Odchozí útoky z mé veřejné IP - co dělat?

Problematika administrace LAN či WIFI sítí

Moderátor: Mods_senior

Uživatelský avatar
strangereu
Level 4.5
Level 4.5
Příspěvky: 1624
Registrován: září 11
Bydliště: Birmingham, United Kingdom
Pohlaví: Muž

Odchozí útoky z mé veřejné IP - co dělat?

Příspěvekod strangereu » 16 srp 2018 10:59

Ahoj,
pár dní zpět jsem od svého poskytovatele internetu obdržel email, že z mé IP adresy dochází k útokům na servery Sony a že můžu mít buď zavirovaný PC nebo router...
Na PC mám čistou instalaci W10, kde mám Skype, Chrome, Xampp a dvě hry.

Co se routeru týče, tak mám starý TP-Link a na něm aktivní všechny ochrany, které umožňuje, avšak využívám DMZ pro jedno z lokálních zařízení.

Je možné tomuto nějak předejít, aby se to nemohlo opakovat? V současné době jsem byl nucen do routeru nastavit opět neveřejnou IP a veřejná IP mi leží ladem, než se mi problém povede vyřešit.

Vážený kliente,
jako Váš poskytovatel připojení do internetu jsme byli upozorněni zavirovaný PC nebo router, v případě opakování incidentu může být přípojka na základě VOP omezena.

Jedná se o následující obsah:

To whom it may concern,

Pursuant to Sony Interactive Entertainment LLC ("SIE") corporate policy, the below IP addresses were blacklisted from using our services because SIE detected activity that is abusive to our network services. In our determination, the abusive activity was not related to velocity or volume (many users behind the same IP address, i.e. NAT), but matched the specific patterns of known abuse of our publicly available services. This abuse may be the result of a computer on your network that has been compromised and is participating in a botnet abuse of our services.

The following table of IP addresses, dates and times should help you correlate the origin of the abusive activity. The time stamps are approximate from our logs. The actual timing of the events depend on the signature matched. It is very likely to have occurred both before, during and following the times listed.

Approximate Time Range (UTC), IP Address, Reason

2018-08-11 18:33:00 ~ 2018-08-11 19:33:00 (UTC), (ip skrytá), Account Takeover Attempts


It is most likely the attack traffic is directed at one of the following endpoints:

account.sonyentertainmentnetwork.com
auth.api.sonyentertainmentnetwork.com

These endpoints on our network are resolved by Geo DNS, so the IP addresses they resolve to will depend on the originating IP address.

The destination port will be TCP 443.

Please take the necessary measures to correct the malicious activity from the above-listed IP addresses as soon as possible to avoid any further disruptions. If we were to remove any of these IP addresses from the blacklist and subsequent abusive activity is detected, the IP address will be promptly blacklisted again.


We thank you for your prompt attention to this matter. If you require assistance or additional information please contact snei-noc-abuse@am.sony.com and include the IP address in question.

Thank you

Děkujeme za pochopení a spolupráci.
Technik / Technician
NOC Network Operation Center


Back-end webdeveloper

Reklama
Uživatelský avatar
ITCrowd
Tvůrce článků
Elite Level 11.5
Elite Level 11.5
Příspěvky: 15230
Registrován: březen 10
Pohlaví: Muž

Re: Odchozí útoky z mé veřejné IP - co dělat?

Příspěvekod ITCrowd » 16 srp 2018 11:39

Budeš potřebovat absolutně čistý počítač. To, žes ty wokna nedávno instaloval, neznamená, že už tam nějaká havěť nesedí.
Na ten čistý počítač nainstaluj wireshark, nech naslouchat provoz na své síti a zkontroluj, zda nějaké ze zařízení nechodí na ty uvedené adresy, popřípadě nech filtrovat podle portu 443.
Pokud to bude negativní, pak zkus vyměnit router za jiný.
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem

Uživatelský avatar
strangereu
Level 4.5
Level 4.5
Příspěvky: 1624
Registrován: září 11
Bydliště: Birmingham, United Kingdom
Pohlaví: Muž

Re: Odchozí útoky z mé veřejné IP - co dělat?

Příspěvekod strangereu » 21 srp 2018 19:48

Omlouvám se, že reaguji až teď, ale mám jednu otázku ohledně toho Wireshark.

Wireshark jsem stáhnul, nainstaloval a zapnul monitoring, ale vrtá mi hlavou jedna věc...
Pokud dosavadní útoky odcházely z portu 443, který je v xamppu zapnutý současně s 80 pro Apache, tak jak mohu vidět, resp. odhalit, co je útok a co je normální traffic?
Protože, (myslím) když někdo otevře můj web, tak bude automaticky vidět moje IP a jeho IP jako target, protože on v podstatě poslal žádost o stažení dat z mého serveru, tedy jeho IP je target, ale jak by to vypadalo u útoku?
Pokud vím, tak by tam byl taky nějaký určitý target a to by mohl být buď normální uživatel, který otevřel web nebo nějaký napadený server. Ale jak toto rozlišit?

A pokud tento test bude pozitivní a uvidím/odhalím dotyčného, tak co se v takových případech dá dělat? Blokování přístupu z IP dle mého není řešení, neboť použít VPN není nic složitého.

E: Nastavení security v routeru:
router security.png
Nemáte oprávnění prohlížet přiložené soubory.
Back-end webdeveloper

Uživatelský avatar
ITCrowd
Tvůrce článků
Elite Level 11.5
Elite Level 11.5
Příspěvky: 15230
Registrován: březen 10
Pohlaví: Muž

Re: Odchozí útoky z mé veřejné IP - co dělat?

Příspěvekod ITCrowd » 22 srp 2018 21:19

ITCrowd píše:Budeš potřebovat absolutně čistý počítač. To, žes ty wokna nedávno instaloval, neznamená, že už tam nějaká havěť nesedí.
Na ten čistý počítač nainstaluj wireshark, nech naslouchat provoz na své síti a zkontroluj, zda nějaké ze zařízení nechodí na ty uvedené adresy, popřípadě nech filtrovat podle portu 443.
Pokud to bude negativní, pak zkus vyměnit router za jiný.

=> hledáme pakety, které chodí od tebe na ty udané adresy. Pokud chodí jinam bude to normální provoz.
Útočník jsi v tomto případě ty. Zablokována může být tvá ip adresa.
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem


  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Výběr routeru pro veřejné prostranství
    od teichmann.ondrej » 16 zář 2018 21:56 » v Sítě - hardware
    6
    584
    od petr22
    17 zář 2018 08:29
  • Změna veřejné sítě na privátní
    od petr.sadek » 30 črc 2018 08:45 » v Vše ostatní (inet)
    2
    646
    od RIKI22
    30 črc 2018 15:29
  • Z mého PC nemohu přistupovat k mé veřejné IP, proč?
    od strangereu » 17 kvě 2018 14:55 » v Sítě - hardware
    15
    1533
    od ITCrowd
    04 čer 2018 09:48
  • Nelze se připojit k veřejné wifi (Samsung Galaxy S5 mini)
    od CrofoCZ123 » 26 srp 2018 22:47 » v Mobily, tablety a jiná přenosná zařízení
    2
    530
    od CrofoCZ123
    26 srp 2018 23:31
  • BSOF 0x00000f4 prosím pomoc nevím co mám dělat
    od Frytolcz » 31 bře 2018 17:04 » v BSOD (Blue Screen Of Death)
    6
    596
    od mmmartin
    31 bře 2018 20:51

Zpět na “Administrace sítě”

Kdo je online

Uživatelé prohlížející si toto fórum: CommonCrawl [Bot] a 0 hostů