توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : BruteForce همزمان از آی پی های هم رنج
iHSG
May 21st, 2016, 11:39
سلام دوستان
اگر تعداد زیادی آی پی هم رنج به صورت همزمان حمله BruteForce بزنن این نشونه چی می تونه باشه؟
این آخرین لاگی هست که در دایرکت ادمین ثبت شده:
Brute-Force Attack detected in service log from IP(s) 155.133.82.66, 155.133.82.69, 155.133.82.70, 155.133.82.74, 155.133.82.75, 155.133.82.76, 155.133.82.92, 155.133.82.93, 155.133.82.99, 185.125.4.200
همانطور که می بینید آی پی ها فقط رقم های آخرشون به صورت پلکانی تغییر میکنه.
ظاهراً همه آی پی ها هم مال کشور لهستان (Poland) هستش.
هاست 97
May 21st, 2016, 12:07
رنج آی پی را از فایروال ببندید
155.133.82.0/24
hegza
May 21st, 2016, 12:11
سلام دوستان
اگر تعداد زیادی آی پی هم رنج به صورت همزمان حمله BruteForce بزنن این نشونه چی می تونه باشه؟
این آخرین لاگی هست که در دایرکت ادمین ثبت شده:
همانطور که می بینید آی پی ها فقط رقم های آخرشون به صورت پلکانی تغییر میکنه.
ظاهراً همه آی پی ها هم مال کشور لهستان (Poland) هستش.
نشونه اینه یکی داره با یک سرور و ساب نتی که داره به شما اتک میزنه
با روش دوستمون که در بالا گفتن ببندین رنج رو
mohashemi
May 21st, 2016, 12:11
بستن رنج آی پی می تواند مشکل را رفع کند ، اما توصیه می کنم اگر فایروال CSF استفاده می کنید در country Deny کلمه pl را اضافه کنید تا به صورت موقت دسترسی کل آی پی های لهستان قطع شود ، البته این کار کاملاً معقولی نیست اما ممکن هست رنج آی پی را تغییر دهند با این کار جلوی تغییر رنج اتک نیز گرفته خواهد شد ، بعد از چند روز می توانید مجدداً کشور لهستان را از country deny خارج کنید
iHSG
May 21st, 2016, 12:26
ممنون از همه دوستان الان دوباره همین رنج آی پی BruteForce زده که این بار رفتم تو پیامی که دایرکت ادمین داده فهمیدم ظاهراً BruteForce ها به سرویس Exim بوده:
A brute force attack has been detected in one of your service logs.
IP 155.133.82.66 has 10 failed login attempts: exim2=10
IP 155.133.82.69 has 10 failed login attempts: exim2=10
IP 155.133.82.70 has 12 failed login attempts: exim2=12
IP 155.133.82.74 has 11 failed login attempts: exim2=11
IP 155.133.82.75 has 11 failed login attempts: exim2=11
IP 155.133.82.76 has 11 failed login attempts: exim2=11
IP 155.133.82.93 has 10 failed login attempts: exim2=10
IP 155.133.82.99 has 10 failed login attempts: exim2=10
IP 185.125.4.200 has 17 failed login attempts: exim2=17
الان PL رو به بخش CC_DENY فایروال CSF اضافه کردم.
یعنی همه این حمله ها ممکنه از یه سرور باشه؟
hegza
May 21st, 2016, 12:27
ممنون از همه دوستان الان دوباره همین رنج آی پی BruteForce زده که این بار رفتم تو پیامی که دایرکت ادمین داده فهمیدم ظاهراً BruteForce ها به سرویس Exim بوده:
الان PL رو به بخش CC_DENY فایروال CSF اضافه کردم.
یعنی همه این حمله ها ممکنه از یه سرور باشه؟
طبیعتا همینطوره چون آی پی ها پشت سر هم هستند یک بلوک ساب نت رو سرور کانفیگ کرده
mohashemi
May 21st, 2016, 12:29
البته ممکن هست روی یک سرور کل آی پی ها ست شده باشد و یا از سرویس هایی نظیر network stresser استفاده کنند که در این حالت تعداد زیادی سرور در حال ارسال اتک روی سرور شما خواهد بود .
hegza
May 21st, 2016, 12:31
ضمنا میتونید به ایمیل زیر ابیوز بدین تا برخورد کنن باهاش
zfix@kartelnet.pl
iHSG
May 21st, 2016, 12:45
ضمنا میتونید به ایمیل زیر ابیوز بدین تا برخورد کنن باهاش
چطوری می تونم ایمیل ایبوز رو ارسال کنم؟
بعد مطمئنید اصلاً پیگیری میکنن؟
یه متن آماده دارید براش؟
بازم خیلی ممنون.
hegza
May 21st, 2016, 12:48
چطوری می تونم ایمیل ایبوز رو ارسال کنم؟
بعد مطمئنید اصلاً پیگیری میکنن؟
یه متن آماده دارید براش؟
بازم خیلی ممنون.
چیز خاصی نداره
شما ایمیل میدین و میگین از این رنج آی پی ها به سرور شما که آی پی رو هم میدین + یه اسکرین شات از لاگ سرور رو براشون ایمیل میدین همین.
حالا یا اتکر خودش صاحب آی پی ها هست که هیچ و اگر نباشه طبیعتا رسیدگی میکنه.
اما بهترین روش همون بستس رنج آی پی هاشه خودش بی خیال میشه
iHSG
May 21st, 2016, 13:33
چیز خاصی نداره
شما ایمیل میدین و میگین از این رنج آی پی ها به سرور شما که آی پی رو هم میدین + یه اسکرین شات از لاگ سرور رو براشون ایمیل میدین همین.
حالا یا اتکر خودش صاحب آی پی ها هست که هیچ و اگر نباشه طبیعتا رسیدگی میکنه.
اما بهترین روش همون بستس رنج آی پی هاشه خودش بی خیال میشه
ببخشید فقط یه سوال شما این ایمیل zfix@kartelnet.pl رو از کجا پیدا کردید؟
آخه من آی پی ها رو که Whois میگیرم نوشته:
% Abuse contact for '155.133.82.0 - 155.133.82.255' is 'artur@siubidubi.net'
بالاخره این ایمیل artur@siubidubi.net درسته یا اونی که شما دادید؟
- - - Updated - - -
یه چیز عجیب دیگه:
الان دیدم دایرکت ادمین آی پی خود سرور من رو که در آلمان است به عنوان حمله کننده BruteForce در لاگ ها ثبت کرده:
IP_SERVER has 3 failed login attempts: wordpress2=3
من تنظیم کردم حملات وردپرس هم شناسایی کنه الان میگه آی پی سرور من خودش 3 بار لاگین روی وردپرس یکی از یوزر ها داشته.
بعد رفتم تو BruteForce Monitor دیدم توضیحاتش رو این نوشته: