Ważny komunikat – DDOSy – kontynuacja.
W toku prowadzonej dalszej analizy zdarzeń z ostatnich kilkudziesięciu godzin możemy stwierdzić że:
Wczoraj 3.02.2014 od około godziny 12.00 do 18.00 następowało intensywne i szerokie skanowanie części sieci naszych uczestników (była to szersza akcja, obejmująca ogólnie polskie klasy adresowe).
Już wczoraj były też prowadzone pierwsze ataki na/z adresów na których znaleziono podatne usługi NTP/DNS.
W dniu dzisiejszym notujemy kolejne, ale bardziej ukierunkowane ataki, sprawdzając wyrywkowo ich adresy docelowe widać, iż są to precyzyjnie trafione niezabezpieczone hosty.
Analiza dzisiejszych zdarzeń wskazuje również, iż:
– daje się zauważyć, iż nasz poprzedni komunikat zmniejszył skalę ataków na adresy routerów i hostów usługowych naszych uczestników, niestety dalej zdarzają się niezabezpieczone,
– istotny udział jako źródła i cele mają obecnie adresy KLIENTóW naszych uczestników, czyli kolokacji, hostingów, ich routerów i firewalli czy nawet komputerów z zainstalowanym backdorami lub otwartymi podatnymi usługami.
Niestety, biorąc pod uwagę skalę ilości adresów IP do przeskanowania, aby ew. powiadomić Was o istnieniu zagrożenia, nie jesteśmy w stanie tego dokonać (aby zrobić to skutecznie zajęło by nam to kilka miesięcy, a i tak dane by były już nieaktualne).
Mamy uruchomione powiadomienia o zmianie charakterystyki ruchu, możemy więc na wasze życzenie reagować włączając BH dla atakowanych adresów, ale dopiero w sytuacjach, kiedy abusywny ruch wystąpi, nie jest to jednak rozwiązanie problemu.
Proponujemy bezzwłoczne, zewnętrzne skanowanie swoich podsieci pod kątem występowania na dostępnych z Internetu rzeczywistych adresach IP podatnych usług.
Napisz komentarz
Want to join the discussion?Feel free to contribute!