Interrumpir los intentos de secureserver.net

Question

Interrumpir los intentos de secureserver.net

#1 de Tim Jonas (4 votos)
#2 de Adam Katz (3 votos)

5

En las últimas semanas he visto docenas, si no cientos de intentos de robo de direcciones IP que se asignan a secureserver.net. Sé que estas son las máquinas GoDaddy de quien está buscando. Algo parece estar pasando con su red de máquinas. Todos los días veo una máquina que intenta iniciar sesión a través de ssh como root, admin, etc. Bloqueo esas subredes IP y cada día aparece un nuevo lote en el registro.

No puedo encontrar un contacto de abuso para denunciarlo. Cuando los llamé, recibí un montón de basura del tipo que estaba en el otro extremo del teléfono y seguía pidiendo mi número de cuenta. No pude comunicarme con él que no era un cliente, pero me preocupaba que su red hubiera sido comprometida.

¿Alguien más ha notado un número inusual de interrupciones en los intentos de los servidores de GoDaddy? ¿Alguien sabe a quién debo informarle esto?

attacks ssh

pregunta Matt Mashyna 18.05.2015 - 21:29

fuente

2 respuestas

Lea otras preguntas en las etiquetas attacks ssh

Interceptar el tráfico SSL en la aplicación de Android Correo electrónico de recuperación para servicios de correo electrónico

score 4 · Answer 1

Muy extraño que los ataques vinieran de secureserver.net. Como cliente anterior de GoDaddy en el pasado, solo he visto el nombre de dominio utilizado para los servicios de correo. Referencia: enlace Preformaría un whois en la ip ofensiva e informaría el problema al consultor de soporte técnico / abuso. Esta información se encuentra en el informe de whois. Si no hay respuesta, lleve su queja a un proveedor de servicios de la lista negra y recibirá una respuesta.

Antes de usar cualquiera de los métodos anteriores, usaría este formulario para enviar una queja.

enlace

score 3 · Answer 2

Recomiendo Fail2ban para mitigar los ataques de inicio de sesión. Es una solución automatizada de código abierto y gratuita que no requiere configuración. para protegerse contra intentos de inicio de sesión SSH.

Si una IP intenta iniciar sesión con demasiada frecuencia (iirc, este es el valor predeterminado de 10 intentos en 10 minutos), Fail2ban le indicará al firewall del sistema que elimine el tráfico de esa IP durante un tiempo (iirc, por defecto, a 10 minutos). Fail2ban también busca sondas de exploits particulares y puede bloquearlas también.

Una vez que haya implementado una mitigación, puede trabajar para ayudar a otros trabajando para detener el problema en su origen. Comuníquese con el equipo de abuso de GoDaddy y cuénteles sobre el problema. Con suerte, pueden usar sus registros para rastrear el origen de su problema.

Vea también el incidente SSHPsychos , en el que Cisco Talos pudo correlacionar un tercio de todo el SSH mundial los barridos de inicio de sesión a una sola red, cuyo nivel de Comunicaciones del Nivel 3 efectivamente se desconectó de Internet. (Los ataques se reanudaron desde otra red, pero cada derribo es significativamente más costoso para los atacantes que para los defensores).