[Spy Вершины && S2X] атаки на сеть в прогрессе

Забрав какое-то странное поведение на моем узле в течение последних 3-х дней (соединения на 15 минут):

После выполнения некоторых исследований и запросов, похоже, я не только один пострадавших, т.е. есть нападение в ходе:

Там не так много, чтобы беспокоиться о в данный момент (мы собираем больше информации). Тем не менее, было бы лучше, чтобы остановить его раньше, чем позже. Для того, чтобы сделать что человек может либо заблокировать диапазон IP через IPtables временно, пока либо злоумышленник выбегает из средств или получает удалены, и / или сообщить о злоупотреблении Amazon.
Вот списки, что я был в состоянии собрать из моего собственного узла:

Обновление 10/01/2016:
Там, кажется, вторая волна этой атаки (см отбоя). Это не может быть атака DOS, и, таким образом, я назвал его как [Unknown]. Я также обновил нить (но это требует полного обновляет).

Я просто запретил их с помощью ядра. Через некоторое время другой партии, связанной, запретило их. Кажется, чтобы закрыть его. Интересно, сколько других узлов страдают от этого.

Цитата: sho_road_warrior от 20 мая 2016 года, 5:16:15 AM

Я не сделал, что только пока. Я пытаюсь собрать больше информации, но их постоянные отсоединяется не полезны. Если присмотреться, вы увидите, что количество пропускной способности, которую они проводят аналогично для всех узлов и <1 MB. Кроме того, интервал разъединения переподключение, кажется, 4559 минут точный ~~(Хотя я должен буду проверить это).~~

Обновление: Они отсоединять каждый после некоторых из них достигают ~ 59 минут соединения и все они разъединение одновременно (количество подключений сократилось с 86 до 45 в 1 секунду), после чего они начинают неизбежно переподключения.

Цитата: sho_road_warrior от 20 мая 2016 года, 5:16:15 AM

Я просто запретил их с помощью ядра.

Я сделал то же самое. Banned около 40 из них. Не видел больше всплывал еще.

Цитата: Холлидей на 20 мая 2016 года, 6:35:24 AM

Цитата: sho_road_warrior от 20 мая 2016 года, 5:16:15 AM

Я просто запретил их с помощью ядра.

Я сделал то же самое. Banned около 40 из них. Не видел больше всплывал еще.

Подождите 24 часа они вернутся (если не установлены более высокое время запрета на ядро). Список сегодняшний из IP-адресов ниже. Казалось, что они сохранили соединение, установленное больше [1]. Я рассматриваю только запрет на все Амазонке IP-адреса (уже запрещая / 16 подсеть в любом случае) в течение длительного времени. Главным образом потому, что я не могу заботиться об этом каждый день, или думать о более гладкого решения. Может не потребоваться, если Лауда (или кто-то другой) находит достаточно хороший образец для fail2ban сценария.

Код:

52.51.204.60
52.51.204.57
52.51.136.220
52.51.204.88
52.51.170.201
52.51.170.223
52.51.32.197
52.51.186.21
52.17.174.61
52.51.32.197
52.51.204.55
52.51.170.201
52.51.170.223
52.51.204.57
52.51.180.197
52.51.186.21
52.51.204.55
52.51.186.21
52.51.204.60
52.51.136.220
52.51.204.93
52.51.32.197
52.51.204.57
52.51.204.55
52.51.170.223
52.51.204.88
52.51.204.93
52.51.170.201
52.17.174.61
52.51.136.220
52.17.174.61
52.51.204.60
52.51.180.197
52.51.180.197
52.51.204.88
52.51.204.93

[1] http://i.imgur.com/a2xwmwR.png

Я никогда еще не получил ответа от Amazon. У меня не было времени, чтобы блокировать их просто еще на моем собственном узле. Я сделаю это позже, проверить более ли придумают.

Цитата: Шорена от 20 мая 2016 года, 12:24:06 PM

Главным образом потому, что я не могу заботиться об этом каждый день, или думать о более гладкого решения.
-snip-

Является ли список, который вы предоставили из собственного узла?

Цитата: Шорена от 20 мая 2016 года, 12:24:06 PM

Подождите 24 часа они вернутся (если не установлены более высокое время запрета на ядро).

Я запретил им в течение года.

Из-за некоторые причины, я должен был запретить их в программном обеспечении. Для того, чтобы запретить их в течение 1 месяца, необходимы следующие команды:

Код:

setban 51.17.174.61 добавить 2592000
setban 52.30.29.120 добавить 2592000
setban 52.30.204.116 добавить 2592000
setban 52.51.32.197 добавить 2592000
setban 52.51.136.220 добавить 2592000
setban 52.51.170.201 добавить 2592000
setban 52.51.170.223 добавить 2592000
setban 52.51.180.197 добавить 2592000
setban 52.51.186.21 добавить 2592000
setban 52.51.204.39 добавить 2592000
setban 52.51.204.55 добавить 2592000
setban 52.51.204.57 добавить 2592000
setban 52.51.204.60 добавить 2592000
setban 52.51.204.88 добавить 2592000
setban 52.51.204.93 добавить 2592000

Еще один появился после того, как:
setban 52.17.174.61 добавить 2592000

Если вы, ребята, увидеть больше, пожалуйста, дайте мне знать. Вот как это выглядит после запрета (обновлено):

Так что я думаю, именно поэтому мой узел был сбой ... Я не слежу за ней, так что я не удосужился проверить, что происходит, но я полагаю, именно это, так как это было безупречно работает в течение некоторого времени. Я восстановление blockchain сейчас, аварии сделали это пойти коррумпировано. Я буду о запру эти IP-адреса, и я буду видеть, если дела пойдут лучше.

Цитата: unamis76 от 20 мая 2016 года, 8:45:10 PM

Вы не должны на самом деле «не-монитор» ваш узел полностью. Вы должны по крайней мере проверить его время от времени, или добавлять уведомления по электронной почте для простоя (в случае, если у вас нет). Что касается ваших аварий узла беспокоит, «атака» не обязательно должна быть быть причиной этого. Она сводится к аппаратным средствам и операционной системе, что вы работаете в дополнении к скорости конфигурации и Интернета. Мой узел был «отлично», а только быть «вялой» иногда и не в состоянии проверить подлинность с помощью программного обеспечения, которое я использую.

котировка

Я буду о запру эти IP-адреса, и я буду видеть, если дела пойдут лучше.

Список, который я сделал с «setban», кажется эффективным. Я обновил фотографию на несколько минут назад.

Любые идеи о том, почему кто-то будет делать это? Что может быть достигнуто за этот asshats? Я не понимаю.

Цитата: glendall от 21 мая 2016 года, 12:13:35 AM

Любые идеи о том, почему кто-то будет делать это? Что может быть достигнуто за этот asshats? Я не понимаю.

Она сводится к тому, что они пытаются делать с этими узлами. Они могли бы быть возможно тестирование некоторые эксплуатируют или что-то (например, Bloom фильтр, как указано в ОП). Я не совсем уверен, что на данный момент, и там не так много информации о нем либо. Однако, кажется, что они не должны быть причинив большой ущерб (помимо сбоев несколько узлов), так что нет ничего страшного. Я все еще жду Amazon, чтобы связаться со мной назад.

У меня в узлах с той же проблемой. Есть около 30 соединений, которые начинаются с 52. Как я могу запретить их IP из командной строки?

Я перекрыл диапазон в брандмауэре. Интересно, что они делают ...

Могу ли я запретить диапазон IP с setban или я должен вручную запрета один за другим?

это диапазон IP и командные строки, чтобы запретить их в течение месяца

http://pastebin.com/puNC4uET

Цитата: glendall от 21 мая 2016 года, 12:13:35 AM

Любые идеи о том, почему кто-то будет делать это? Что может быть достигнуто за этот asshats? Я не понимаю.

Кажется, что кто-то пытается спровоцировать человек в запрет амазонку / облако услуги хостинга.
во всей честности. я вижу это как хорошая вещь. никто не должен быть запущен полный узел на Амазонке / облако хостинг в любом случае, поэтому, если он взял дерьмо DDoS пытаются побудить людей блокировать их, то в конечном счете, его хорошая вещь

Цитата: chek2fire от 21 мая 2016 года, 1:34:12 AM

Могу ли я запретить диапазон IP с setban или я должен вручную запрета один за другим?

Да, вы можете запретить целый ряд. Например (обеспечивается Шорена):

Код:

Bitcoin-кли setban 51.xx.0.0 / 16 добавить

Я специально выбрал одиночные запреты и период времени 1 месяц, чтобы увидеть ли еще будет отображаться с AWS IP-адресов, и они будут приняты вниз, то ли.

Цитата: Лауда от 20 мая 2016 года, 2:12:07 PM

-snip-
Является ли список, который вы предоставили из собственного узла?

Да, IP-адрес пришел из моего нового узла. Старый один, кажется, не имеют этой проблемы. Я думаю, что его потому, что его на его пределе связей в любом случае.

Цитата: franky1 от 21 мая 2016 года, 3:37:17 AM

Цитата: glendall от 21 мая 2016 года, 12:13:35 AM

Любые идеи о том, почему кто-то будет делать это? Что может быть достигнуто за этот asshats? Я не понимаю.

Может быть. Я обычно не люблю прямо забанить весь ISP (или хостера) только потому, что кто-то плохо себя. Их глупы форма отчета даже не раздел "(D) DoS" хотя и они specificially попросили отчетов об этом на щебет, но атаки продолжаются. Она сводится к моим приоритетам и иметь дело с атакой низкого воздействия очень низко на длинный список. Если есть новые связи завтра, я буду увеличивать время запрета, вероятно, до месяца и просто запретить весь диапазон IP амазонка. Я знаю, что есть законные полные узлы, работающие по Амазонке, но, как вы сказали, может быть, они не должны в первую очередь.

Почему бы работает полный узел на амазонок службы никаких проблем, если его законным? Если меня не хватает чего-то?

19 мая 2016, 9:12:59 PM	# 1
Лауда Сообщения: 1694 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Забрав какое-то странное поведение на моем узле в течение последних 3-х дней (соединения на 15 минут): После выполнения некоторых исследований и запросов, похоже, я не только один пострадавших, т.е. есть нападение в ходе: Там не так много, чтобы беспокоиться о в данный момент (мы собираем больше информации). Тем не менее, было бы лучше, чтобы остановить его раньше, чем позже. Для того, чтобы сделать что человек может либо заблокировать диапазон IP через IPtables временно, пока либо злоумышленник выбегает из средств или получает удалены, и / или сообщить о злоупотреблении Amazon. Вот списки, что я был в состоянии собрать из моего собственного узла: Восходящий по IP-адресу и отделены друг от версии клиента Список только IP-адресов (по возрастанию порядка) IP-адреса через запятую для отчета Пожаловаться Обновление 10/01/2016: Там, кажется, вторая волна этой атаки (см отбоя). Это не может быть атака DOS, и, таким образом, я назвал его как [Unknown]. Я также обновил нить (но это требует полного обновляет).

20 мая 2016, 5:16:15 AM	# 2
sho_road_warrior Сообщения: 115 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Получил 1806 Биткоинов Реальная история. Я просто запретил их с помощью ядра. Через некоторое время другой партии, связанной, запретило их. Кажется, чтобы закрыть его. Интересно, сколько других узлов страдают от этого.

20 мая 2016, 6:17:58 AM	# 3
Лауда Сообщения: 1694 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Цитата: sho_road_warrior от 20 мая 2016 года, 5:16:15 AM Я просто запретил их с помощью ядра. Через некоторое время другой партии, связанной, запретило их. Кажется, чтобы закрыть его. Интересно, сколько других узлов страдают от этого. Я не сделал, что только пока. Я пытаюсь собрать больше информации, но их постоянные отсоединяется не полезны. Если присмотреться, вы увидите, что количество пропускной способности, которую они проводят аналогично для всех узлов и <1 MB. Кроме того, интервал разъединения переподключение, кажется, 4559 минут точный ~~(Хотя я должен буду проверить это).~~ Обновление: Они отсоединять каждый после некоторых из них достигают ~ 59 минут соединения и все они разъединение одновременно (количество подключений сократилось с 86 до 45 в 1 секунду), после чего они начинают неизбежно переподключения.

20 мая 2016, 6:35:24 AM	# 4
Холлидей Сообщения: 980 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Цитата: sho_road_warrior от 20 мая 2016 года, 5:16:15 AM Я просто запретил их с помощью ядра. Я сделал то же самое. Banned около 40 из них. Не видел больше всплывал еще.

20 мая 2016, 12:24:06 PM	# 5
Шорена Сообщения: 1400 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Цитата: Холлидей на 20 мая 2016 года, 6:35:24 AM Цитата: sho_road_warrior от 20 мая 2016 года, 5:16:15 AM Я просто запретил их с помощью ядра. Я сделал то же самое. Banned около 40 из них. Не видел больше всплывал еще. Подождите 24 часа они вернутся (если не установлены более высокое время запрета на ядро). Список сегодняшний из IP-адресов ниже. Казалось, что они сохранили соединение, установленное больше [1]. Я рассматриваю только запрет на все Амазонке IP-адреса (уже запрещая / 16 подсеть в любом случае) в течение длительного времени. Главным образом потому, что я не могу заботиться об этом каждый день, или думать о более гладкого решения. Может не потребоваться, если Лауда (или кто-то другой) находит достаточно хороший образец для fail2ban сценария. Код: 52.51.204.60 52.51.204.57 52.51.136.220 52.51.204.88 52.51.170.201 52.51.170.223 52.51.32.197 52.51.186.21 52.17.174.61 52.51.32.197 52.51.204.55 52.51.170.201 52.51.170.223 52.51.204.57 52.51.180.197 52.51.186.21 52.51.204.55 52.51.186.21 52.51.204.60 52.51.136.220 52.51.204.93 52.51.32.197 52.51.204.57 52.51.204.55 52.51.170.223 52.51.204.88 52.51.204.93 52.51.170.201 52.17.174.61 52.51.136.220 52.17.174.61 52.51.204.60 52.51.180.197 52.51.180.197 52.51.204.88 52.51.204.93 [1] http://i.imgur.com/a2xwmwR.png

20 мая 2016, 2:12:07 PM	# 6
Лауда Сообщения: 1694 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Я никогда еще не получил ответа от Amazon. У меня не было времени, чтобы блокировать их просто еще на моем собственном узле. Я сделаю это позже, проверить более ли придумают. Цитата: Шорена от 20 мая 2016 года, 12:24:06 PM Главным образом потому, что я не могу заботиться об этом каждый день, или думать о более гладкого решения. -snip- Является ли список, который вы предоставили из собственного узла?

20 мая 2016, 4:16:31 PM	# 7
Холлидей Сообщения: 980 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Цитата: Шорена от 20 мая 2016 года, 12:24:06 PM Подождите 24 часа они вернутся (если не установлены более высокое время запрета на ядро). Я запретил им в течение года.

20 мая 2016, 7:44:36 PM	# 8
Лауда Сообщения: 1694 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Из-за некоторые причины, я должен был запретить их в программном обеспечении. Для того, чтобы запретить их в течение 1 месяца, необходимы следующие команды: Код: setban 51.17.174.61 добавить 2592000 setban 52.30.29.120 добавить 2592000 setban 52.30.204.116 добавить 2592000 setban 52.51.32.197 добавить 2592000 setban 52.51.136.220 добавить 2592000 setban 52.51.170.201 добавить 2592000 setban 52.51.170.223 добавить 2592000 setban 52.51.180.197 добавить 2592000 setban 52.51.186.21 добавить 2592000 setban 52.51.204.39 добавить 2592000 setban 52.51.204.55 добавить 2592000 setban 52.51.204.57 добавить 2592000 setban 52.51.204.60 добавить 2592000 setban 52.51.204.88 добавить 2592000 setban 52.51.204.93 добавить 2592000 Еще один появился после того, как: setban 52.17.174.61 добавить 2592000 Если вы, ребята, увидеть больше, пожалуйста, дайте мне знать. Вот как это выглядит после запрета (обновлено):

20 мая 2016, 8:45:10 PM	# 9
unamis76 Сообщения: 1386 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Так что я думаю, именно поэтому мой узел был сбой ... Я не слежу за ней, так что я не удосужился проверить, что происходит, но я полагаю, именно это, так как это было безупречно работает в течение некоторого времени. Я восстановление blockchain сейчас, аварии сделали это пойти коррумпировано. Я буду о запру эти IP-адреса, и я буду видеть, если дела пойдут лучше.

20 мая 2016, 11:55:44 PM	# 10
Лауда Сообщения: 1694 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Цитата: unamis76 от 20 мая 2016 года, 8:45:10 PM Так что я думаю, именно поэтому мой узел был сбой ... Я не слежу за ней, так что я не удосужился проверить, что происходит, но я полагаю, именно это, так как это было безупречно работает в течение некоторого времени. Я восстановление blockchain сейчас, аварии сделали это пойти коррумпировано. Вы не должны на самом деле «не-монитор» ваш узел полностью. Вы должны по крайней мере проверить его время от времени, или добавлять уведомления по электронной почте для простоя (в случае, если у вас нет). Что касается ваших аварий узла беспокоит, «атака» не обязательно должна быть быть причиной этого. Она сводится к аппаратным средствам и операционной системе, что вы работаете в дополнении к скорости конфигурации и Интернета. Мой узел был «отлично», а только быть «вялой» иногда и не в состоянии проверить подлинность с помощью программного обеспечения, которое я использую. котировка Я буду о запру эти IP-адреса, и я буду видеть, если дела пойдут лучше. Список, который я сделал с «setban», кажется эффективным. Я обновил фотографию на несколько минут назад.

21 мая 2016, 12:13:35 AM	# 11
glendall Сообщения: 952 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Любые идеи о том, почему кто-то будет делать это? Что может быть достигнуто за этот asshats? Я не понимаю.

21 мая 2016, 12:19:10 AM	# 12
Лауда Сообщения: 1694 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Цитата: glendall от 21 мая 2016 года, 12:13:35 AM Любые идеи о том, почему кто-то будет делать это? Что может быть достигнуто за этот asshats? Я не понимаю. Она сводится к тому, что они пытаются делать с этими узлами. Они могли бы быть возможно тестирование некоторые эксплуатируют или что-то (например, Bloom фильтр, как указано в ОП). Я не совсем уверен, что на данный момент, и там не так много информации о нем либо. Однако, кажется, что они не должны быть причинив большой ущерб (помимо сбоев несколько узлов), так что нет ничего страшного. Я все еще жду Amazon, чтобы связаться со мной назад.

21 мая 2016, 12:30:55 AM	# 13
chek2fire Сообщения: 1456 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе У меня в узлах с той же проблемой. Есть около 30 соединений, которые начинаются с 52. Как я могу запретить их IP из командной строки?

21 мая 2016, 1:15:23 AM	# 14
jacobmayes94 Сообщения: 364 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Я перекрыл диапазон в брандмауэре. Интересно, что они делают ...

21 мая 2016, 1:34:12 AM	# 15
chek2fire Сообщения: 1456 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Могу ли я запретить диапазон IP с setban или я должен вручную запрета один за другим?

21 мая 2016, 1:53:40 AM	# 16
chek2fire Сообщения: 1456 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе это диапазон IP и командные строки, чтобы запретить их в течение месяца http://pastebin.com/puNC4uET

21 мая 2016, 3:37:17 AM	# 17
franky1 Сообщения: 1890 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Цитата: glendall от 21 мая 2016 года, 12:13:35 AM Любые идеи о том, почему кто-то будет делать это? Что может быть достигнуто за этот asshats? Я не понимаю. Кажется, что кто-то пытается спровоцировать человек в запрет амазонку / облако услуги хостинга. во всей честности. я вижу это как хорошая вещь. никто не должен быть запущен полный узел на Амазонке / облако хостинг в любом случае, поэтому, если он взял дерьмо DDoS пытаются побудить людей блокировать их, то в конечном счете, его хорошая вещь

21 мая 2016, 8:34:04 AM	# 18
Лауда Сообщения: 1694 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Цитата: chek2fire от 21 мая 2016 года, 1:34:12 AM Могу ли я запретить диапазон IP с setban или я должен вручную запрета один за другим? Да, вы можете запретить целый ряд. Например (обеспечивается Шорена): Код: Bitcoin-кли setban 51.xx.0.0 / 16 добавить Я специально выбрал одиночные запреты и период времени 1 месяц, чтобы увидеть ли еще будет отображаться с AWS IP-адресов, и они будут приняты вниз, то ли.

21 мая 2016, 8:52:02 AM	# 19
Шорена Сообщения: 1400 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Цитата: Лауда от 20 мая 2016 года, 2:12:07 PM -snip- Является ли список, который вы предоставили из собственного узла? Да, IP-адрес пришел из моего нового узла. Старый один, кажется, не имеют этой проблемы. Я думаю, что его потому, что его на его пределе связей в любом случае. Цитата: franky1 от 21 мая 2016 года, 3:37:17 AM Цитата: glendall от 21 мая 2016 года, 12:13:35 AM Любые идеи о том, почему кто-то будет делать это? Что может быть достигнуто за этот asshats? Я не понимаю. Кажется, что кто-то пытается спровоцировать человек в запрет амазонку / облако услуги хостинга. во всей честности. я вижу это как хорошая вещь. никто не должен быть запущен полный узел на Амазонке / облако хостинг в любом случае, поэтому, если он взял дерьмо DDoS пытаются побудить людей блокировать их, то в конечном счете, его хорошая вещь Может быть. Я обычно не люблю прямо забанить весь ISP (или хостера) только потому, что кто-то плохо себя. Их глупы форма отчета даже не раздел "(D) DoS" хотя и они specificially попросили отчетов об этом на щебет, но атаки продолжаются. Она сводится к моим приоритетам и иметь дело с атакой низкого воздействия очень низко на длинный список. Если есть новые связи завтра, я буду увеличивать время запрета, вероятно, до месяца и просто запретить весь диапазон IP амазонка. Я знаю, что есть законные полные узлы, работающие по Амазонке, но, как вы сказали, может быть, они не должны в первую очередь.

21 мая 2016, 8:53:49 AM	# 20
jacobmayes94 Сообщения: 364 Цитировать по имени цитировать ответ	Re: [Spy Вершина S2X] Атака по сети в прогрессе Почему бы работает полный узел на амазонок службы никаких проблем, если его законным? Если меня не хватает чего-то?

Заголовок