¿Cómo puedo encontrar la fuente del tráfico que supuestamente proviene de mi dirección IP?

4

Tengo un problema que ha estado ocurriendo durante al menos 6 semanas.

Tengo Time Warner para mi proveedor de Internet y algunos sitios web alojados en GoDaddy.

Por lo que GoDaddy me dice, la razón por la que no puedo ver mis sitios web desde la oficina en casa y no puedo conectarme a su servidor FTP es debido a un ataque de fuerza bruta en su servidor FTP originado en mi dirección IP. Mi ISP cambió mi dirección IP y en 15 minutos GoDaddy me había bloqueado nuevamente porque su servidor FTP todavía estaba recibiendo el tráfico de ataque de fuerza bruta de mi nueva dirección IP.

Me di cuenta de que era un problema con GoDaddy, así que configuré una nueva cuenta de hosting con 1and1.com, pero después de 4 horas también estaban bloqueando mi dirección IP porque dicen que vieron demasiados intentos fallidos de inicio de sesión, al igual que GoDaddy tenía.

Entonces, cerré completamente mi equipo (2 veces) durante 8 horas durante la noche, e incluso desconecté el cable del módem y aún afirman que están viendo el tráfico de ataques proveniente de mi dirección IP. Ni Time Warner (mi ISP) ni GoDaddy parecen poder ayudarme a solucionar este problema. He ejecutado AVG, Malwarebytes y Rootkit, pero no se ha encontrado nada. GoDaddy me envió un rastro de WireShark y no vieron nada, pero no pueden ver los paquetes que llegan a su servidor FTP debido al volumen. Estoy en el nivel más alto de soporte en GoDaddy, Time Warner y 1and1.com, pero están desconcertados y siguen culpando a mi máquina incluso cuando la he cerrado.

Agradecería cualquier ayuda, ya que estoy a punto de dejar de crear sitios web debido a esto.

    
pregunta gary 26.04.2013 - 22:19
fuente

5 respuestas

6

En primer lugar, FTP es muy inseguro y nunca debe usarse para acceder a archivos autenticados. Le conviene a usted nunca usar ftp y siempre use SFTP o FTPS. Si un proveedor de servicios solo ofrece FTP, use un proveedor de servicios que realmente se preocupe por sus clientes.

El malware atacará el FTP al rastrear la red en busca de solicitudes de autenticación y utilizará esta propagación al infectar .html o los archivos de la aplicación web. Es probable que su máquina u otra máquina en su red estén infectadas y que estén realizando ataques utilizando su conexión.

    
respondido por el rook 26.04.2013 - 22:43
fuente
1

Cuando sacaste todos los dispositivos físicamente, ¿tu línea de teléfono o wifi-router (el que uses) también se desconectó? Si lo hizo y su IP anterior (y luego nueva) estuvo activa mientras no estaba conectado de ninguna manera, su descripción "podría" encajar en un ataque MITM (Man In The Middle) originado de (por ejemplo, ) un vecino que está físicamente "tocando el cable" .

    
respondido por el e-sushi 25.07.2013 - 05:29
fuente
0

El mejor consejo que puedo dar es dejar todo en línea y conectado a Internet, y hacer que Wireshark funcione en todos tus dispositivos durante muchas horas. Luego, realice una búsqueda de paquetes que tengan las direcciones IP de los servidores FTP como origen o dirección de destino.

¿Cuántos dispositivos hay en tu red? Parece que limpiaste tu propia computadora correctamente, pero ¿qué pasa con otras cosas? ¿Ordenadores portátiles, tabletas, teléfonos?

    
respondido por el Anorov 27.04.2013 - 00:23
fuente
0

Si hay algo en su máquina local, puede encontrarlo abriendo un indicador de comando y emitiendo:

netstat -ABN

Busque un proceso que se comunique con su proveedor a través del puerto 21.

    
respondido por el k1DBLITZ 26.07.2013 - 20:40
fuente
0

Una conexión de red barata y una computadora portátil de repuesto con wireshark deberían permitirle identificar exactamente de dónde proviene el tráfico.

Mueva el grifo alrededor de su red usando wireshark y un filtro para el puerto 21 y debería poder aislar la IP interna exacta y, por lo tanto, el dispositivo del que proviene el tráfico.

    
respondido por el Tim Brigham 27.07.2013 - 17:28
fuente

Lea otras preguntas en las etiquetas