Mirando casualmente mis conexiones en el router veo
La primera IP no me es familiar hacia mi ip pública, la segunda es la de mi pc.
Además, en log veo:
Tengo una regla de firewall que dropea ICMP
Lo que veo es un ataque a mi ip pública?
Gracias de antemano
Si es solo un acceso puede ser un simple escaneo de IPs.
En el log se hace bastante pesado...
Es sólo un pequeño fragmento, por no editar la tira de líneas que no aportan nada al caso
¿ICMPs? Lo puedes obviar directamente. No sé si has tenido algún servidor o vps alguna vez, pero la cantidad de intentos de entrar por ssh, brute force del servidor smtp, escaneos de vulnerabilidades de CMS, etc, etc, es continuo.
Nunca he tenido ningún tipo de servidor ni similares; he sido victima de un ataque hace un par de meses, pero nada mas
La cosa no mejora, ahora con un viejo conocido, Azure
Y sigue 18 minutos más con la frec de 4 segundos
Microsoft es tu hamijo
Puse 3 reglas al firewall para drops al icmp para que ignore todo lo que esté fuera de la red, a ver si así mejora la cosa
Fijándome un poco, veo que es Windows quien se intenta conectar con Azure, que proceso de Windows se conecta con Azure? con que fin? como eliminarlo?
Yo tengo AWS no Azure
Tan fácil como bloquearlo en el firewall... Pero si te vas a poner en ese modo de bloquear todo lo que te te intente conectar, vas a estar meses añadiendo ip's a la lista xD
Eso es in PC tuyo haciendo ping al exterior.
Te sale en el log porque has bloqueado todo el icmp
Aquí habría que definir 'ataque'. Recibir varios paquetes de porquería de Internet es habitual, en principio no llegaría a la categoría de ataque mientras no degrade o impida el servicio.
Hace muchos años monté un Redhat Linux en casa con varios servicios, estaba conectado a Internet con un módem de 56k y entre otras cosas hacía de router (NAT), firewall y tenía un servidor smtp con el que me había creado un correo propio con no-ip.com. Cuando lo común eran cuentas de 1 a 5 Mb yo tenía esta sin límite con varios gigas de disco duro, jeje. Pues bien, ese Linux traía una utilidad de logs que cada día analizaba los logs del sistema y me enviaba un correo con las cosas inusuales que detectaba y era interesante ver varios intentos diarios de envío de correos spam a cuentas de Hotmail, yahoo, etc. Por supuesto mi servidor estaba finamente configurado y lo denegaba, 'relaying not permitted' decía.
El primer día estuve revisando todo tipo de intentos de conexión del exterior, pings, escaneos de puertos, de todo. Esto venía más acentuado porque ejecutaba un cliente de emule (mlnet) así que deduje que los hackers sacaban IPs de estas redes. Al segundo día puse que lo tirara todo sin registrar, menudo tostón de listados. Solo me quedé con los logs del smtp porque me resultaba curioso ver los intentos y las direcciones destino que ponían y normalmente no pasaban de varios al día. El spammer típico intentaba el envío a una dirección y al recibir error no se sabía más de él. Pero había veces que el mismo ti@ (imagino que era un programa) iba insistiendo durante un rato con lo que parecía un listado de direcciones secuencial (jgarcia21@...com, jgarcia3322@...com, jgarcias99@...com, jgarciazz@...com), así un rato recibiendo el mismo error en cada una.
Yo creo que si un ordenador está apagado no debe de enviar datos "ping" a ninguna parte como me ocurre
Esto son registro de ayer; yo ayer no he usado ningún pc en esta red
Pero al parecer este pc apagado si se ha comunicado - o ha hecho ping - con una ip externa completamente ajena a mi; lo cual no entiendo, lo siento
El ping a la primera IP es casi seguro el Microsoft Feeds Synchronization y la segunda IP es algo de Akamai.
Windows haciendo sus cosas.
