Ataque SMTP na rede partindo de um cliente - o que fazer?

[edmarmega]

Ola pessoal to com um problema aqui, tenho um cliente que esta no ip 10.0.139.6, na casa tem um roteador da TP-Link, e ontem observando os logs no mikrotik encontrei um que acho ser um ataque massivo ao ip 31.13.85.87, ontem ele tava usando todas as portas UDP, ai fui e fiz uma regra na filter dropando todas as portas, para o cliente nao ficar totalmente sem internet.
Para minha surpresa ele mudou o ataque de UDP para TCP em todas as portas, ai fiz outra regra negando apenas as portas 80 e 443.
Para minha surpresa ele passou a ataque a porta 443, deixei so a 80, mesma coisa mudou para 80.
Ai eu bloquiei o cliente em todas as portas.

Resultado 2 horas depois me ligou que tava sem net.
Segue print do log.


Agora vou mudar a senha do wifi dele, para ver se é o pc do vizinho, usando a net dele, ou pc dele mesmo.
Mas agora vem minha duvida, ali no log fala SMTP, mas como bloquear isso no mikrotik ja ele testa varias portas em tcp e udp.

[rubem]

Esse IP 31.13.85.87 é do facebook da Irlanda, consulte:
http://cqcounter.com/whois/

E a porta 443 é usada por páginas https.

Qual o site https mais usado por usuario domestico? Duvido que seja o Google, mas sim o facebook.

Deve ser jogo online ou qualquer besteira assim. Facebook video calling, fora outros plugins pro facebook (Ver visitantes no perfil, ver usuariAS do Tinder no meios dos seus contatos, essas bobeiras).

Desconfie de qualquer complemento/addon nos navegador, na dúvida remove, especialmente se tiver o complemento GreaseMonkey instalado (Ele é um executador de scripts, ele não é o problema, mas sim um eventual script mal feito).

Nesses casos gosto de rodar o RogueKiller ( http://www.adlice.com/softwares/roguekiller/ , todas as limpezas por precaução) e depois o Spybot 1.6 ( http://www.filehippo.com/download_sp..._destroy/5168/ , atualize antes de escanear) e o Mbam 1.75 ( http://www.filehippo.com/download_ma...malware/14815/ Também atualize antes de escanear), se for adware problemático, ou addons problemático nalgum navegador, um dos 3 vai encontrar.

(Alias, acho que poderia ser o Avast, se tiver ele, porque ele instala plugin na placa de rede, a princípio só verifica os pacotes, não os altera, mas... é um programinha pra usuario muito leigo, não dá pra confiar muito nele, testa desativar temporariamente (OU entra em modo seguro com rede, mas eficiente ainda))

[SantiagoMG]

Desculpem a falta de conhecimeto, mas qual o risco que esse ataque oferece? Quais os prejuízos que pode trazer para a rede? Qual seria a motivacao para realizar esse ataque?

[rubem]

Pra mim parece erro de script ou plugin, ou mesmo alguns malware mal-feito, e não ataque.
Atacar um servidor específico do Facebook do outro lado do mundo não faz sentido, ataque em massa pra ddos usa justamente plugins/addons mas não focam em servidor secundário como esse.

[edmarmega]

O problema que depois que isso começou o meu ip ja esta em 4 blacklist, por SMTP ou Trojan.
e quanto mais blacklist vc entra vc começa ater problemas, tenho aqui algumas empresas em minha rede e de acordo com os tecnicos dos sistemas que eles usam deixa de funcionar maquinas de cartão de credito, notas fiscais e outros serviços.

[rubem]

Já reparou se no log a porta no cliente é sempre a 60061?
Se for roteador TPLink pode ir no setuo em IP Filtering e bloquear (deny) o trafego nessa porta.
Se for mecher no roteador e trocar a senha do wifi aproveita e troca o servidor DNS do roteador e do pc, habilita firewall, vai em advance security pra habilitar e diminuir os limites pros diversos filtros de flood (Coloca algo tipo 1/4 dos valores atuais, só torrent e e2k MAL CONFIGURADOS (Excesso de configs simultaneas e tal) iria sofrer com valores baixos nessa config., eu uso valores bem baixos (ICMP=80, UDP=200, TCP-SYN=100) em casa e mesmo assim meu uTorrent baixa 1GB por dia, e meu ed2k quase isso, não afeta em nada a velocidade "conseguivel", afeta apenas o maldito default for noobs dos p2p)

Seria bom passar no PC do cliente o Mawarebytes antimalware, e/ou o Spybot Search and Destroy, parece algum malware. Software legítimo gastando tanto trafego é raro.

[edmarmega]

Olha a porta vinda do cliente muda sempre que faço drop nela no filter no mk.
Tava nessa 60061 fiz drop mudou, drop a outra mudou de novo, ai fiz drop negando a porta 80 e 443, ai ele mudou para a porta 80

O roteador é TP-Link, fui lá mudei a senha do wifi, e mesmo assim continuou, ai tinha 2 celular android e 1 not com win7, desligamos 1 celular diminuiu o ataque, desligou o outro mesma coisa, desligou o not parou o ataque.

Resultado, o not e os 2 celulares com android infectados com o mesmo virus, nada de navegador aberto antivirus desabilitado, nos 3 aparelhos, e ai: chegou a 20 ataques por segundo, em 6 endereços de ip diferentes e todos na porta 443.