Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Ola pessoal to com um problema aqui, tenho um cliente que esta no ip 10.0.139.6, na casa tem um roteador da TP-Link, e ontem observando os logs no mikrotik encontrei um que acho ser um ataque massivo ao ip 31.13.85.87, ontem ele tava usando todas as portas UDP, ai fui e fiz uma regra na filter dropando todas as portas, para o cliente nao ficar totalmente sem internet.
    Para minha surpresa ele mudou o ataque de UDP para TCP em todas as portas, ai fiz outra regra negando apenas as portas 80 e 443.
    Para minha surpresa ele passou a ataque a porta 443, deixei so a 80, mesma coisa mudou para 80.
    Ai eu bloquiei o cliente em todas as portas.

    Resultado 2 horas depois me ligou que tava sem net.
    Segue print do log.
    Clique na imagem para uma versão maior

Nome:	         ataque SMTP cliente.jpg
Visualizações:	477
Tamanho: 	370,7 KB
ID:      	52692

    Agora vou mudar a senha do wifi dele, para ver se é o pc do vizinho, usando a net dele, ou pc dele mesmo.
    Mas agora vem minha duvida, ali no log fala SMTP, mas como bloquear isso no mikrotik ja ele testa varias portas em tcp e udp.

  2. Esse IP 31.13.85.87 é do facebook da Irlanda, consulte:
    http://cqcounter.com/whois/

    E a porta 443 é usada por páginas https.

    Qual o site https mais usado por usuario domestico? Duvido que seja o Google, mas sim o facebook.

    Deve ser jogo online ou qualquer besteira assim. Facebook video calling, fora outros plugins pro facebook (Ver visitantes no perfil, ver usuariAS do Tinder no meios dos seus contatos, essas bobeiras).

    Desconfie de qualquer complemento/addon nos navegador, na dúvida remove, especialmente se tiver o complemento GreaseMonkey instalado (Ele é um executador de scripts, ele não é o problema, mas sim um eventual script mal feito).

    Nesses casos gosto de rodar o RogueKiller ( http://www.adlice.com/softwares/roguekiller/ , todas as limpezas por precaução) e depois o Spybot 1.6 ( http://www.filehippo.com/download_sp..._destroy/5168/ , atualize antes de escanear) e o Mbam 1.75 ( http://www.filehippo.com/download_ma...malware/14815/ Também atualize antes de escanear), se for adware problemático, ou addons problemático nalgum navegador, um dos 3 vai encontrar.

    (Alias, acho que poderia ser o Avast, se tiver ele, porque ele instala plugin na placa de rede, a princípio só verifica os pacotes, não os altera, mas... é um programinha pra usuario muito leigo, não dá pra confiar muito nele, testa desativar temporariamente (OU entra em modo seguro com rede, mas eficiente ainda))



  3. Desculpem a falta de conhecimeto, mas qual o risco que esse ataque oferece? Quais os prejuízos que pode trazer para a rede? Qual seria a motivacao para realizar esse ataque?

  4. Pra mim parece erro de script ou plugin, ou mesmo alguns malware mal-feito, e não ataque.
    Atacar um servidor específico do Facebook do outro lado do mundo não faz sentido, ataque em massa pra ddos usa justamente plugins/addons mas não focam em servidor secundário como esse.



  5. O problema que depois que isso começou o meu ip ja esta em 4 blacklist, por SMTP ou Trojan.
    e quanto mais blacklist vc entra vc começa ater problemas, tenho aqui algumas empresas em minha rede e de acordo com os tecnicos dos sistemas que eles usam deixa de funcionar maquinas de cartão de credito, notas fiscais e outros serviços.






Tópicos Similares

  1. Respostas: 1
    Último Post: 08-06-2011, 08:50
  2. Respostas: 3
    Último Post: 28-09-2009, 10:24
  3. Mais de um cliente PPPoE nas mesma interface
    Por kleberbrasil no fórum Redes
    Respostas: 5
    Último Post: 28-06-2009, 07:25
  4. Respostas: 12
    Último Post: 12-06-2009, 10:44
  5. problema na rede nao sei o mais o que fazer?
    Por darlangomes no fórum Redes
    Respostas: 15
    Último Post: 24-05-2008, 23:47

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L