ابیوز ssdp در هتزنر

[OmidX]

سلام ، من امروز این ابیوز رو دریافت کردم ، پورت udp 1900 رو بلافاصله در روتر بستم ، سرور کاربر هم ساسپند شد ، پاسخ دیتاسنتر هم داده شده .

من فقط میخوام بدونم ، الان کاربر من دقیقا چه کار کرده ؟

کد:

Dear Sir or Madam,

the Simple Service Discovery Protocol (SSDP) is a network protocol
for advertisement and discovery of network services and presence
information. SSDP is the basis of the discovery protocol of
Universal Plug and Play (UPnP). SSDP usually uses port 1900/udp.


In the past months, systems responding to SSDP requests from the
Internet have been increasingly abused for participating in
DDoS reflection/amplification attacks.


The Shadowserver 'Open SSDP Scanning Project' identifies systems
responding to SSDP requests from the Internet which can be abused
for DDoS reflection/amplification attacks attacks if no further
countermeasures have been implemented.


Shadowserver provides CERT-Bund with the test results for IP addresses
hosted in Germany for notifying the owners of the affected systems.
Futher information on the tests run by Shadowserver is available
at [2].


Please find below a list of affected systems hosted on your network.
The timestamp (timezone UTC) indicates when the system was tested
and responded to SSDP requests from the Internet.


We would like to ask you to check this issue and take appropriate
steps to secure the SSDP services on the affected systems or
notify your customers accordingly.


If you have recently solved the issue but received this notification
again, please note the timestamp included below. You should not
receive any further notifications with timestamps after the issue
has been solved.


References:


[1] Wikipedia: Simple Service Discovery Protocol
    <http://de.wikipedia.org/wiki/Simple_Service_Discovery_Protocol>
[2] Shadowserver: Open SSDP Scanning Project
    <https://ssdpscan.shadowserver.org/>
[3] Arbor Networks: Zunahme von DDoS-Angriffen mittels SSDP
    <http://www.arbornetworks.com/news-and-events/press-releases/
     recent-press-releases/5283-arbor-networks-atlas-data-shows-
     reflection-ddos-attacks-continue-to-be-significant-in-q3-2014>
[4] Sucuri: Quick Analysis of a DDoS Attack Using SSDP
    <http://blog.sucuri.net/2014/09/quick-analysis-of-a-ddos-attack-
     using-ssdp.html>
[5] US-CERT: UDP-based Amplification Attacks
    <https://www.us-cert.gov/ncas/alerts/TA14-017A>




This message is digitally signed using PGP.
Details on the signature key used are available on our website at:
<https://www.cert-bund.de/reports-sig>


Please note:
This is an automatically generated message.
Replying to the sender address is not possible.
In case of questions, please contact <certbund@bsi.bund.de>.


- -----------------------------------------------------------------------


Affected systems on your network:


Format: ASN | IP address | Timestamp (UTC) | SSDP server
  xxx | xx..xx.xx.xx  | 2016-02-03 09:55:18 | Azureus/5.7.0.0 UPnP/1.0 Azureus/5.7.0.0


Kind regards
Team CERT-Bund


Bundesamt für Sicherheit in der Informationstechnik (BSI)
Federal Office for Information Security
Referat C21 - CERT-Bund
Godesberger Allee 185-189, D-53175 Bonn, Germany

[مینا-صیفی]

خیلی کار غیر حرفه ای انجام دادید با 1 اخطار سرویس مشتریتون را بستید هر کاری هم کرده باشه نباید میبستید بایستی خودتان مشکل را حل میکردید و حل میشد هیچی اگر تکرار میشد و حل نمیشد انوقت پیغام میدادید از طریق تیکت و ایمیل و اس ام اس به کاربر و اگر درست نمیکرد ان وقت میبستید نه اینکه بگیرید سرویس هم وطن خود را ببندید بد میگن خارجی ها با ایرانی ها بدن و میبندن فلان میکنند بسار ... به من هیچ ربطی نداره اما ناراحت کاربرتون شدم که اینطور رفتار کردید باهاشون . زبان هم فارسی هست میتونستید با هم به نتیجه ای برسید و حل کنید بدونه اینکه Down کنید .

[OmidX]

خیلی کار غیر حرفه ای انجام دادید با 1 اخطار سرویس مشتریتون را بستید هر کاری هم کرده باشه نباید میبستید بایستی خودتان مشکل را حل میکردید و حل میشد هیچی اگر تکرار میشد و حل نمیشد انوقت پیغام میدادید از طریق تیکت و ایمیل و اس ام اس به کاربر و اگر درست نمیکرد ان وقت میبستید نه اینکه درجا بگیرید سرویس هم وطن خود را ببندید بد میگن خارجی ها درجا با ایرانی ها بدن و میبندن فلان میکنند بسار ... به من هیچ ربطی نداره اما ناراحت کاربرتون شدم که اینطور رفتار کردید باهاشون . زبان هم فارسی هست میتونستید با هم به نتیجه ای برسید و حل کنید بدونه اینکه Down کنید .

هر آی پی ک براش ابیوز دریافت میشه ، باید مسئله در کمترین زمان پیگیری بشه ، دیتاسنتر های اروپایی یا‌ آمریکایی مثل ایران نیستن ک ب خاطر ناراحت شدن یا نشدن کاربر سرور رو ساسپند نکنن و کلا با کسی شوخی ندارن ، ما هم نمیتونیم ب خاطر یک آي آپی رو کل سرور ریسک کنیم ! (بقیه کاربران چه گناهی کردن ؟)

در ضمن فقط در شرایطی ک کاربر از سرور سؤ استفاده کنه یا ابیوز دریافت شه ، سرور رو ساسپند میکنیم و با کاربر تماس میگیرم ک توضیح بده ، شاید اصلا ویروس یا تروجان باعث این ابیوز شده باشه و خود کاربر بی تقصیر باشه ، ک در این شرایط ب کاربر وقت داده میشه مشکل رو حل کنه .


با تشکر ...

[cartman10mpi]

دوست عزیز ، با بستن سرور کاربر به نظر من اشتباه بزرگی انجام دادید . توضیح ابیوز به این شکل هست :
ابتدا Simple Service Discovery Protocol (SSDP) را برای شما معرفی کردند که پروتوکل یافت و انتشار خدمات شبکه ای هست . گفتند چون این پروتوکل اخیرا مورد سوء استفاده ی شدیدی توسط کسانی که قصد دی داس دارند شده ، The Shadowserver تستی رو انجام داده که در تمامی کشوری آلمان مشخص بشه که در کدوم ای پی های این کشور ،پورت این پروتوکل باز هست و سعی داشتند تا شما را در جریان این موضوع قرار دهند تا پورت رو ببندید .
در اینجا میبینید که مشتری شما مظنون به انجام هیچ گونه اقدامی نیست . فقط باید اون پورت رو ببندید و یا به مشتری اطلاع رسانی کنید تا ببندد تا در آینده از این پورت برای ارسال اتک های دی داس سوء استفاده نشود . این یک پیشگیری هست .

هر آی پی ک براش ابیوز دریافت میشه ، باید مسئله در کمترین زمان پیگیری بشه ، دیتاسنتر های اروپایی یا‌ آمریکایی مثل ایران نیستن ک ب خاطر ناراحت شدن یا نشدن کاربر سرور رو ساسپند نکنن و کلا با کسی شوخی ندارن ، ما هم نمیتونیم ب خاطر یک آي آپی رو کل سرور ریسک کنیم ! (بقیه کاربران چه گناهی کردن ؟)

در ضمن فقط در شرایطی ک کاربر از سرور سؤ استفاده کنه یا ابیوز دریافت شه ، سرور رو ساسپند میکنیم و با کاربر تماس میگیرم ک توضیح بده ، شاید اصلا ویروس یا تروجان باعث این ابیوز شده باشه و خود کاربر بی تقصیر باشه ، ک در این شرایط ب کاربر وقت داده میشه مشکل رو حل کنه .


با تشکر ...

حداقل ابتدا باید سعی بشه دید که موضوع ابیوز چه چیزیست ، بعد از اون باید به سرعت عمل بشه . در اینجا شما کاربرتون رو بی دلیل مسدود کردید .

من فقط میخوام بدونم ، الان کاربر من دقیقا چه کار کرده ؟

بنده خدا هیچ کاری نکرده

[مینا-صیفی]

هر آی پی ک براش ابیوز دریافت میشه ، باید مسئله در کمترین زمان پیگیری بشه ، دیتاسنتر های اروپایی یا‌ آمریکایی مثل ایران نیستن ک ب خاطر ناراحت شدن یا نشدن کاربر سرور رو ساسپند نکنن و کلا با کسی شوخی ندارن ، ما هم نمیتونیم ب خاطر یک آي آپی رو کل سرور ریسک کنیم ! (بقیه کاربران چه گناهی کردن ؟)

در ضمن فقط در شرایطی ک کاربر از سرور سؤ استفاده کنه یا ابیوز دریافت شه ، سرور رو ساسپند میکنیم و با کاربر تماس میگیرم ک توضیح بده ، شاید اصلا ویروس یا تروجان باعث این ابیوز شده باشه و خود کاربر بی تقصیر باشه ، ک در این شرایط ب کاربر وقت داده میشه مشکل رو حل کنه .


با تشکر ...

بله درسته من فکر کردم بدونه

اینکه به کاربر بگید موضوع را گرفتید بستید اگر این کارا نکردید که هیچ کرتون درسته .
معمولا هم اخطار ها 24ساعتی 48 ساعتی 12 ساعتی وقت دارن و خیلی خوبه که مسئولیت پذیر و مدیر هوشمند با پشتیبانی سریع هستید که پیگیری میکنید اما من منظورم اینه درجا و بدونه اطلاع کاربر نبندید و حتی اطلاع هم دادید در چند ساعات به دیتاسنتر مشکل حل میشه بدونه down کردن از سوی شما . انشالاه که مثله خیلی مشکلات دیگه زودتر حل بشه سرور کاربرتون .