Skocz do zawartości
Zaloguj się, aby obserwować  
Maciej Kaźmierczak

BotNet ftp

Polecane posty

Witam,

Dzisiaj rano wylapalem wieksza czesc botnetu doklejajacego iframe ... prawie same egzotyczne ipeki:

113.53.169.185

115.76.220.140

116.68.98.1

118.173.81.99

119.94.174.183

120.143.171.204

121.246.8.154

121.247.129.24

122.161.16.24

122.161.86.215

122.162.138.1

122.164.212.13

122.167.218.168

122.168.220.103

122.169.65.199

122.170.22.212

122.173.147.20

122.174.99.133

123.236.117.101

123.238.188.193

124.120.117.64

124.125.25.20

124.253.89.213

128.135.73.71

189.124.171.162

195.225.93.34

201.86.198.183

210.211.176.7

212.174.62.194

219.64.114.248

24.184.93.76

59.162.119.148

60.243.125.146

60.48.253.196

62.112.222.59

65.35.8.51

69.121.225.19

72.72.19.183

74.194.237.227

74.50.98.160

75.116.238.110

75.178.39.89

77.124.238.140

78.161.89.65

78.165.238.156

78.172.226.103

79.100.209.96

79.110.123.150

79.172.141.165

80.242.77.51

80.253.28.162

80.76.185.76

81.201.19.154

81.215.115.124

82.79.20.56

83.11.29.80

83.12.76.153

83.144.95.210

84.109.251.82

84.204.130.246

84.255.255.19

85.101.234.75

85.110.246.45

85.250.148.118

86.121.162.155

88.249.57.194

88.249.86.49

88.250.164.83

88.251.62.82

89.107.39.93

89.136.5.140

89.230.246.169

89.234.220.61

89.253.136.228

89.76.144.50

89.77.150.139

92.81.222.123

93.100.89.92

93.183.182.247

94.112.185.166

94.180.241.142

94.251.40.48

95.160.228.185

98.213.173.144

 

Jak ktos ma debiana to skrypcik ukulalem do automatycznej blokady...

for i in $( cat /var/log/auth.log |grep proftpd |grep Incorrect | awk '{ print $7 }' | sort | uniq | awk -F[ '{print $1}' |awk -F\( '{print $2}' ); do iptables -I INPUT -s $i -j REJECT; echo $i; done

 

 

Pozdrawiam,

Maciej Kaźmierczak.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

U siebie to mozesz zablokowac nawet 0.0.0.0/0

host 83.11.29.80
80.29.11.83.in-addr.arpa domain name pointer acsb80.neoplus.adsl.tpnet.pl.

Ale za nim podasz komus rozwiazanie to przemysl trzy razy czy nie zrobisz komus krzywdy...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
U siebie to mozesz zablokowac nawet 0.0.0.0/0

host 83.11.29.80
80.29.11.83.in-addr.arpa domain name pointer acsb80.neoplus.adsl.tpnet.pl.

Ale za nim podasz komus rozwiazanie to przemysl trzy razy czy nie zrobisz komus krzywdy...

To fakt...

Ale akurat poprawilismy u nas to zapytanie,

dobra lista IP botnetu:

 

113.53.169.185

115.76.220.140

116.68.98.1

118.173.81.99

119.94.174.183

120.143.171.204

121.246.8.154

121.247.129.24

122.161.16.24

122.161.86.215

122.162.138.1

122.164.212.13

122.167.218.168

122.168.220.103

122.169.65.199

122.170.22.212

122.173.147.20

122.174.99.133

123.236.117.101

123.238.188.193

124.120.117.64

124.125.25.20

124.253.89.213

128.135.73.71

189.124.171.162

195.225.93.34

201.86.198.183

210.211.176.7

212.174.62.194

219.64.114.248

24.184.93.76

59.162.119.148

60.243.125.146

60.48.253.196

62.112.222.59

65.35.8.51

69.121.225.19

72.72.19.183

74.194.237.227

74.50.98.160

75.116.238.110

75.178.39.89

77.124.238.140

78.161.89.65

78.165.238.156

78.172.226.103

79.100.209.96

79.110.123.150

79.172.141.165

80.242.77.51

80.253.28.162

80.76.185.76

81.201.19.154

81.215.115.124

82.79.20.56

83.11.29.80

83.12.76.153

83.144.95.210

84.109.251.82

84.204.130.246

84.255.255.19

85.101.234.75

85.110.246.45

85.250.148.118

86.121.162.155

88.249.57.194

88.249.86.49

88.250.164.83

88.251.62.82

89.107.39.93

89.136.5.140

89.230.246.169

89.234.220.61

89.253.136.228

89.76.144.50

89.77.150.139

92.81.222.123

93.100.89.92

93.183.182.247

94.112.185.166

94.180.241.142

94.251.40.48

95.160.228.185

98.213.173.144

 

poprawiony skrypt:

for i in $( cat /var/log/auth.log |grep _USER_ |grep Incorrect | awk '{ print $7 }' | sort | uniq | awk -F[ '{print $1}' |awk -F\( '{print $2}' ); do iptables -I INPUT -s $i -j REJECT; echo $i; done

 

Atak byl na jedno konto ftp wykradzione z klienta ftp

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
dobra lista IP botnetu:

153.76.12.83.in-addr.arpa domain name pointer gcy153.internetdsl.tpnet.pl.
210.95.144.83.in-addr.arpa domain name pointer chello083144095210.chello.pl.

:)

Dzisiaj botnet sklada sie z takich adresow, jutro moze sie skladac zupelnie z innych. Nie mowiac juz o tym, ze ta Twoja lista ipkow to moze byc malutki procencik calego botnetu i nastepnym razem przyjdzie z innych adresow.

 

Zamiast blokowac lepiej edukowac klientow - nastepny wirus moze podmieniac strony bezposrednio z zarazonej maszyny.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
153.76.12.83.in-addr.arpa domain name pointer gcy153.internetdsl.tpnet.pl.
210.95.144.83.in-addr.arpa domain name pointer chello083144095210.chello.pl.

:)

Dzisiaj botnet sklada sie z takich adresow, jutro moze sie skladac zupelnie z innych. Nie mowiac juz o tym, ze ta Twoja lista ipkow to moze byc malutki procencik calego botnetu i nastepnym razem przyjdzie z innych adresow.

 

Zamiast blokowac lepiej edukowac klientow - nastepny wirus moze podmieniac strony bezposrednio z zarazonej maszyny.

 

Edukacja edukacja... ale jak ktos "wie lepiej" to antywirusa dalej nie zainstaluje.....

Przeciez wszedzie dymia o (nie)bezpieczenstwie... a kowalski jak nie mial antywirusa etc tak dalej nie ma i sciaga "darmowe porno" :)

 

W sumie to dzieki.. za podreperowanie wpisu...

Pzw.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Edukacja edukacja... ale jak ktos "wie lepiej" to antywirusa dalej nie zainstaluje.....

No ale to Twoj problem? Zalozylem (moze blednie), ze jestes po stronie firmy hostingowej. Klientowi sie wlamuja na strone - informujesz dokladnie skad to sie bierze i juz. To problem klienta a nie Twoj. Jezeli jakis procent klientow przemysli swoje postepowanie, ograniczy odpalanie flaszek .exe z niewiadomych zrodel ("takie ladne chodzace po pulpicie zwierzatka" :) ), zabezpieczy swoj komputer, to tylko przyczynisz sie do poprawy bezpieczenstwa sieci.

Jak widzisz - same plusy :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×