Autor Tema: Recibo ataques desde múltiples IPs. Discusión de ideas. (Leído 15265 veces)

Tki2000 · « **en:** 13-04-2017, 17:06 (Jueves) »

Hoy soy yo el que tiene un problema, y me he dicho de usar el foro, para ver si entre todos sacamos alguna idea.
No está totalmente relacionado con openwrt, pero sí me gustaría solucionarlo, con dicha herramienta, y por eso lo planteo aquí.

Planteo la situación que vengo observando desde hace unos días, para ver si alguien puede darme alguna idea del por qué, y si a alguien se le ocurre, qué puedo hacer para que "no me vuelvan a encontrar".

Desde hace varios días vengo sufriendo un ataque, a los puertos que tienen servicios abiertos al exterior. No sé exactamente cómo lo hacen, pero son capaces de encontrarme en cuestión de minutos, y vuelven a lanzar el ataque. Veo que el log me muestra múltiples intentos de acceso en openwrt, a la consola por SSH, y en estos días, una o dos veces al servicio de FTP. No sé si al resto de dispositivos que tienen puertos abiertos habrá algo. He mirado logs y parece que no, pero no sé si en otros sistemas, dejaría rastro. He mirado en los logs iLO de un servidor Proliant, y no aparecen intentos, pero no estoy seguro al 100% de si los hay o no, si no salen en el log (pudiera tener algún exploit que no sepa).

Ninguno de los puertos abiertos, está en su sitio, es decir, están redirigidos.
No tengo habilitado el ping exterior.
Tengo un wemo, y dos cámaras IP chinas, al que les he denegado el tráfico directo al exterior, por si estuvieran mandando alguna señal para localizarme. El acceso se hace a través de otro dispositivo que concentra el tráfico, es decir, no necesitan comunicación directa con internet.
He cambiado los puertos externos de sitio, por si acaso estuvieran usando la localización de mis puertos como huella digital para encontrarme. Aún así, me encuentran.

Mi pregunta es, si cambio de IP, y he hecho lo anterior, ¿cómo narices me encuentran en cuestión de minutos?

Pasa incluso si sólo dejo el router ADSL (que no tiene acceso desde internet), y el router con openwrt. Al poco, empieza a haber logs de ataques.

Lo único que comunica datos de IP al exterior, es el script de change-ip.com, para poder acceder al router desde fuera. ¿Podrían estar interceptando estos datos? Es lo siguiente que pienso probar, pero lo digo por si alguien tiene idea, ahora.

Las IPs provienen de todas partes del mundo, y parece que son dispositivos cautivos a los que hayan podido tener acceso. Me he encontrado alguno con openwrt, un asus RT-AC87U, Macs, etc, etc.

Evidentemente baneo todas aquellas IPs que hacen más de 2 intentos de entrar, pero la lista de baneos es ya de cientos, y no me apetece malgastar uso de CPU en las comprobaciones de prohibición de tráfico entrante.

Preferiría desaparecer de su objetivo.

¿A alguien le ha pasado lo mismo?
¿Alguien tiene idea de qué tipo de ataque es?
¿Alguna idea que podamos desarrollar entre todos?

Ficht · « **Respuesta #1 en:** 13-04-2017, 17:24 (Jueves) »

Si, te confirmo que veo lo mismo, va a épocas del año, hay meses en que la actividad disminuye, y en cambio en estos últimos dos o tres meses, es constantemente, exactamente como lo describes, un par de intentos a FTP, pero el resto a ssh.
Pienso que obviamente son robots aunque en algunos de ellos si se ve que hay alguien mirando y cuando haces algo activo, desaparecen al instante.

Me he encontrado con algún ataque de estos realmente interesante, que sin lograr entrar al openwrt, si que me he liado a desconectar cables, viendo como el tráfico del ataque se redirigía hacia el router principal "dando la impresión" de resolver su ruta interna...

Realmente de ataques yo no sé mucho, pues nunca me ha dado por jugar y lo que leo, se me olvida por no ejercitar...
Pero bueno, interesante el tema, muy útil.

Enviado desde mi Y635-L01 mediante Tapatalk

Tki2000 · « **Respuesta #2 en:** 13-04-2017, 17:48 (Jueves) »

Sí, si lo de que son robots, lo tengo muy claro, pero lo que no sé es cómo con IP nueva, me localizan en pocos minutos.
Tampoco sé si los passwords ya comprobados se sincronizan entre ellos. Aunque a la velocidad que van, van a tardar siglos, pero me cabrea. El caso es que de igual manera que veo los intentos de acceso por SSH, hay servicios en los que no queda rastro del intento, y si tienen algún exploit, pueden empezar a arañar por ahí.

O soy yo mismo el que les está mandando la señal para localizarme, o están haciendo un escaneo dentro del rango de IPs que mi ISP (Pazztel) me está dando.
Curiosamente ahora me ha dado IP en otro rango distinto. Voy a esperar a ver qué pasa.

Edito: Rango nuevo, con scripts de DDNS desactivados para no mandar datos. Me han vuelto a encontrar... ¿Cómo lo hacen?

drvalium · « **Respuesta #3 en:** 13-04-2017, 18:47 (Jueves) »

¿no puede ser que estes infectado y seas tu quien los llame?

Tki2000 · « **Respuesta #4 en:** 13-04-2017, 18:59 (Jueves) »

Cita de: drvalium en 13-04-2017, 18:47 (Jueves)

¿no puede ser que estes infectado y seas tu quien los llame?

Eso es lo que intento dilucidar.
Pero ¿qué está infectado? Con el módem ADSL y el router openwrt sólo, ya hay ataques. Ningún aparato más en la red. El módem no es accesible exteriormente. El router openwrt me lo conozco, y no hay procesos extraños ejecutándose.
Nueva IP, y nuevo puerto para SSH externo, y a los pocos minutos ya han encontrado la IP y el puerto de SSH. No hay forma de hacerlo a no ser que estén contínuamente haciendo un escaneo de puertos, o yo les esté diciendo el puerto. Que yo sepa las conexiones externas pueden decirte de qué IP provienen, pero el puerto redirigido de SSH no, a no ser que estén escaneando.
Lo que me gustaría saber es qué tipo de ataque es, ya que para usar todas las IPs que están usando, el que lo hace no debe de ser el panadero del pueblo..., y si supiera qué tipo de ataque y cómo se comporta, podría aprender a defenderme mejor... de ahí el hilo...
Tampoco hay dispositivos Android ni nada por el estilo. Exclusivamente módem y router. Dejo un rato, enciendo un ordenador y miro los logs: hay actividad, luego me han encontrado.

Ficht · « **Respuesta #5 en:** 13-04-2017, 19:09 (Jueves) »

Yo creo que nos encuentran al instante...
Rastreo agresivo o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk

Tki2000 · « **Respuesta #6 en:** 13-04-2017, 19:41 (Jueves) »

Cita de: Ficht en 13-04-2017, 19:09 (Jueves)

Yo creo que nos encuentran al instante...
Rastreo agresivo o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk

Por eso te decía antes que no puedo permitir el gasto de CPU para parar este tipo de ataques. Terminaría petando todo.
En mi caso el script de baneo almacena los datos en RAM, por si acaso, de modo que un rearranque del router borraría todas las IPs baneadas, pero me garantiza el acceso al router. Tampoco me mola eso de estar machacando la flash con miles de escrituras.

En mi caso, el acceso al router es crítico. Yo no estoy en la misma instalación que el router, y dicho router tiene procedimientos críticos. Sólo suelo visitar esa instalación cuando estoy de vacaciones, ya que estoy a más de 300Km. Y las personas que hay ahí, no saben ni lo que es un router, así que de encender y apagar ni hablamos. Los enchufes no están accesibles.

Ahora mismo estoy pensando en poner otro router con openwrt, paralelo al principal, para que en caso de no poder acceder al primero, poder acceder al segundo, pero sin interruptor físico para resetear, a distancia las cosas se me pondrían chungas.
Si como me imagino, tienen miles de IPs infectadas, conque tan sólo hagan un escaneo de puertos mínimo, cada uno de ellos, a la misma IP, ya tienen resultados en poco tiempo. No es lo mismo que hacer un escaneo desde la misma IP, ya que eso hay formas de pararlo, pero desde distintas IPs, la cosa cambia. Esto me lleva a pensar, que este tipo de ataque es demasiado grande, como para luego intentar sólo un acceso por diccionario al SSH. Eso no es lo que me preocupa. Me preocupa que sólo esté viendo la punta del iceberg (Modo paranoia : ON).

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Edito: No creo que sea ningún paquete del repo. En mi caso, la versión de openwrt lleva instalada más de 2 años, y la hice yo, con todo el repo (r39584). Va como un reloj suizo...

Ficht · « **Respuesta #7 en:** 13-04-2017, 20:05 (Jueves) »

Cita de: Tki2000 en 13-04-2017, 19:41 (Jueves)

Cita de: Ficht en 13-04-2017, 19:09 (Jueves)
Yo creo que nos encuentran al instante...
Rastreo agresivo o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk

Por eso te decía antes que no puedo permitir el gasto de CPU para parar este tipo de ataques. Terminaría petando todo.
En mi caso el script de baneo almacena los datos en RAM, por si acaso, de modo que un rearranque del router borraría todas las IPs baneadas, pero me garantiza el acceso al router. Tampoco me mola eso de estar machacando la flash con miles de escrituras.

En mi caso, el acceso al router es crítico. Yo no estoy en la misma instalación que el router, y dicho router tiene procedimientos críticos. Sólo suelo visitar esa instalación cuando estoy de vacaciones, ya que estoy a más de 300Km. Y las personas que hay ahí, no saben ni lo que es un router, así que de encender y apagar ni hablamos. Los enchufes no están accesibles.

Ahora mismo estoy pensando en poner otro router con openwrt, paralelo al principal, para que en caso de no poder acceder al primero, poder acceder al segundo, pero sin interruptor físico para resetear, a distancia las cosas se me pondrían chungas.
Si como me imagino, tienen miles de IPs infectadas, conque tan sólo hagan un escaneo de puertos mínimo, cada uno de ellos, a la misma IP, ya tienen resultados en poco tiempo. No es lo mismo que hacer un escaneo desde la misma IP, ya que eso hay formas de pararlo, pero desde distintas IPs, la cosa cambia. Esto me lleva a pensar, que este tipo de ataque es demasiado grande, como para luego intentar sólo un acceso por diccionario al SSH. Eso no es lo que me preocupa. Me preocupa que sólo esté viendo la punta del iceberg (Modo paranoia : ON).

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Pue sí, da la impresión de que es eso, solo vemos la punta del iceberg.

Citar

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Esto es así.
Para mi, que está entre los chinos y los rusos (dígase tb a las antiguas rep... de la urss) desde luego, no es el panadero, el ataque es sofisticado y constante.

El ataque entra por ejemplo desde rep checa, luego salta a china, luego a colombia, luego a USA y así...

Al parecer hay un patrón, es decir, una ip está activa durante 5 min luego cambia a otra durante 5 min más y así sucesivamente...
pero mientras van cambiando las ip's el primer bloque de Ip's de los primeros 5 min sigue repitiendo el ataque de manera mas aislada, cada 10 min o 20 min, luego las del segundo ciclo y así.

EDITO:

Citar

Edito: No creo que sea ningún paquete del repo. En mi caso, la versión de openwrt lleva instalada más de 2 años, y la hice yo, con todo el repo (r39584).

Yo tampoco lo creo, ya que veríamos la actividad de la red desde dentro haciendo las llamadas, y no es así
vemos la actividad rechazando las conexiones... nada mas.

Tki2000 · « **Respuesta #8 en:** 13-04-2017, 20:17 (Jueves) »

Cita de: Ficht en 13-04-2017, 20:05 (Jueves)

Cita de: Tki2000 en 13-04-2017, 19:41 (Jueves)
Cita de: Ficht en 13-04-2017, 19:09 (Jueves)
Yo creo que nos encuentran al instante...
Rastreo agresivo o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk

Por eso te decía antes que no puedo permitir el gasto de CPU para parar este tipo de ataques. Terminaría petando todo.
En mi caso el script de baneo almacena los datos en RAM, por si acaso, de modo que un rearranque del router borraría todas las IPs baneadas, pero me garantiza el acceso al router. Tampoco me mola eso de estar machacando la flash con miles de escrituras.

En mi caso, el acceso al router es crítico. Yo no estoy en la misma instalación que el router, y dicho router tiene procedimientos críticos. Sólo suelo visitar esa instalación cuando estoy de vacaciones, ya que estoy a más de 300Km. Y las personas que hay ahí, no saben ni lo que es un router, así que de encender y apagar ni hablamos. Los enchufes no están accesibles.

Ahora mismo estoy pensando en poner otro router con openwrt, paralelo al principal, para que en caso de no poder acceder al primero, poder acceder al segundo, pero sin interruptor físico para resetear, a distancia las cosas se me pondrían chungas.
Si como me imagino, tienen miles de IPs infectadas, conque tan sólo hagan un escaneo de puertos mínimo, cada uno de ellos, a la misma IP, ya tienen resultados en poco tiempo. No es lo mismo que hacer un escaneo desde la misma IP, ya que eso hay formas de pararlo, pero desde distintas IPs, la cosa cambia. Esto me lleva a pensar, que este tipo de ataque es demasiado grande, como para luego intentar sólo un acceso por diccionario al SSH. Eso no es lo que me preocupa. Me preocupa que sólo esté viendo la punta del iceberg (Modo paranoia : ON).

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Pue sí, da la impresión de que es eso, solo vemos la punta del iceberg.

Citar
Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Esto es así.
Para mi, que está entre los chinos y los rusos (dígase tb a las antiguas rep... de la urss) desde luego, no es el panadero, el ataque es sofisticado y constante.

El ataque entra por ejemplo desde rep checa, luego salta a china, luego a colombia, luego a USA y así...

Al parecer hay un patrón, es decir, una ip está activa durante 5 min luego cambia a otra durante 5 min más y así sucesivamente...
pero mientras van cambiando las ip's el primer bloque de Ip's de los primeros 5 min sigue repitiendo el ataque de manera mas aislada, cada 10 min o 20 min, luego las del segundo ciclo y así.

EDITO:

Citar
Edito: No creo que sea ningún paquete del repo. En mi caso, la versión de openwrt lleva instalada más de 2 años, y la hice yo, con todo el repo (r39584).
Yo tampoco lo creo, ya que veríamos la actividad de la red desde dentro haciendo las llamadas, y no es así
vemos la actividad rechazando las conexiones... nada mas.

En mi caso hay muchas de Vietnam, Malasia, China... algunas de Brasil y Portugal...
Hay veces que veo que una IP se conecta y dropbear dice que hay conexión, pero se queda congelada, no pone ni usuarios ni contraseñas. Creo que ése es el momento en el que están haciendo el escaneo de puertos, y por eso no transmite datos. Sólo hace intentos de conexión. Dropbear lo echa cuando hace el timeout. Luego desde otra IP, conectan y es cuando empiezan a probar usuarios...

Sin ping desde el exterior, puede que incluso estén haciendo intentos en todas las IPs de un rango, que puede ser por países (lo cual ya huele a atún). Por eso lo estamos viendo varios aquí ahora mismo (dices que tú también lo ves, ¿verdad?).

¿Alguien más al que le esté pasando esto?

Ficht · « **Respuesta #9 en:** 13-04-2017, 20:26 (Jueves) »

Cita de: Tki2000 en 13-04-2017, 20:17 (Jueves)

Cita de: Ficht en 13-04-2017, 20:05 (Jueves)
Cita de: Tki2000 en 13-04-2017, 19:41 (Jueves)
Cita de: Ficht en 13-04-2017, 19:09 (Jueves)
Yo creo que nos encuentran al instante...
Rastreo agresivo o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk

Por eso te decía antes que no puedo permitir el gasto de CPU para parar este tipo de ataques. Terminaría petando todo.
En mi caso el script de baneo almacena los datos en RAM, por si acaso, de modo que un rearranque del router borraría todas las IPs baneadas, pero me garantiza el acceso al router. Tampoco me mola eso de estar machacando la flash con miles de escrituras.

En mi caso, el acceso al router es crítico. Yo no estoy en la misma instalación que el router, y dicho router tiene procedimientos críticos. Sólo suelo visitar esa instalación cuando estoy de vacaciones, ya que estoy a más de 300Km. Y las personas que hay ahí, no saben ni lo que es un router, así que de encender y apagar ni hablamos. Los enchufes no están accesibles.

Ahora mismo estoy pensando en poner otro router con openwrt, paralelo al principal, para que en caso de no poder acceder al primero, poder acceder al segundo, pero sin interruptor físico para resetear, a distancia las cosas se me pondrían chungas.
Si como me imagino, tienen miles de IPs infectadas, conque tan sólo hagan un escaneo de puertos mínimo, cada uno de ellos, a la misma IP, ya tienen resultados en poco tiempo. No es lo mismo que hacer un escaneo desde la misma IP, ya que eso hay formas de pararlo, pero desde distintas IPs, la cosa cambia. Esto me lleva a pensar, que este tipo de ataque es demasiado grande, como para luego intentar sólo un acceso por diccionario al SSH. Eso no es lo que me preocupa. Me preocupa que sólo esté viendo la punta del iceberg (Modo paranoia : ON).

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Pue sí, da la impresión de que es eso, solo vemos la punta del iceberg.

Citar
Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Esto es así.
Para mi, que está entre los chinos y los rusos (dígase tb a las antiguas rep... de la urss) desde luego, no es el panadero, el ataque es sofisticado y constante.

El ataque entra por ejemplo desde rep checa, luego salta a china, luego a colombia, luego a USA y así...

Al parecer hay un patrón, es decir, una ip está activa durante 5 min luego cambia a otra durante 5 min más y así sucesivamente...
pero mientras van cambiando las ip's el primer bloque de Ip's de los primeros 5 min sigue repitiendo el ataque de manera mas aislada, cada 10 min o 20 min, luego las del segundo ciclo y así.

EDITO:

Citar
Edito: No creo que sea ningún paquete del repo. En mi caso, la versión de openwrt lleva instalada más de 2 años, y la hice yo, con todo el repo (r39584).
Yo tampoco lo creo, ya que veríamos la actividad de la red desde dentro haciendo las llamadas, y no es así
vemos la actividad rechazando las conexiones... nada mas.

En mi caso hay muchas de Vietnam, Malasia, China... algunas de Brasil y Portugal...
Hay veces que veo que una IP se conecta y dropbear dice que hay conexión, pero se queda congelada, no pone ni usuarios ni contraseñas. Creo que ése es el momento en el que están haciendo el escaneo de puertos, y por eso no transmite datos. Sólo hace intentos de conexión. Dropbear lo echa cuando hace el timeout. Luego desde otra IP, conectan y es cuando empiezan a probar usuarios...

Sin ping desde el exterior, puede que incluso estén haciendo intentos en todas las IPs de un rango, que puede ser por países (lo cual ya huele a atún). Por eso lo estamos viendo varios aquí ahora mismo (dices que tú también lo ves, ¿verdad?).

¿Alguien más al que le esté pasando esto?

Así es, desde que estamos hablando la última hr es desde china y vietnam y rep checa...

La gente que no tiene un router openwrt, dudo que lleguen a ver el ataque si no tienen un sistema que permita monitorizar las conexiones...

Desde mis router principales, no se puede ver nada de esto, y sin embargo estos "routers principales" responden al ataque también.... y a saber como, ya que están hechos en china y programados alí.... esto si que me da la paranoia....

Tki2000 · « **Respuesta #10 en:** 13-04-2017, 20:55 (Jueves) »

Cita de: Ficht en 13-04-2017, 20:26 (Jueves)

Cita de: Tki2000 en 13-04-2017, 20:17 (Jueves)
Cita de: Ficht en 13-04-2017, 20:05 (Jueves)
Cita de: Tki2000 en 13-04-2017, 19:41 (Jueves)
Cita de: Ficht en 13-04-2017, 19:09 (Jueves)
Yo creo que nos encuentran al instante...
Rastreo agresivo o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk

Por eso te decía antes que no puedo permitir el gasto de CPU para parar este tipo de ataques. Terminaría petando todo.
En mi caso el script de baneo almacena los datos en RAM, por si acaso, de modo que un rearranque del router borraría todas las IPs baneadas, pero me garantiza el acceso al router. Tampoco me mola eso de estar machacando la flash con miles de escrituras.

En mi caso, el acceso al router es crítico. Yo no estoy en la misma instalación que el router, y dicho router tiene procedimientos críticos. Sólo suelo visitar esa instalación cuando estoy de vacaciones, ya que estoy a más de 300Km. Y las personas que hay ahí, no saben ni lo que es un router, así que de encender y apagar ni hablamos. Los enchufes no están accesibles.

Ahora mismo estoy pensando en poner otro router con openwrt, paralelo al principal, para que en caso de no poder acceder al primero, poder acceder al segundo, pero sin interruptor físico para resetear, a distancia las cosas se me pondrían chungas.
Si como me imagino, tienen miles de IPs infectadas, conque tan sólo hagan un escaneo de puertos mínimo, cada uno de ellos, a la misma IP, ya tienen resultados en poco tiempo. No es lo mismo que hacer un escaneo desde la misma IP, ya que eso hay formas de pararlo, pero desde distintas IPs, la cosa cambia. Esto me lleva a pensar, que este tipo de ataque es demasiado grande, como para luego intentar sólo un acceso por diccionario al SSH. Eso no es lo que me preocupa. Me preocupa que sólo esté viendo la punta del iceberg (Modo paranoia : ON).

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Pue sí, da la impresión de que es eso, solo vemos la punta del iceberg.

Citar
Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Esto es así.
Para mi, que está entre los chinos y los rusos (dígase tb a las antiguas rep... de la urss) desde luego, no es el panadero, el ataque es sofisticado y constante.

El ataque entra por ejemplo desde rep checa, luego salta a china, luego a colombia, luego a USA y así...

Al parecer hay un patrón, es decir, una ip está activa durante 5 min luego cambia a otra durante 5 min más y así sucesivamente...
pero mientras van cambiando las ip's el primer bloque de Ip's de los primeros 5 min sigue repitiendo el ataque de manera mas aislada, cada 10 min o 20 min, luego las del segundo ciclo y así.

EDITO:

Citar
Edito: No creo que sea ningún paquete del repo. En mi caso, la versión de openwrt lleva instalada más de 2 años, y la hice yo, con todo el repo (r39584).
Yo tampoco lo creo, ya que veríamos la actividad de la red desde dentro haciendo las llamadas, y no es así
vemos la actividad rechazando las conexiones... nada mas.

En mi caso hay muchas de Vietnam, Malasia, China... algunas de Brasil y Portugal...
Hay veces que veo que una IP se conecta y dropbear dice que hay conexión, pero se queda congelada, no pone ni usuarios ni contraseñas. Creo que ése es el momento en el que están haciendo el escaneo de puertos, y por eso no transmite datos. Sólo hace intentos de conexión. Dropbear lo echa cuando hace el timeout. Luego desde otra IP, conectan y es cuando empiezan a probar usuarios...

Sin ping desde el exterior, puede que incluso estén haciendo intentos en todas las IPs de un rango, que puede ser por países (lo cual ya huele a atún). Por eso lo estamos viendo varios aquí ahora mismo (dices que tú también lo ves, ¿verdad?).

¿Alguien más al que le esté pasando esto?

Así es, desde que estamos hablando la última hr es desde china y vietnam y rep checa...

La gente que no tiene un router openwrt, dudo que lleguen a ver el ataque si no tienen un sistema que permita monitorizar las conexiones...

Desde mis router principales, no se puede ver nada de esto, y sin embargo estos "routers principales" responden al ataque también.... y a saber como, ya que están hechos en china y programados alí.... esto si que me da la paranoia....

Yo he reescaneado algunas de esas IPs, y tienen los puertos abiertos de routers corrientes y molientes. Me he encontrado un ASUS RT-AC57U, y varios que tenian pinta de tener incluso openwrt o dd-wrt. Routers con puertos de PPTP, Openvpn. Incluso ordenadores que tenían los puertos de carpetas compartidas abiertos (mala suerte que pidieran contraseña y no fuera 12345678) ¿quién comparte carpetas por internet a pelo? ¡Madre del amor hermoso...!

Sí, es cierto, otros no podrán ni monitorizar las conexiones, pero luego las grandes compañías no quieren darnos los datos de acceso para montar un receptor de fibra nosotros que podamos controlar, y nos tenemos que aguantar con la chufla china que nos pongan, que no sabemos qué privacidad tendrá, si tendrá algún exploit, o nos espía por la clavija del jack DC 12v..., eso es lo que creo que no tendríamos que aguantar.

Ficht · « **Respuesta #11 en:** 13-04-2017, 21:45 (Jueves) »

Citar

Yo he reescaneado algunas de esas IPs, y tienen los puertos abiertos de routers corrientes y molientes. Me he encontrado un ASUS RT-AC57U, y varios que tenian pinta de tener incluso openwrt o dd-wrt. Routers con puertos de PPTP, Openvpn. Incluso ordenadores que tenían los puertos de carpetas compartidas abiertos (mala suerte que pidieran contraseña y no fuera 12345678) ¿quién comparte carpetas por internet a pelo? ¡Madre del amor hermoso...!

Yo en ocasiones tb me he encontrado cosas así, con lo que asusta más aún la cantidad de máquinas que pueden estar haciendo el trabajo de a pie...

Citar

Sí, es cierto, otros no podrán ni monitorizar las conexiones, pero luego las grandes compañías no quieren darnos los datos de acceso para montar un receptor de fibra nosotros que podamos controlar, y nos tenemos que aguantar con la chufla china que nos pongan, que no sabemos qué privacidad tendrá, si tendrá algún exploit, o nos espía por la clavija del jack DC 12v..., eso es lo que creo que no tendríamos que aguantar.

Esto no tiene fácil solución, desconozco los protocolos (que deberían existir) de seguridad del código que aplican los ISP, desde luego los accesos por defectos son de risa y nadie educa en ese sentido.
Creo que ya es descaradamente visible la repercusión de esto a todos los niveles, el aparatito tonto ese, que nadie da importancia.... (el router)

Ahora, a nivel nuestro..
Que pudiéramos hacer ? tal vez el trabajo sea más efectivo a nivel de proveedor, pero eso no va a ser...

Yo también llevo algún tiempo pensando en como evitarlo, pero no se me ocurre....

A ver si alguien da alguna luz....

eduperez · « **Respuesta #12 en:** 13-04-2017, 22:07 (Jueves) »

Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Tki2000 · « **Respuesta #13 en:** 13-04-2017, 22:34 (Jueves) »

Cita de: eduperez en 13-04-2017, 22:07 (Jueves)

Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?

Ficht · « **Respuesta #14 en:** 13-04-2017, 22:40 (Jueves) »

Cita de: Tki2000 en 13-04-2017, 22:34 (Jueves)

Cita de: eduperez en 13-04-2017, 22:07 (Jueves)
Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?

Creo que estás en lo cierto...

Un posible camino es, cerrar todos los puertos, y cuando se necesite acceder al router usar comandos por smsd, abrir lo que sea y luego cerrar...

Warcry_returns · « **Respuesta #15 en:** 13-04-2017, 23:11 (Jueves) »

Banea los rangos de todos los paises y deja solo el rango de ip,s de tu país de los isp que utilices para conectarte.

con eso mitigaras el ataque y no consumiras recursos, ya que el router no tiene que consultar una por una las ips baneadas, sino el rango.

o mejor dicho, solo permite el rango que jazztel, orange, telefonica, vodafone, ono etc tenga en españa.

Tki2000 · « **Respuesta #16 en:** 14-04-2017, 00:03 (Viernes) »

Cita de: Ficht en 13-04-2017, 22:40 (Jueves)

Cita de: Tki2000 en 13-04-2017, 22:34 (Jueves)
Cita de: eduperez en 13-04-2017, 22:07 (Jueves)
Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?

Creo que estás en lo cierto...

Un posible camino es, cerrar todos los puertos, y cuando se necesite acceder al router usar comandos por smsd, abrir lo que sea y luego cerrar...

Justo esta semana tenía planeado montar una VPN para acceder a todos los recursos que tengo, y ahora mismo estoy liado con ello a contrarreloj, ya que hay mogollón de IPs internas que cambiar. Así, en lugar de abrir varios puertos al exterior, sólo accedo mediante conexión segura. Lo malo es que si el router con VPN tiene algún exploit, hemos conseguido lo contrario.

Cita de: ωarcry en 13-04-2017, 23:11 (Jueves)

Banea los rangos de todos los paises y deja solo el rango de ip,s de tu país de los isp que utilices para conectarte.

con eso mitigaras el ataque y no consumiras recursos, ya que el router no tiene que consultar una por una las ips baneadas, sino el rango.

o mejor dicho, solo permite el rango que jazztel, orange, telefonica, vodafone, ono etc tenga en españa.

Entonces deja de funcionar "la mula"... Prefiero ver si puedo encontrar otra solución.

Tki2000 · « **Respuesta #17 en:** 14-04-2017, 19:27 (Viernes) »

Cita de: Ficht en 13-04-2017, 19:09 (Jueves)

Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Ficht, ¿tienes idea de a partir de cuántas IPs baneadas, empieza a haber riesgo de perder el control sobre el router? ¿O cada cuánto tiempo tenías que resetear el router?
Es para hacerme una idea de si debo resetear por méritos propios antes del límite.
En el primer día baneé algo más de 110 IPs. En el segundo alrededor de unas 50. Parece que la actividad disminuye. Las IPs las aguanto 14 días, a no ser que reinicie el router, o haga el fichero permanente, para continuar por donde iba al reiniciar.

Ficht · « **Respuesta #18 en:** 14-04-2017, 21:25 (Viernes) »

Cita de: Tki2000 en 14-04-2017, 19:27 (Viernes)

Cita de: Ficht en 13-04-2017, 19:09 (Jueves)
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Ficht, ¿tienes idea de a partir de cuántas IPs baneadas, empieza a haber riesgo de perder el control sobre el router? ¿O cada cuánto tiempo tenías que resetear el router?
Es para hacerme una idea de si debo resetear por méritos propios antes del límite.
En el primer día baneé algo más de 110 IPs. En el segundo alrededor de unas 50. Parece que la actividad disminuye. Las IPs las aguanto 14 días, a no ser que reinicie el router, o haga el fichero permanente, para continuar por donde iba al reiniciar.

Hola Tki2000; hace mas de año y medio que no uso el baneo... por lo tanto, hablaré de memoria...
Los grupos de Ip's baneadas, superaban las 200's, (al cabo de 7 dias, iba liberando, luego baje a 3 dias) pero cuando se hacía critico el tema con "la perdida del router" era si estaba usando gestores de descargas, ahí si que al cabo de un mes o mes y medio ya quedaba inutilizable, primero la wifi se hacía inestable, y al reiniciar... nanaiii...
Mi conclusión [mas bien impresión (nunca llegué a saber de donde venía el bloqueo)] fue que quedaban baneadas direcciones internas de máquina, en dependencia de los tipos de ataques con su ip.
Recuerdo que intenté varias veces, limpiar la imagen (borrar ip's baneadas y buscar el rastro) pero el desastre dentro de iptables ya sería grande, porque nunca llegué a arreglar la imagen una vez corrupta... Simplemente tenía que reescribir la imagen "tipo"

1:- siempre uso extroot, cuando el router ya tonteaba, tampoco sabes si al reiniciar, está pendiente de escribir datos.... (tampoco podías hacer sesión ssh ni web-control) lo cual puede explicar la perdida de la uatilidad de la imagen en el usb...

2:- Teniendo en cuenta lo anterior, sé que tenía 3 copias de aquella imagen, la 1ª nueva y recién configurada, 2ª con unos 15 días de haber estado baneando IP's y la 3ª con un mes de baneos. Cuando usaba la 2ª el router me duraba entre 15 y 20 días, y cuando usaba la 3ª duraba mas o menos una semana.

Y desde entonces, lo tengo así, sin baneo, solo que cuando estás viendo algo reproducido desde el router, hay veces que despixela la peli de turno cuando está siendo atacado, vamos, que se nota el consumo de recursos.

Siento no poder ser mas preciso, y también que solo sean impresiones, ya que ahora mismo no estoy peleando con esto... (estoy montándome una rtl-sdr en el router y todo lo tengo encaminado a esto ahora mismo...)

eduperez · « **Respuesta #19 en:** 14-04-2017, 23:01 (Viernes) »

Cita de: Tki2000 en 13-04-2017, 22:34 (Jueves)

Cita de: eduperez en 13-04-2017, 22:07 (Jueves)
Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?

Te encuentran tan fácilmente porque hay miles y miles de dispositivos comprometidos, que se dedican a probar todo el rango de direcciones IP posibles durante las 24 horas del día. Si tienes 1.000 equipos comprometidos a tu disposición (y es un número ridículamente pequeño), y cada equipo prueba 100 direcciones IP por segundo (y también es un número conservador), en una hora has probado todo el rango de direcciones IP disponibles.

Hay que ser paranoico, en el sentido de que ya no se puede pensar (como se hacía antes) en que si no tienes nada interesante no van a ir a por ti; ahora hay que pensar que Internet es "territorio comanche", donde continuamente vas a recibir ataques, y que te van a venir de todas partes. Pero no hay que ser paranoico y pensar te están buscando a ti en especial, ni que te hayas significado de alguna manera; simplemente es que es es un "todos contra todos".

Noticias:

Autor Tema: Recibo ataques desde múltiples IPs. Discusión de ideas. (Leído 15265 veces)

Ficht

Ficht

Ficht

Ficht

Ficht

eduperez

Ficht

Warcry_returns

Ficht

eduperez