BruteForce همزمان از آی پی های هم رنج

سلام دوستان

اگر تعداد زیادی آی پی هم رنج به صورت همزمان حمله BruteForce بزنن این نشونه چی می تونه باشه؟

این آخرین لاگی هست که در دایرکت ادمین ثبت شده:

نقل قول:

---

Brute-Force Attack detected in service log from IP(s) 155.133.82.66, 155.133.82.69, 155.133.82.70, 155.133.82.74, 155.133.82.75, 155.133.82.76, 155.133.82.92, 155.133.82.93, 155.133.82.99, 185.125.4.200

---

همانطور که می بینید آی پی ها فقط رقم های آخرشون به صورت پلکانی تغییر میکنه.

ظاهراً همه آی پی ها هم مال کشور لهستان (Poland) هستش.

رنج آی پی را از فایروال ببندید

155.133.82.0/24

نقل قول:

---

نوشته اصلی توسط iHSG

سلام دوستان

اگر تعداد زیادی آی پی هم رنج به صورت همزمان حمله BruteForce بزنن این نشونه چی می تونه باشه؟

این آخرین لاگی هست که در دایرکت ادمین ثبت شده:



همانطور که می بینید آی پی ها فقط رقم های آخرشون به صورت پلکانی تغییر میکنه.

ظاهراً همه آی پی ها هم مال کشور لهستان (Poland) هستش.

---

نشونه اینه یکی داره با یک سرور و ساب نتی که داره به شما اتک میزنه
با روش دوستمون که در بالا گفتن ببندین رنج رو

بستن رنج آی پی می تواند مشکل را رفع کند ، اما توصیه می کنم اگر فایروال CSF استفاده می کنید در country Deny کلمه pl را اضافه کنید تا به صورت موقت دسترسی کل آی پی های لهستان قطع شود ، البته این کار کاملاً معقولی نیست اما ممکن هست رنج آی پی را تغییر دهند با این کار جلوی تغییر رنج اتک نیز گرفته خواهد شد ، بعد از چند روز می توانید مجدداً کشور لهستان را از country deny خارج کنید

ممنون از همه دوستان الان دوباره همین رنج آی پی BruteForce زده که این بار رفتم تو پیامی که دایرکت ادمین داده فهمیدم ظاهراً BruteForce ها به سرویس Exim بوده:

نقل قول:

---

A brute force attack has been detected in one of your service logs.

IP 155.133.82.66 has 10 failed login attempts: exim2=10
IP 155.133.82.69 has 10 failed login attempts: exim2=10
IP 155.133.82.70 has 12 failed login attempts: exim2=12
IP 155.133.82.74 has 11 failed login attempts: exim2=11
IP 155.133.82.75 has 11 failed login attempts: exim2=11
IP 155.133.82.76 has 11 failed login attempts: exim2=11
IP 155.133.82.93 has 10 failed login attempts: exim2=10
IP 155.133.82.99 has 10 failed login attempts: exim2=10
IP 185.125.4.200 has 17 failed login attempts: exim2=17

---

الان PL رو به بخش CC_DENY فایروال CSF اضافه کردم.

یعنی همه این حمله ها ممکنه از یه سرور باشه؟

نقل قول:

---

نوشته اصلی توسط iHSG

ممنون از همه دوستان الان دوباره همین رنج آی پی BruteForce زده که این بار رفتم تو پیامی که دایرکت ادمین داده فهمیدم ظاهراً BruteForce ها به سرویس Exim بوده:



الان PL رو به بخش CC_DENY فایروال CSF اضافه کردم.

یعنی همه این حمله ها ممکنه از یه سرور باشه؟

---

طبیعتا همینطوره چون آی پی ها پشت سر هم هستند یک بلوک ساب نت رو سرور کانفیگ کرده

البته ممکن هست روی یک سرور کل آی پی ها ست شده باشد و یا از سرویس هایی نظیر network stresser استفاده کنند که در این حالت تعداد زیادی سرور در حال ارسال اتک روی سرور شما خواهد بود .

ضمنا میتونید به ایمیل زیر ابیوز بدین تا برخورد کنن باهاش

نقل قول:

---

zfix@kartelnet.pl

---

نقل قول:

---

نوشته اصلی توسط hegza

ضمنا میتونید به ایمیل زیر ابیوز بدین تا برخورد کنن باهاش

---

چطوری می تونم ایمیل ایبوز رو ارسال کنم؟
بعد مطمئنید اصلاً پیگیری میکنن؟

یه متن آماده دارید براش؟

بازم خیلی ممنون.

نقل قول:

---

نوشته اصلی توسط iHSG

چطوری می تونم ایمیل ایبوز رو ارسال کنم؟
بعد مطمئنید اصلاً پیگیری میکنن؟

یه متن آماده دارید براش؟

بازم خیلی ممنون.

---

چیز خاصی نداره
شما ایمیل میدین و میگین از این رنج آی پی ها به سرور شما که آی پی رو هم میدین + یه اسکرین شات از لاگ سرور رو براشون ایمیل میدین همین.
حالا یا اتکر خودش صاحب آی پی ها هست که هیچ و اگر نباشه طبیعتا رسیدگی میکنه.

اما بهترین روش همون بستس رنج آی پی هاشه خودش بی خیال میشه