Interrumpir los intentos de secureserver.net

5

En las últimas semanas he visto docenas, si no cientos de intentos de robo de direcciones IP que se asignan a secureserver.net. Sé que estas son las máquinas GoDaddy de quien está buscando. Algo parece estar pasando con su red de máquinas. Todos los días veo una máquina que intenta iniciar sesión a través de ssh como root, admin, etc. Bloqueo esas subredes IP y cada día aparece un nuevo lote en el registro.

No puedo encontrar un contacto de abuso para denunciarlo. Cuando los llamé, recibí un montón de basura del tipo que estaba en el otro extremo del teléfono y seguía pidiendo mi número de cuenta. No pude comunicarme con él que no era un cliente, pero me preocupaba que su red hubiera sido comprometida.

¿Alguien más ha notado un número inusual de interrupciones en los intentos de los servidores de GoDaddy? ¿Alguien sabe a quién debo informarle esto?

    
pregunta Matt Mashyna 18.05.2015 - 21:29
fuente

2 respuestas

3

Recomiendo Fail2ban para mitigar los ataques de inicio de sesión. Es una solución automatizada de código abierto y gratuita que no requiere configuración. para protegerse contra intentos de inicio de sesión SSH.

Si una IP intenta iniciar sesión con demasiada frecuencia (iirc, este es el valor predeterminado de 10 intentos en 10 minutos), Fail2ban le indicará al firewall del sistema que elimine el tráfico de esa IP durante un tiempo (iirc, por defecto, a 10 minutos). Fail2ban también busca sondas de exploits particulares y puede bloquearlas también.

Una vez que haya implementado una mitigación, puede trabajar para ayudar a otros trabajando para detener el problema en su origen. Comuníquese con el equipo de abuso de GoDaddy y cuénteles sobre el problema. Con suerte, pueden usar sus registros para rastrear el origen de su problema.

Vea también el incidente SSHPsychos , en el que Cisco Talos pudo correlacionar un tercio de todo el SSH mundial los barridos de inicio de sesión a una sola red, cuyo nivel de Comunicaciones del Nivel 3 efectivamente se desconectó de Internet. (Los ataques se reanudaron desde otra red, pero cada derribo es significativamente más costoso para los atacantes que para los defensores).

    
respondido por el Adam Katz 31.05.2015 - 01:17
fuente

Lea otras preguntas en las etiquetas