84.255.255.19 85.101.234.75 85.110.246.45 85.250.148.118 86.121.162.155 88.249.57.194 88.249.86.49 88.250.164.83 88.251.62.82 89.107.39.93 89.136.5.140 89.230.246.169 89.234.220.61 89.253.136.228 89.76.144.50 89.77.150.139 92.81.222.123 93.100.89.92 93.183.182.247 94.112.185.166 94.180.241.142 94.251.40.48 95.160.228.185 98.213.173.144 Jak ktos ma debiana to skrypcik ukulalem do automatycznej blokady... for i in $( cat /var/log/auth.log |grep proftpd |grep Incorrect | awk '{ print $7 }' | sort | uniq | awk -F[ '{print $1}' |awk -F\( '{print $2}' ); do iptables -I INPUT -s $i -j REJECT; echo $i; done Pozdrawiam, Maciej Kaźmierczak. Udostępnij ten post Link to postu Udostępnij na innych stronach
ertcap 0 Zgłoś post Napisano Maj 21, 2009 U siebie to mozesz zablokowac nawet 0.0.0.0/0 host 83.11.29.80 80.29.11.83.in-addr.arpa domain name pointer acsb80.neoplus.adsl.tpnet.pl. Ale za nim podasz komus rozwiazanie to przemysl trzy razy czy nie zrobisz komus krzywdy... Udostępnij ten post Link to postu Udostępnij na innych stronach
Maciej Kaźmierczak 0 Zgłoś post Napisano Maj 21, 2009 U siebie to mozesz zablokowac nawet 0.0.0.0/0 host 83.11.29.80 80.29.11.83.in-addr.arpa domain name pointer acsb80.neoplus.adsl.tpnet.pl. Ale za nim podasz komus rozwiazanie to przemysl trzy razy czy nie zrobisz komus krzywdy... To fakt... Ale akurat poprawilismy u nas to zapytanie, dobra lista IP botnetu: 113.53.169.185 115.76.220.140 116.68.98.1 118.173.81.99 119.94.174.183 120.143.171.204 121.246.8.154 121.247.129.24 122.161.16.24 122.161.86.215 122.162.138.1 122.164.212.13 122.167.218.168 122.168.220.103 122.169.65.199 122.170.22.212 122.173.147.20 122.174.99.133 123.236.117.101 123.238.188.193 124.120.117.64 124.125.25.20 124.253.89.213 128.135.73.71 189.124.171.162 195.225.93.34 201.86.198.183 210.211.176.7 212.174.62.194 219.64.114.248 24.184.93.76 59.162.119.148 60.243.125.146 60.48.253.196 62.112.222.59 65.35.8.51 69.121.225.19 72.72.19.183 74.194.237.227 74.50.98.160 75.116.238.110 75.178.39.89 77.124.238.140 78.161.89.65 78.165.238.156 78.172.226.103 79.100.209.96 79.110.123.150 79.172.141.165 80.242.77.51 80.253.28.162 80.76.185.76 81.201.19.154 81.215.115.124 82.79.20.56 83.11.29.80 83.12.76.153 83.144.95.210 84.109.251.82 84.204.130.246 84.255.255.19 85.101.234.75 85.110.246.45 85.250.148.118 86.121.162.155 88.249.57.194 88.249.86.49 88.250.164.83 88.251.62.82 89.107.39.93 89.136.5.140 89.230.246.169 89.234.220.61 89.253.136.228 89.76.144.50 89.77.150.139 92.81.222.123 93.100.89.92 93.183.182.247 94.112.185.166 94.180.241.142 94.251.40.48 95.160.228.185 98.213.173.144 poprawiony skrypt: for i in $( cat /var/log/auth.log |grep _USER_ |grep Incorrect | awk '{ print $7 }' | sort | uniq | awk -F[ '{print $1}' |awk -F\( '{print $2}' ); do iptables -I INPUT -s $i -j REJECT; echo $i; done Atak byl na jedno konto ftp wykradzione z klienta ftp Udostępnij ten post Link to postu Udostępnij na innych stronach
ertcap 0 Zgłoś post Napisano Maj 21, 2009 dobra lista IP botnetu: 153.76.12.83.in-addr.arpa domain name pointer gcy153.internetdsl.tpnet.pl. 210.95.144.83.in-addr.arpa domain name pointer chello083144095210.chello.pl. Dzisiaj botnet sklada sie z takich adresow, jutro moze sie skladac zupelnie z innych. Nie mowiac juz o tym, ze ta Twoja lista ipkow to moze byc malutki procencik calego botnetu i nastepnym razem przyjdzie z innych adresow. Zamiast blokowac lepiej edukowac klientow - nastepny wirus moze podmieniac strony bezposrednio z zarazonej maszyny. Udostępnij ten post Link to postu Udostępnij na innych stronach
Maciej Kaźmierczak 0 Zgłoś post Napisano Maj 21, 2009 153.76.12.83.in-addr.arpa domain name pointer gcy153.internetdsl.tpnet.pl. 210.95.144.83.in-addr.arpa domain name pointer chello083144095210.chello.pl. Dzisiaj botnet sklada sie z takich adresow, jutro moze sie skladac zupelnie z innych. Nie mowiac juz o tym, ze ta Twoja lista ipkow to moze byc malutki procencik calego botnetu i nastepnym razem przyjdzie z innych adresow. Zamiast blokowac lepiej edukowac klientow - nastepny wirus moze podmieniac strony bezposrednio z zarazonej maszyny. Edukacja edukacja... ale jak ktos "wie lepiej" to antywirusa dalej nie zainstaluje..... Przeciez wszedzie dymia o (nie)bezpieczenstwie... a kowalski jak nie mial antywirusa etc tak dalej nie ma i sciaga "darmowe porno" W sumie to dzieki.. za podreperowanie wpisu... Pzw. Udostępnij ten post Link to postu Udostępnij na innych stronach
ertcap 0 Zgłoś post Napisano Maj 21, 2009 Edukacja edukacja... ale jak ktos "wie lepiej" to antywirusa dalej nie zainstaluje..... No ale to Twoj problem? Zalozylem (moze blednie), ze jestes po stronie firmy hostingowej. Klientowi sie wlamuja na strone - informujesz dokladnie skad to sie bierze i juz. To problem klienta a nie Twoj. Jezeli jakis procent klientow przemysli swoje postepowanie, ograniczy odpalanie flaszek .exe z niewiadomych zrodel ("takie ladne chodzace po pulpicie zwierzatka" ), zabezpieczy swoj komputer, to tylko przyczynisz sie do poprawy bezpieczenstwa sieci. Jak widzisz - same plusy Udostępnij ten post Link to postu Udostępnij na innych stronach
