Re: Ataque SMTP na rede partindo de um cliente - o que fazer?
Já reparou se no log a porta no cliente é sempre a 60061?
Se for roteador TPLink pode ir no setuo em IP Filtering e bloquear (deny) o trafego nessa porta.
Se for mecher no roteador e trocar a senha do wifi aproveita e troca o servidor DNS do roteador e do pc, habilita firewall, vai em advance security pra habilitar e diminuir os limites pros diversos filtros de flood (Coloca algo tipo 1/4 dos valores atuais, só torrent e e2k MAL CONFIGURADOS (Excesso de configs simultaneas e tal) iria sofrer com valores baixos nessa config., eu uso valores bem baixos (ICMP=80, UDP=200, TCP-SYN=100) em casa e mesmo assim meu uTorrent baixa 1GB por dia, e meu ed2k quase isso, não afeta em nada a velocidade "conseguivel", afeta apenas o maldito default for noobs dos p2p)
Seria bom passar no PC do cliente o Mawarebytes antimalware, e/ou o Spybot Search and Destroy, parece algum malware. Software legítimo gastando tanto trafego é raro.
Re: Ataque SMTP na rede partindo de um cliente - o que fazer?
Olha a porta vinda do cliente muda sempre que faço drop nela no filter no mk.
Tava nessa 60061 fiz drop mudou, drop a outra mudou de novo, ai fiz drop negando a porta 80 e 443, ai ele mudou para a porta 80
O roteador é TP-Link, fui lá mudei a senha do wifi, e mesmo assim continuou, ai tinha 2 celular android e 1 not com win7, desligamos 1 celular diminuiu o ataque, desligou o outro mesma coisa, desligou o not parou o ataque.
Resultado, o not e os 2 celulares com android infectados com o mesmo virus, nada de navegador aberto antivirus desabilitado, nos 3 aparelhos, e ai: chegou a 20 ataques por segundo, em 6 endereços de ip diferentes e todos na porta 443.