Autor Tema: Recibo ataques desde múltiples IPs. Discusión de ideas. (Leído 18777 veces)

Tki2000 · « **Respuesta #20 en:** 15-04-2017, 00:15 (Sábado) »

Cita de: eduperez en 14-04-2017, 23:01 (Viernes)

Cita de: Tki2000 en 13-04-2017, 22:34 (Jueves)
Cita de: eduperez en 13-04-2017, 22:07 (Jueves)
Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?

Te encuentran tan fácilmente porque hay miles y miles de dispositivos comprometidos, que se dedican a probar todo el rango de direcciones IP posibles durante las 24 horas del día. Si tienes 1.000 equipos comprometidos a tu disposición (y es un número ridículamente pequeño), y cada equipo prueba 100 direcciones IP por segundo (y también es un número conservador), en una hora has probado todo el rango de direcciones IP disponibles.

Hay que ser paranoico, en el sentido de que ya no se puede pensar (como se hacía antes) en que si no tienes nada interesante no van a ir a por ti; ahora hay que pensar que Internet es "territorio comanche", donde continuamente vas a recibir ataques, y que te van a venir de todas partes. Pero no hay que ser paranoico y pensar te están buscando a ti en especial, ni que te hayas significado de alguna manera; simplemente es que es es un "todos contra todos".

Lo de encontrarme así, sería fácil si tuviera habilitado el ping exterior, pero no lo tengo. Luego no prueban IPs, prueban puertos.
Cada IP aunque esté muda, tiene 65535 puertos. Después de cambiarle los puertos, por si acaso me están buscando por la disposición de ellos, y a pesar de no contestar externamente, me encuentran en minutos el puerto SSH (que yo vea). Me huele a ataque masivo en un rango de IPs concreto, que pueden estar localizadas dentro de algún enrutador comprometido, por eso no puedo escapar, porque físicamente estoy en el enrutador que maneja las IPs que me puedan dar, y por eso es más rápido, porque son un rango de IPs manejadas por algún dispositivo en concreto.
Una vez que ordeñan el listado de IPs del enrutador, se lo pasan a las máquinas de a pie, como dice Fitch, y realizan el ataque.

Es una suposición, pero es lo que más me cuadra.
Si fuera un ataque generalizado, lo estaríamos viendo todos, y no es así, aunque lo veamos unos cuantos, que seguramente estemos en el mismo camino comprometido.

drvalium · « **Respuesta #21 en:** 15-04-2017, 00:49 (Sábado) »

¿que habrás hecho para que te persiga medio planeta?

Tki2000 · « **Respuesta #22 en:** 15-04-2017, 01:06 (Sábado) »

Cita de: drvalium en 15-04-2017, 00:49 (Sábado)

¿que habrás hecho para que te persiga medio planeta?

¡¡Chtssss!! No se lo cuentes a nadie...

sanson · « **Respuesta #23 en:** 17-04-2017, 19:08 (Lunes) »

hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.

saludos

dolfet15 · « **Respuesta #24 en:** 17-04-2017, 23:22 (Lunes) »

Cita de: sanson en 17-04-2017, 19:08 (Lunes)

hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.

saludos

Esto iba a poner, puede ser que tu ISP esté siendo atacado o tenga alguna máquina infectada. No es normal que cuando cambies la ip al poco tiempo vuelvan los ataques.

PD: tengo entendido que cambias la ip, y al momento ya te están atacando teniendo solo encendido el router y nada más.

Tki2000 · « **Respuesta #25 en:** 18-04-2017, 08:29 (Martes) »

Esa es la sospecha que tengo.
Todos los ataques me entran por 4 MACs distintas, que supongo serán los 4 enrutadores directos que tengo conectados al ADSL. No significa que sean esos los enrutadores comprometidos, pero el tráfico a nivel mundial me entra por esos 4 enrutadores. No he podido hacer más comprobaciones.

Estoy por llamar al ISP y pedirle explicaciones...

De momento ya he puesto un firewall intermedio y una VPN. Cambio de contraseñas, etc, etc..., pero el primer bastión que debe resistir es openwrt. Si aguanta, todo lo demás también...

Edito: Puede que no sea ni siquiera de mi ISP. Hay otra gente de otras compañías que también está viendo ataques. Sólo puedo decir que de por medio hay un enrutador de level3, compañía que hace ya un tiempo, tuvo algún que otro achaque a nivel mundial...

Ficht · « **Respuesta #26 en:** 18-04-2017, 20:57 (Martes) »

Cita de: nextlvl en 17-04-2017, 23:22 (Lunes)

Cita de: sanson en 17-04-2017, 19:08 (Lunes)
hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.

saludos
Cita de: Tki2000 en 18-04-2017, 08:29 (Martes)
Esa es la sospecha que tengo.
Todos los ataques me entran por 4 MACs distintas, que supongo serán los 4 enrutadores directos que tengo conectados al ADSL. No significa que sean esos los enrutadores comprometidos, pero el tráfico a nivel mundial me entra por esos 4 enrutadores. No he podido hacer más comprobaciones.

Estoy por llamar al ISP y pedirle explicaciones...

De momento ya he puesto un firewall intermedio y una VPN. Cambio de contraseñas, etc, etc..., pero el primer bastión que debe resistir es openwrt. Si aguanta, todo lo demás también...

Edito: Puede que no sea ni siquiera de mi ISP. Hay otra gente de otras compañías que también está viendo ataques. Sólo puedo decir que de por medio hay un enrutador de level3, compañía que hace ya un tiempo, tuvo algún que otro achaque a nivel mundial...

Esto iba a poner, puede ser que tu ISP esté siendo atacado o tenga alguna máquina infectada. No es normal que cuando cambies la ip al poco tiempo vuelvan los ataques.

PD: tengo entendido que cambias la ip, y al momento ya te están atacando teniendo solo encendido el router y nada más.

Yo tengo dos ISP distintos, y veo los ataques por igual, si bien en uno, la Ip no cambia casi nunca (en los últimos 4 años ha cambiado 2 veces ...) en el otro, si que cambia frecuentemente, incluso 1 o 2 veces en un día, pero lo mismo, en pocos minutos, comienzan los ataques.

Siempre teniendo en cuenta, que nunca hay mas servicios operativos en la red que los routers en si, y sin hacer estos conexiones por si solos, es decir, solo responden a las llamadas mías de control. Hasta donde he visto, nunca han hecho log->in, si que he visto mensajes de wget... en el registro, pero con salida error, osea, parece que el router aguanta, pero, los ataques, si que le hacen trabajar.

También pienso en la probabilidad de que provengan del servicio ddns, es decir, mi proveedor de ddns, que sean ellos los que de un modo u otro reenvíen o propicien estas llamadas de maquinas, ya que es lo que coordina la dirección IP y en dominio web...

Tki2000 · « **Respuesta #27 en:** 18-04-2017, 21:33 (Martes) »

Cita de: Ficht en 18-04-2017, 20:57 (Martes)

Cita de: nextlvl en 17-04-2017, 23:22 (Lunes)
Cita de: sanson en 17-04-2017, 19:08 (Lunes)
hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.

saludos
Cita de: Tki2000 en 18-04-2017, 08:29 (Martes)
Esa es la sospecha que tengo.
Todos los ataques me entran por 4 MACs distintas, que supongo serán los 4 enrutadores directos que tengo conectados al ADSL. No significa que sean esos los enrutadores comprometidos, pero el tráfico a nivel mundial me entra por esos 4 enrutadores. No he podido hacer más comprobaciones.

Estoy por llamar al ISP y pedirle explicaciones...

De momento ya he puesto un firewall intermedio y una VPN. Cambio de contraseñas, etc, etc..., pero el primer bastión que debe resistir es openwrt. Si aguanta, todo lo demás también...

Edito: Puede que no sea ni siquiera de mi ISP. Hay otra gente de otras compañías que también está viendo ataques. Sólo puedo decir que de por medio hay un enrutador de level3, compañía que hace ya un tiempo, tuvo algún que otro achaque a nivel mundial...

Esto iba a poner, puede ser que tu ISP esté siendo atacado o tenga alguna máquina infectada. No es normal que cuando cambies la ip al poco tiempo vuelvan los ataques.

PD: tengo entendido que cambias la ip, y al momento ya te están atacando teniendo solo encendido el router y nada más.

Yo tengo dos ISP distintos, y veo los ataques por igual, si bien en uno, la Ip no cambia casi nunca (en los últimos 4 años ha cambiado 2 veces ...) en el otro, si que cambia frecuentemente, incluso 1 o 2 veces en un día, pero lo mismo, en pocos minutos, comienzan los ataques.

Siempre teniendo en cuenta, que nunca hay mas servicios operativos en la red que los routers en si, y sin hacer estos conexiones por si solos, es decir, solo responden a las llamadas mías de control. Hasta donde he visto, nunca han hecho log->in, si que he visto mensajes de wget... en el registro, pero con salida error, osea, parece que el router aguanta, pero, los ataques, si que le hacen trabajar.

También pienso en la probabilidad de que provengan del servicio ddns, es decir, mi proveedor de ddns, que sean ellos los que de un modo u otro reenvíen o propicien estas llamadas de maquinas, ya que es lo que coordina la dirección IP y en dominio web...

Yo paré el servicio de ddns (changeip.com) y cambié la IP, y me seguían encontrando y atacando igual, así que lo descarté.

Tki2000 · « **Respuesta #28 en:** 28-04-2017, 11:14 (Viernes) »

Y en los logs de hoy, me encuentro que me están atancando también la VPN, desde varias IPs muy concentradas.
Escaneo una y me encuentro con esto:

http://216.218.206.118/

Citar

The Shadowserver Foundation

If you are looking at this page, then more than likely, you noticed a scan coming from this server across your network and/or poking at a service that you have running.

The Shadowserver Foundation is currently undertaking a project to search for publicly accessible devices that have services running that should not be exposed because they are trivial to exploit or abuse. The goal of this project is to identify hosts that have these types of services exposed and report them back to the network owners for remediation.

Further details on this scanning project can be found on our blog at: http://blog.shadowserver.org/2014/03/28/the-scannings-will-continue-until-the-internet-improves/

Statistics on these scans can be found at: http://blog.shadowserver.org/2014/08/22/of-scannings-and-statistics/

If you would like to sign up for reports on any data that we have collected on your network, you can request them from here: https://www.shadowserver.org/wiki/pmwiki.php/Involve/GetReportsOnYourNetwork

All of the probes that are used in our tests are benign and do not ( and will never ) contain exploit code. Scans with these types of tools are off-limits for us.

All the data that we collect is visible to anyone who connects to a particular host with on the proper port using the proper commands.

If you have any more questions please feel free to send us an email at: gro [tod] revreswodahs [ta] nacssnd

The Shadowserver Foundation

No me gusta que me escaneen, ni para fines benéficos. ¿Ahora tengo que distinguir entre quien me "ataca", para bien, o para mal?
Al menos sé que no estoy paranoico...

Me gustaría saber cómo hacen eso de notificar al usuario, las brechas de seguridad que tiene. ¿Es que por mi IP, tienen mis datos personales o alguna clase de contacto? (mi spider-sentido me alerta de nuevo)

eduperez · « **Respuesta #29 en:** 02-05-2017, 13:02 (Martes) »

Cita de: Tki2000 en 28-04-2017, 11:14 (Viernes)

Me gustaría saber cómo hacen eso de notificar al usuario, las brechas de seguridad que tiene. ¿Es que por mi IP, tienen mis datos personales o alguna clase de contacto? (mi spider-sentido me alerta de nuevo)

Bueno, ellos hablan de "network owner", que estrictamente hablando es el propietario de la red; es decir, tu proveedor. Se supone que ellos sí saben a quién han asignado cada IP, y pueden avisarte. Otra cosa es lo que ocurre en la práctica...

En cualquier caso, yo tampoco estaría muy tranquilo pensando si alguien está atacando con buenas intenciones o con malas intenciones; la mejor manera de defenderse (y de colaborar con los supuestos buenos atacantes) entiendo que es reforzar la seguridad.

vk496 · « **Respuesta #30 en:** 03-05-2017, 02:46 (Miércoles) »

A falta de tiempo para leer todo...

Es posible que sea un ataque dirigido? Esas cosas no sólo son de películas, y con el IoT no es difícil hacerse con botnets.

Por otro lado, protegería el SSH con cosas básicas como no usar contraseña o usuarios limitados. Para evitar desbordamiento de recursos por listas de bloqueo, puedes intentar usar una solución ingeniosa con IPTables:
https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/

Por otro lado, si te pones en paranoia total, usa un port knocking para proteger tus servicios. Reduces el riesgo a costa de la usabilidad.

PD: Si te cogen la IP cuando solo tienes Router y Módem, creo que se debe a que te hacen (o han hecho alguna vez) un reverse DNS lookup.

Salu2

Enviado desde mi Moto G4 Plus mediante Tapatalk

Tki2000 · « **Respuesta #31 en:** 03-05-2017, 20:21 (Miércoles) »

Cita de: vk496 en 03-05-2017, 02:46 (Miércoles)

A falta de tiempo para leer todo...

Es posible que sea un ataque dirigido? Esas cosas no sólo son de películas, y con el IoT no es difícil hacerse con botnets.

Por otro lado, protegería el SSH con cosas básicas como no usar contraseña o usuarios limitados. Para evitar desbordamiento de recursos por listas de bloqueo, puedes intentar usar una solución ingeniosa con IPTables:
https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/

Por otro lado, si te pones en paranoia total, usa un port knocking para proteger tus servicios. Reduces el riesgo a costa de la usabilidad.

PD: Si te cogen la IP cuando solo tienes Router y Módem, creo que se debe a que te hacen (o han hecho alguna vez) un reverse DNS lookup.

Salu2

Enviado desde mi Moto G4 Plus mediante Tapatalk

El día que meta yo algo IoT en mi casa, conscientemente y sin capar, me meto a monja...

Lo de limitar el número de conexiones por minuto al SSH está curioso, lo que no sé es si iptables de openwrt, es tan completo como para usar todos esos parámetros.
Para limitar los puertos externos a servicios, he puesto una VPN. Hay que atravesar esa VPN, para llegar a ellos. Me joroba, porque en dispositivos como la tablet, ahora he perdido servicios, pero están más protegidos.
No hay más usuarios en la red, que yo, y su debida contraseña, y no es la misma para todo.
Lo del DNS inverso, no ha lugar, porque ya probé a ver qué pasaba si no activaba los servicios de DNS dinámicos (por si estaban interceptando la llamada del router), cambiando la IP, y me encuentran igual.
Me sigue dando en la nariz que es algún enrutador, de algún ISP, que esté comprometido, y sacan el listado de IPs asignadas, y empiezan a escanear. O concentran el escaneo en un rango de IPs concreto, en el que mi ISP siempre me da valores.

Tki2000 · « **Respuesta #32 en:** 08-05-2017, 12:49 (Lunes) »

Y ahora que parecía que iban disminuyendo los ataques a unos 50 por día, llegan y se suman estos individuos: inspire.census.shodan.io
Es un censo de dispositivos vulnerables...
Todos con muy buenas intenciones, eso sí...

¿Qué he hecho yo para merecer esto?

A este paso voy a acabar antes, enumerando los que no me atacan...

sanson · « **Respuesta #33 en:** 08-05-2017, 13:11 (Lunes) »

jar229 · « **Respuesta #34 en:** 08-05-2017, 20:25 (Lunes) »

Cita de: Tki2000 en 08-05-2017, 12:49 (Lunes)

A este paso voy a acabar antes, enumerando los que no me atacan...

Deben pensar que tienes algún tesoro escondido por ahí

Ficht · « **Respuesta #35 en:** 13-05-2017, 20:58 (Sábado) »

Cita de: Tki2000 en 08-05-2017, 12:49 (Lunes)

Y ahora que parecía que iban disminuyendo los ataques a unos 50 por día, llegan y se suman estos individuos: inspire.census.shodan.io
Es un censo de dispositivos vulnerables...
Todos con muy buenas intenciones, eso sí...

¿Qué he hecho yo para merecer esto?

A este paso voy a acabar antes, enumerando los que no me atacan...

Tki2000, has comprobado hoy "día 13" los ataques, luego de lo que ha pasado ayer?
en mis routers, han bajado los ataques mas de un 90%, siguen habiendo algunos, pero muy poquitos. (estimo que tres /hr)

Seguiré mirando a ver....

Tki2000 · « **Respuesta #36 en:** 13-05-2017, 21:40 (Sábado) »

Cita de: Ficht en 13-05-2017, 20:58 (Sábado)

Cita de: Tki2000 en 08-05-2017, 12:49 (Lunes)
Y ahora que parecía que iban disminuyendo los ataques a unos 50 por día, llegan y se suman estos individuos: inspire.census.shodan.io
Es un censo de dispositivos vulnerables...
Todos con muy buenas intenciones, eso sí...

¿Qué he hecho yo para merecer esto?

A este paso voy a acabar antes, enumerando los que no me atacan...

Tki2000, has comprobado hoy "día 13" los ataques, luego de lo que ha pasado ayer?
en mis routers, han bajado los ataques mas de un 90%, siguen habiendo algunos, pero muy poquitos. (estimo que tres /hr)

Seguiré mirando a ver....

¿Qué pasó ayer? Estoy en bavia y no me he enterado de nada...
Llevo unos 90 baneados en 60 horas, me temo que no me ha disminuído nada el índice de ataques.

Edito: Si te refieres al ataque a T-fónica, yo estoy con Pazztel...

Ficht · « **Respuesta #37 en:** 13-05-2017, 21:50 (Sábado) »

Cita de: Tki2000 en 13-05-2017, 21:40 (Sábado)

Cita de: Ficht en 13-05-2017, 20:58 (Sábado)
Cita de: Tki2000 en 08-05-2017, 12:49 (Lunes)
Y ahora que parecía que iban disminuyendo los ataques a unos 50 por día, llegan y se suman estos individuos: inspire.census.shodan.io
Es un censo de dispositivos vulnerables...
Todos con muy buenas intenciones, eso sí...

¿Qué he hecho yo para merecer esto?

A este paso voy a acabar antes, enumerando los que no me atacan...
Tki2000, has comprobado hoy "día 13" los ataques, luego de lo que ha pasado ayer?
en mis routers, han bajado los ataques mas de un 90%, siguen habiendo algunos, pero muy poquitos. (estimo que tres /hr)

Seguiré mirando a ver....

¿Qué pasó ayer? Estoy en bavia y no me he enterado de nada...
Llevo unos 90 baneados en 60 horas, me temo que no me ha disminuído nada el índice de ataques.

Edito: Si te refieres al ataque a Timofónica, yo estoy con Pazztel...

No se si tiene algo que ver, pero realmente, es lo único relevante que ha pasado, me refiero al ataque, y supongo que algo ha hecho alguien ya que la reducción de ataques de hoy, es notable.

Tki2000 · « **Respuesta #38 en:** 13-05-2017, 22:08 (Sábado) »

Cita de: Ficht en 13-05-2017, 21:50 (Sábado)

Cita de: Tki2000 en 13-05-2017, 21:40 (Sábado)
Cita de: Ficht en 13-05-2017, 20:58 (Sábado)
Cita de: Tki2000 en 08-05-2017, 12:49 (Lunes)
Y ahora que parecía que iban disminuyendo los ataques a unos 50 por día, llegan y se suman estos individuos: inspire.census.shodan.io
Es un censo de dispositivos vulnerables...
Todos con muy buenas intenciones, eso sí...

¿Qué he hecho yo para merecer esto?

A este paso voy a acabar antes, enumerando los que no me atacan...
Tki2000, has comprobado hoy "día 13" los ataques, luego de lo que ha pasado ayer?
en mis routers, han bajado los ataques mas de un 90%, siguen habiendo algunos, pero muy poquitos. (estimo que tres /hr)

Seguiré mirando a ver....

¿Qué pasó ayer? Estoy en bavia y no me he enterado de nada...
Llevo unos 90 baneados en 60 horas, me temo que no me ha disminuído nada el índice de ataques.

Edito: Si te refieres al ataque a T-fónica, yo estoy con Pazztel...

No se si tiene algo que ver, pero realmente, es lo único relevante que ha pasado, me refiero al ataque, y supongo que algo ha hecho alguien ya que la reducción de ataques de hoy, es notable.

Eso es simplemente porque ¡HAN REINICIADO EL ROUTER! Muhahahahaha

No, ahora en serio, puede ser que hayan cortado dispositivos por prevención, pero que cuando los vuelvan a poner online, vuelvan los ataques.
Yo, en la línea en la que recibo ataques, estoy con Pazztel, y no he notado nada de nada (de menos, se entiende).

Por cierto, si todo esto se ha liado por lo que dicen de abrir un email un empleado de T-fónica, entonces, una muestra más de lo que es un analfabeto tecnológico. Aquel que no sabe qué son las extensiones de fichero, y de qué es un archivo ejecutable o simplemente datos.
Luego dicen que lo soy yo, simplemente porque no tengo ni smartphone, ni whatsapp, ni redes sociales...

Ficht · « **Respuesta #39 en:** 13-05-2017, 22:41 (Sábado) »

Jejeje
Si, con la roja se nota mucho, con la azul hay más, pero en cualquier caso, mucho menos de lo que venía siendo habitual.

Enviado desde mi Y635-L01 mediante Tapatalk

Noticias:

Autor Tema: Recibo ataques desde múltiples IPs. Discusión de ideas. (Leído 18777 veces)

dolfet15

Ficht

eduperez

vk496

Ficht

Ficht

Ficht