+ Responder ao Tópico



  1. #1

    Padrão O que é isso?

    Amigos, aí estao as conexoes do meu firewall

    Dessas 3400, 3000 sao praticamente do mesmo IP e com portas em sequencia (tipo: 1, 2, 3, ...). Isso seria alguma tentativa de hack? Ou tentativa de deixar o servidor lento? Abaixo segue a figura...

    http://img199.imageshack.us/img199/3696/problemamk.jpg

    Espero que vcs possam me ajudar!!

    Abraço.

  2. #2

    Padrão

    mais de 3000 entradas de http, acho meio improvavel, já que na hora que tirei a screen tinha só uns 15 clientes conectados, aproximadamente.

    só pra deixar mais claro... eu uso hotspot...

  3. #3
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Esse IP destino que está conectado é do The Planet, então acredito que seja algum cavalo de tróia em algum cliente seu que está "caçando ana" lá no serviço de hosting.

    Monitore quem é o cliente que está gerando isso. Veja que ninguém está te atacando... é o contrário, você (seu cliente) é quem está gerando essa pá de conexões.

  4. #4

    Padrão

    o pior que nao é meu cliente... o range do meu ip é 192.168.102.xxx...

    esse ip nao faz parte dos meus clientes

  5. #5

    Padrão

    Pelo que pude averiguar, esse ip 189.70.225.159 pertence à Telemar ( pode até ser da sua rede ai, não sei) e o outroIP é da The Planet, o que pode estar acontecendo é, se este ip 189 for seu, algum, cliente seu estar com o micro infectado por algum virus e o mesmo esta fazendo essas inumeras requisições http, muito provavelmente em algum script vulneravel de algum dominio hospedado na The Planet. Muitos malwares fazem uso deste tipo de infecção, aproveitando da fragilidade do script usado no formail do site, para espalhar spam.
    De uma boa analizada na sua rede que vc vai encontrar o culpado, muitas vezes o site atacado é do proprio dono do micro infectado, comece dando uma olhada se algum cliente seu tem site hospedado em alguma revenda da The Planet. Detalhe, isso deve ta deixando a sua rede muito lenta.

  6. #6

    Padrão

    seu ip 189.xxxx acessando o ip 74.xxxxx

    a src port randomiza deste jeito mesmo.. voce deve fazer um monitoramento na interface interna da sua rede e ver qual cliente esta causando isto...

    roda o TORCH na interface interna da sua rede.. e veja quem esta conectando neste ip !! no minimo um virus..

  7. #7

    Padrão

    achei o cliente que esta com o virus... avisei e bloqueei esse maldito ip :P

    agora estabilizou entre 150-300 entradas

    vamos ver no horario de pico agora!!

    obrigado mais uma vez.
    Última edição por Andr0x; 04-06-2009 às 11:34.

  8. #8

  9. #9

    Padrão

    cara, nao precisa perder a cabeça pensando como resolver isso, é simples
    da um drop nesse ip estranho e ta pronto.....

    para vc descobrir qual cliente esta acessando determinado ip é simples

    add uma regra dizendo
    tudo com destino ao ip 172...... marca no addreslist o endereço de origem

    ai todos os clientes q acessar o 172..... vai aparecer no address list. simples e facil...

  10. #10
    Moderador Avatar de minelli
    Ingresso
    Aug 2006
    Localização
    Pres. Venceslau - SP | Pres. Prudente - SP
    Posts
    1.412
    Posts de Blog
    10

    Padrão DROP

    Citação Postado originalmente por ederjohann Ver Post
    cara, nao precisa perder a cabeça pensando como resolver isso, é simples
    da um drop nesse ip estranho e ta pronto.....

    para vc descobrir qual cliente esta acessando determinado ip é simples

    add uma regra dizendo
    tudo com destino ao ip 172...... marca no addreslist o endereço de origem

    ai todos os clientes q acessar o 172..... vai aparecer no address list. simples e facil...
    Ao invez de drop de um Tarpit.