kdp 1 Опубликовано: 2016-11-23 06:30:23 Share Опубликовано: 2016-11-23 06:30:23 У меня за натом несколько сот абонентов. В последнее время часто стали жаловаться что не пускает на тот илим иной сайт. Вот что прислала абоненту техподдержка его хостинга: "Указанный Вами IP был заблокирован за систематический подбор паролей к разным сайтам нашего хостинга...." Отсюда вопрос: как найти вредителя у себя в сети, Для меня ето новое, так что рад буду любому совету. Спасибо. Ссылка на сообщение Поделиться на других сайтах
alex_d 8 Опубліковано: 2016-11-23 07:24:54 Share Опубліковано: 2016-11-23 07:24:54 Никак. Для таких как он существует услуга "белый IP". У вас что, толпа абонентов бегает вокруг одного и того же хостинга? Ссылка на сообщение Поделиться на других сайтах
антоха 55 Опубліковано: 2016-11-23 07:42:10 Share Опубліковано: 2016-11-23 07:42:10 (відредаговано) У меня за натом несколько сот абонентов. В последнее время часто стали жаловаться что не пускает на тот илим иной сайт. Вот что прислала абоненту техподдержка его хостинга: "Указанный Вами IP был заблокирован за систематический подбор паролей к разным сайтам нашего хостинга...." Отсюда вопрос: как найти вредителя у себя в сети, Для меня ето новое, так что рад буду любому совету. Спасибо. Я бы писал письмо в хостинг типа все устанили, это были вирусы, откройте доступ ... По факту ограничил бы в дальнейшем хождение некоторых внутренних айпи на пул адресов хостинга через фаервол роутера (хорошо для таких целей иметь микротик) или поставил бы скрипт отслеживания (на какие сайты ходили), кто снова полезет - того и порежем на пул адресов Відредаговано 2016-11-23 07:44:35 антоха Ссылка на сообщение Поделиться на других сайтах
Земеля 728 Опубліковано: 2016-11-23 07:46:21 Share Опубліковано: 2016-11-23 07:46:21 У меня за натом несколько сот абонентов. В последнее время часто стали жаловаться что не пускает на тот илим иной сайт. Вот что прислала абоненту техподдержка его хостинга: "Указанный Вами IP был заблокирован за систематический подбор паролей к разным сайтам нашего хостинга...." Отсюда вопрос: как найти вредителя у себя в сети, Для меня ето новое, так что рад буду любому совету. Спасибо. вы как провайдер даете доступ в сеть, если какие либо качели за пределами вашей сети вас это не должно ипать. если у вашего аборигена нет доступа на какой либо сайт хостинга, аля заказывай белый ай-пи и работай спокойно, так как с одной стороны аборигены хотят 10 грн за 100 мегабит , и еще белый ай-пи которые наф стоит порядка 40 грн за 1 шт в месяц Ссылка на сообщение Поделиться на других сайтах
Sоrk 47 Опубліковано: 2016-11-23 08:54:08 Share Опубліковано: 2016-11-23 08:54:08 (відредаговано) - делаем зеркало трафика и при помощи SNORT ловим тех, у кого есть есть вирусы (подключены в ботнет) 06/23-13:28:37.118026 [**] [1:33600:1] MALWARE-CNC Win.Trojan.Ramnit variant outbound detected [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.25:51448 -> 69.164.203.105:447 06/23-13:28:57.328870 [**] [1:33600:1] MALWARE-CNC Win.Trojan.Ramnit variant outbound detected [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.25:51450 -> 69.164.203.105:447 06/23-13:28:57.897017 [**] [1:27247:2] BLACKLIST DNS request for known malware domain restless.su - Gamarue Trojan [**] [Classification: A Network Trojan was Detected] [Priority: 1] {UDP} 10.8.1.126:4262 -> 8.8.4.4:53 06/23-13:29:00.677567 [**] [1:30796:1] MALWARE-CNC Win.Trojan.Mudrop variant outbound connection [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.135:49617 -> 70.186.131.158:80 06/23-13:28:37.118026 [**] [1:33600:1] MALWARE-CNC Win.Trojan.Ramnit variant outbound detected [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.25:51448 -> - делаем сбор netflow и строим выборку top flow по порту 80, 443 - находим тех, кто создает больше всего соединений при маленьком трафике. Відредаговано 2016-11-23 08:54:33 Sоrk Ссылка на сообщение Поделиться на других сайтах
Svarg 5 Опубліковано: 2016-11-23 08:57:17 Share Опубліковано: 2016-11-23 08:57:17 Как временное решение можно посоветовать Вашему абоненту использовать бесплатное VPN расширение для Mozilla Firefox. Ну а тем временем действительно заблокировать доступ к тому хостингу всем кроме, этого абонента и написать тех.поддержке что устранили проблему, пусть разблокируют вашу айпишку. Ссылка на сообщение Поделиться на других сайтах
Melanxolik 63 Опубліковано: 2016-11-23 09:12:31 Share Опубліковано: 2016-11-23 09:12:31 Если вы не имеете дампов трафика, то у меня плохие для вас новости, по хорошему вы обязаны. Давно уже есть netflow и прочие вещи чтобы снимать дампы с трафика, в том числе nat сессии. Если бы вы нам написали отписку мол исправили и ситуация повторилась, мы бы просто вашу сеть опустили в null и больше не думали о вашей проблеме. Ссылка на сообщение Поделиться на других сайтах
kdp 1 Опубліковано: 2016-11-27 07:14:34 Автор Share Опубліковано: 2016-11-27 07:14:34 - делаем зеркало трафика и при помощи SNORT ловим тех, у кого есть есть вирусы (подключены в ботнет) 06/23-13:28:37.118026 [**] [1:33600:1] MALWARE-CNC Win.Trojan.Ramnit variant outbound detected [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.25:51448 -> 69.164.203.105:447 06/23-13:28:57.328870 [**] [1:33600:1] MALWARE-CNC Win.Trojan.Ramnit variant outbound detected [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.25:51450 -> 69.164.203.105:447 06/23-13:28:57.897017 [**] [1:27247:2] BLACKLIST DNS request for known malware domain restless.su - Gamarue Trojan [**] [Classification: A Network Trojan was Detected] [Priority: 1] {UDP} 10.8.1.126:4262 -> 8.8.4.4:53 06/23-13:29:00.677567 [**] [1:30796:1] MALWARE-CNC Win.Trojan.Mudrop variant outbound connection [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.135:49617 -> 70.186.131.158:80 06/23-13:28:37.118026 [**] [1:33600:1] MALWARE-CNC Win.Trojan.Ramnit variant outbound detected [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 10.8.67.25:51448 -> - делаем сбор netflow и строим выборку top flow по порту 80, 443 - находим тех, кто создает больше всего соединений при маленьком трафике. Если я правильно понял то netflow ето программа которую ставим на сервер и она опрашивает микротик и собирает с него статистику. Если так то нужен ли для етого отдельный сервер или можна установить на тот где стоит заббикс? corei5 250HDD 4Гбайт ПЗУ. сеть до 1000 абонентов Ссылка на сообщение Поделиться на других сайтах
Sоrk 47 Опубліковано: 2016-11-27 16:29:19 Share Опубліковано: 2016-11-27 16:29:19 Если я правильно понял то netflow ето программа которую ставим на сервер и она опрашивает микротик и собирает с него статистику. Если так то нужен ли для етого отдельный сервер или можна установить на тот где стоит заббикс? corei5 250HDD 4Гбайт ПЗУ. сеть до 1000 абонентов можно использовать этот коллектор http://nfsen.sourceforge.net/+ http://nfdump.sourceforge.net/ много ресурсов не требует, corei5 250HDD 4Гбайт хватит Ссылка на сообщение Поделиться на других сайтах
Biker13 68 Опубліковано: 2016-11-27 18:54:31 Share Опубліковано: 2016-11-27 18:54:31 У меня за натом несколько сот абонентов. В последнее время часто стали жаловаться что не пускает на тот илим иной сайт. Вот что прислала абоненту техподдержка его хостинга: "Указанный Вами IP был заблокирован за систематический подбор паролей к разным сайтам нашего хостинга...." Отсюда вопрос: как найти вредителя у себя в сети, Для меня ето новое, так что рад буду любому совету. Спасибо. если нат из микротика подскажу как найти вредителя. У самого так было, Оказалась вирусня у абонентов. Ссылка на сообщение Поделиться на других сайтах
fastvd 62 Опубліковано: 2016-11-28 06:26:06 Share Опубліковано: 2016-11-28 06:26:06 У меня за натом несколько сот абонентов. В последнее время часто стали жаловаться что не пускает на тот илим иной сайт. Вот что прислала абоненту техподдержка его хостинга: "Указанный Вами IP был заблокирован за систематический подбор паролей к разным сайтам нашего хостинга...." Отсюда вопрос: как найти вредителя у себя в сети, Для меня ето новое, так что рад буду любому совету. Спасибо. если нат из микротика подскажу как найти вредителя. У самого так было, Оказалась вирусня у абонентов. ну расскажите в двух словах... Ссылка на сообщение Поделиться на других сайтах
fastvd 62 Опубліковано: 2016-11-28 06:30:40 Share Опубліковано: 2016-11-28 06:30:40 Если я правильно понял то netflow ето программа которую ставим на сервер и она опрашивает микротик и собирает с него статистику. Если так то нужен ли для етого отдельный сервер или можна установить на тот где стоит заббикс? corei5 250HDD 4Гбайт ПЗУ. сеть до 1000 абонентов можно использовать этот коллектор http://nfsen.sourceforge.net/+ http://nfdump.sourceforge.net/ много ресурсов не требует, corei5 250HDD 4Гбайт хватит ну для 1 г трафика - какой нужно тазик чтобы отфильтровать вируснияк? для 2 г трафика? трафик я так понимаю сканится весь или только НАТ сетка? Ссылка на сообщение Поделиться на других сайтах
Sоrk 47 Опубліковано: 2016-11-28 07:41:23 Share Опубліковано: 2016-11-28 07:41:23 ну для 1 г трафика - какой нужно тазик чтобы отфильтровать вируснияк? для 2 г трафика? трафик я так понимаю сканится весь или только НАТ сетка? для Netflow-коллектора под трафик 5 гбит достаточно виртуалки: 2 ядра - Intel® Xeon® CPU E5345 @ 2.33GHz RAM - 4 ГБ диск - RAID 10 * SATA 7200 но хватило бы и меньше, сбор не занимает ресурсов вообще, ресурсы берут только выборки данных. Ссылка на сообщение Поделиться на других сайтах
Maxxx 446 Опубліковано: 2016-11-28 08:52:24 Share Опубліковано: 2016-11-28 08:52:24 А кому приходят письма такого рода (юзеры тоже за натом), что делать? DATE: 2016-11-26CASE ID: 5af2d1c4503cef3eed8eDear Relcom-pod-as:We are contacting you on behalf of Courtroom Television Network, LLC with location at:Courtroom Television Network, LLC d/b/a truTV600 Third AvenueNew York NY 10016Under penalty of perjury we assert that IP-Echelon Pty. Ltd. is authorized to act on behalf of Courtroom Television Network, LLC, who is the copyright owner and/or owner of exclusive rights in such content identified below.We have become aware that an individual has utilized the IP address 193.239.142.6 at the recorded date and time below to download, host, and/or facilitate the downloading and/or streaming of video content that is exclusively owned by Courtroom Television Network, LLC. Such unauthorized distribution of Courtroom Television Network, LLC content without the express written authorization of Courtroom Television Network, LLC constitutes copyright infringement. This conduct may also violate the laws of other countries, international law, and/or treaty obligations.We have a good faith belief that the use of the copyrighted material identified below is not authorized by Courtroom Television Network, LLC, its agent, or the law.The title in question: Adam Ruins EverythingAs the owner of the IP address, we request that you immediately assist in removing and disabling access to the infringing material from your network. Additionally we request that you contact the subscriber who has engaged in the conduct described above and take further steps to prevent the subscriber from unauthorized future use and sharing of Courtroom Television Network, LLC content.We state, under penalty of perjury, that the information in this notification is accurate and that we are authorized to act on behalf of the owner of the exclusive right that is allegedly infringed herein.Nothing in this notice shall operate as a waiver of any rights, claims, or remedies available to Courtroom Television Network, LLC with respect to the infringement alleged herein. All such rights, claims, and remedies are hereby expressly reserved.We appreciate your attention to and cooperation with this notice. Please provide a prompt response specifying actions you have taken to resolve this matter.Do not hesitate to contact me with any questions. You may reach me via email at p2p@copyright.ip-echelon.com.Regards,Adrian LeatherlandCEOIP-EchelonEmail: p2p@copyright.ip-echelon.comAddress: 6715 Hollywood Blvd, Los Angeles, 90028, United States- ------------- Infringement Details ----------------------------------Title: Adam Ruins EverythingTimestamp: 2016-11-26T12:28:02ZIP Address: 193.239.142.6Port: 60716Type: BitTorrentTorrent Hash: 29d377e53f2ad02f73ac72efdf1f9b0aaa8f9fc3Filename: Adam.Ruins.Everything.S02.720p.HDTVRip.Rus.Eng.OzzFilesize: 4126 MB- --------------------------------------------------------------------- Ссылка на сообщение Поделиться на других сайтах
magamel 3 Опубліковано: 2016-11-28 09:19:33 Share Опубліковано: 2016-11-28 09:19:33 (відредаговано) А кому приходят письма такого рода (юзеры тоже за натом), что делать? DATE: 2016-11-26 CASE ID: 5af2d1c4503cef3eed8e Dear Relcom-pod-as: We are contacting you on behalf of Courtroom Television Network, LLC with location at: Courtroom Television Network, LLC d/b/a truTV 600 Third Avenue New York NY 10016 Under penalty of perjury we assert that IP-Echelon Pty. Ltd. is authorized to act on behalf of Courtroom Television Network, LLC, who is the copyright owner and/or owner of exclusive rights in such content identified below. We have become aware that an individual has utilized the IP address 193.239.142.6 at the recorded date and time below to download, host, and/or facilitate the downloading and/or streaming of video content that is exclusively owned by Courtroom Television Network, LLC. Such unauthorized distribution of Courtroom Television Network, LLC content without the express written authorization of Courtroom Television Network, LLC constitutes copyright infringement. This conduct may also violate the laws of other countries, international law, and/or treaty obligations. We have a good faith belief that the use of the copyrighted material identified below is not authorized by Courtroom Television Network, LLC, its agent, or the law. The title in question: Adam Ruins Everything As the owner of the IP address, we request that you immediately assist in removing and disabling access to the infringing material from your network. Additionally we request that you contact the subscriber who has engaged in the conduct described above and take further steps to prevent the subscriber from unauthorized future use and sharing of Courtroom Television Network, LLC content. We state, under penalty of perjury, that the information in this notification is accurate and that we are authorized to act on behalf of the owner of the exclusive right that is allegedly infringed herein. Nothing in this notice shall operate as a waiver of any rights, claims, or remedies available to Courtroom Television Network, LLC with respect to the infringement alleged herein. All such rights, claims, and remedies are hereby expressly reserved. We appreciate your attention to and cooperation with this notice. Please provide a prompt response specifying actions you have taken to resolve this matter. Do not hesitate to contact me with any questions. You may reach me via email at p2p@copyright.ip-echelon.com. Regards, Adrian Leatherland CEO IP-Echelon Email: p2p@copyright.ip-echelon.com Address: 6715 Hollywood Blvd, Los Angeles, 90028, United States - ------------- Infringement Details ---------------------------------- Title: Adam Ruins Everything Timestamp: 2016-11-26T12:28:02Z IP Address: 193.239.142.6 Port: 60716 Type: BitTorrent Torrent Hash: 29d377e53f2ad02f73ac72efdf1f9b0aaa8f9fc3 Filename: Adam.Ruins.Everything.S02.720p.HDTVRip.Rus.Eng.Ozz Filesize: 4126 MB - --------------------------------------------------------------------- Крім інформації, що зараз популярне на закачку через торент ці листи нічого не дають. Тому в пошті листи з copyright.ip-echelon.com фільтром перенаправляються на видалення . Відредаговано 2016-11-28 09:21:35 magamel Ссылка на сообщение Поделиться на других сайтах
fastvd 62 Опубліковано: 2016-11-28 10:21:36 Share Опубліковано: 2016-11-28 10:21:36 ну для 1 г трафика - какой нужно тазик чтобы отфильтровать вируснияк? для 2 г трафика? трафик я так понимаю сканится весь или только НАТ сетка? для Netflow-коллектора под трафик 5 гбит достаточно виртуалки: 2 ядра - Intel® Xeon® CPU E5345 @ 2.33GHz RAM - 4 ГБ диск - RAID 10 * SATA 7200 но хватило бы и меньше, сбор не занимает ресурсов вообще, ресурсы берут только выборки данных. так так..более мение ясно по ресурсам... ещё момент - зеркалить нужно все порты НАСов...имеется ввиду у нас конкретный пример: 3 НАСа, 2 НАСа имеют 2 сетевухи на вход\2 на выход, и 1 сервер 1 на вход\1 на выход...получается на выходе 5 сетевух, общая нагрузка около 2.5 Гб\с...получается мне этот сервер который будет слушать как включать - не зеркалировать на него же 2.5 гб трафика, а для этого ставить 10Г сетевуху и так далее...или есть вариант по красивей? Ссылка на сообщение Поделиться на других сайтах
Sоrk 47 Опубліковано: 2016-11-29 07:29:53 Share Опубліковано: 2016-11-29 07:29:53 ещё момент - зеркалить нужно все порты НАСов...имеется ввиду у нас конкретный пример: 3 НАСа, 2 НАСа имеют 2 сетевухи на вход\2 на выход, и 1 сервер 1 на вход\1 на выход...получается на выходе 5 сетевух, общая нагрузка около 2.5 Гб\с...получается мне этот сервер который будет слушать как включать - не зеркалировать на него же 2.5 гб трафика, а для этого ставить 10Г сетевуху и так далее...или есть вариант по красивей? для netflow не нужно зеркалить трафик, передается только информация о трафике (протокол, ip-src, ip-dst, port-src, port-dst, количество потоков, байт, значения некоторых битов заголовка), под FreeBSD можно сделать через IPCAD. для snort - да, лучше зеркалить и 10G сетевая. Ссылка на сообщение Поделиться на других сайтах
kdp 1 Опубліковано: 2016-12-07 13:50:46 Автор Share Опубліковано: 2016-12-07 13:50:46 с netflow думаю розбираться еще долго. нашел вот такую инструкцию для микротик http://forum.x-mu.net/topic18340s0.htmlи вот еще http://asp24.com.ua/blog/blokirovka-spam-polzovatelja-v-mikrotik/. ктото настраивал у себя? Ссылка на сообщение Поделиться на других сайтах
kdp 1 Опубліковано: 2016-12-08 08:07:55 Автор Share Опубліковано: 2016-12-08 08:07:55 вчера включил правило по етой инструкции http://forum.x-mu.net/topic18340s0.html- так за 15 минут собралась целая таблица и 2 свича упало, видно тчтото не учтено Ссылка на сообщение Поделиться на других сайтах
Melanxolik 63 Опубліковано: 2016-12-08 08:12:11 Share Опубліковано: 2016-12-08 08:12:11 А голова чтобы в неё пищу закидывать? Вы бы прежде чем копировать все подрят разобрали что делает каждый из пунктов. Ох млин и админчики пошли. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас