DOTAZ: Open SNMP service used for an attack: 109.71.214.8 Vyřešeno

[fcelicka]

Dobrý den. Dnes jsem dostala e-mail od mého poskytovatele Internetu. Vůbec netuším, co tím autor myslel a co vlastně se po mně chce. Žádného ajťáka nemám, vše týkaje pc si dělám sama. Na tohle si netroufnu. Poradí mi někdo? Jenom zběžné info - žádnou síť nemám, mám jeden počítač a není propojen s žádným jiným PC, zmiňovaná IP adresa je moje....Viz mejl zde.....

Dobrý den,
přeposílám událost o odchycení nevhodného dat. streamu.
Pokud o problému nevíte, doporučuji kontrolu všech počítačů
ve vnitřní síti, případně pořešit s AjŤákem, který Vám spravuje vnitřní síť.

S pozdravem

Antonín Holub
administrátor sítě skvely.net



-------- Původní zpráva --------
Předmět: Open SNMP service used for an attack: 109.71.214.8
Datum: Tue, 20 May 2014 03:54:49 -0700
Od: NFOservers.com DDoS notifier <ddos-response@nfoservers.com>

Komu: admini@altnet.cz


You appear to be running an open SNMP server at IP address 109.71.214.8 that participated in an attack against a customer of ours today, generating large UDP responses to spoofed queries, with those responses becoming fragmented because of their size.

Please consider reconfiguring your SNMP system in one or more of these ways:

- Block queries made by unauthorized addresses. This can be done with an ACL or other firewall rule.
- Use a different query string than "public" and which cannot be easily guessed by a 3rd party.
- Disable SNMP entirely.

If you are an ISP, please also look at your network configuration and make sure that you do not allow spoofed traffic (that pretends to be from external IP addresses) to leave the network. Hosts that allow spoofed traffic make possible this type of attack.

Example SNMP responses sent to us by your device during the attack are given below.
Timestamps (far left) are PST (UTC-8), and the date is 2014-05-20.

02:02:14.749298 IP (tos 0x0, ttl 47, id 54035, offset 0, flags [+], proto UDP (17), length 1500) 109.71.214.8.161 > 192.223.24.x.80: UDP, length 4268
0x0000: 4500 05dc d313 2000 2f11 7680 6d47 d608 E......./.v.mG..
0x0010: c0df 184e 00a1 0050 10b4 e700 3082 10a8 ...N...P....0...
0x0020: 0201 0104 0670 7562 6c69 63a2 8210 9902 .....public.....
0x0030: 024e 4702 0100 0201 0030 8210 8b30 3d06 .NG......0...0=.
0x0040: 082b 0601 0201 0101 0004 314c 696e 7578 .+........1Linux
0x0050: 2032 .2

(The final octet of our customer's IP address is masked in the above output because some automatic parsers become confused when multiple IP addresses are included. The value of that octet is "78".)

-John
President
Nuclearfallout, Enterprises, Inc. (NFOservers.com)

(We're sending out so many of these notices, and seeing so many auto-responses, that we can't go through this email inbox effectively. If you have follow-up questions, please contact us at noc@nfoe.net.)

[Reklama]

[Madara]

Kontaktujte poskytovatele internetu. Ale i tak pochybuji o pravosti emailu. Asi někdo zjistil Vaši IP a e-mail a vydává se za poskytovatele. Vysvětluje to i ta čeština. I přes to bych poskytovatele kontaktoval.

[guest]

Jak píše kolega. Obraťte se na poskytovatele IT.

[petr22]

Nema cenu kontaktovat poskytovatele internetu, kdyz je to mail od nej.

Proste na tom pocitaci bezi SMTP server ktery rozesila spamy - takze to co je treba udelat je zlikvidovat ten virus ktery to dela.

Pokud na tom pocitaci skutecne bezi SMTP server, tak je treba ho zabezpecit aby neumoznoval anonymni odesilani z internetu.

[zeus]

SNMP neni SMTP. Zkontroluj PC na havet.

[petr22]

Pocitac i pripadny router.

[ITCrowd]

Router těžko zkontroluje. Tam pomůže restart do továrního nastavení.
Možná by pomohlo na PC nainstalovat WireShark a nechat ho zachytávat SNMP pakety. Snad by se našlo kdo a proč. Jinak kontrola PC samozřejmě neuškodí.

[petr22]

Tak router je tam urcite - a ma spustenou spravu z internetu (coz asi nebude vychozi nastaveni).........

[fcelicka]

Díky za všechny návrhy, zítra kontaktuji poskytovatele Internetu. Nechápu, doteď s tímto nikdy nebyl problém a navíc mám od neděle 18.5.2014 komplet nový počítač, takže tam je asi riziko nějaké havěti minimální, pokud jsem ihned po spuštění instalovala antivir. Díky moc!

[petr22]

Proc kontaktovat poskytovatele internetu? Ten te vyzval at vyresis problem na vlastnim pocitaci, z jehoz IP sel utok nekde na nejake herni servery.

Navic se na tvuj bezdratovy router da pripojit z venkovni site, coz by melo byt spravne blokovane.

[fcelicka]

Můžete mi prosím tedy někdo poradit, co přesně mám udělat proto, abych tento problém vyřešila? Nejsem žádný ajťák a žádného nemám. Díky.

[petr22]

Ja bych zacal tim, ze vyresetuju router do tovarniho nastaveni a jako prvni na nem zmenil jmeno administratora na neco jineho (misto admin treba domovnik) a nastavil tam nejake silene heslo obsahujici tecky a plusy. A pokud neni tato moznost vypnuta tak zakazat moznost pripojeni na spravu z internetu (v tuhle chvili se da pripojit).

Potom bych projel pocitac vsemi znamymi antiviry - nejlepe zkusebni verzi Kaspersky Antivirus a nainstaloval bych Malwarebytes Anti Malware a projel s tim cely pocitac. Ten email co poslal poskytovatel na 99% neni vymysleny, vsechny zminovane servery fyzicky existuji a patri zminovanym poskytovatelum pripojeni.

Podle toho mailu co poslali se podle me jedna o ten router a ne o pocitac, tam nejspis zadny vir nebude.