Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

¿Posible ataque a mi IP pública?

Solospam

Mirando casualmente mis conexiones en el router veo

imagen.png

La primera IP no me es familiar hacia mi ip pública, la segunda es la de mi pc.

Además, en log veo:

imagen.png

Tengo una regla de firewall que dropea ICMP

Lo que veo es un ataque a mi ip pública?

Gracias de antemano

BocaDePez
BocaDePez

Si es solo un acceso puede ser un simple escaneo de IPs.

🗨️ 3
Solospam

En el log se hace bastante pesado...

imagen.png

Es sólo un pequeño fragmento, por no editar la tira de líneas que no aportan nada al caso

🗨️ 2
vukits

la cuestión, hace cuanto que adquiriste esta IP pública.

A ver si estos ICMP estaban dirigidos al usuario anterior de la IP

🗨️ 1
Solospam

Esa ip puede estar desde el fin de semana, donde desconectamos todo para cablear como es debido, pero claro tampoco tengo garantías de ese dato

finn
1

¿ICMPs? Lo puedes obviar directamente. No sé si has tenido algún servidor o vps alguna vez, pero la cantidad de intentos de entrar por ssh, brute force del servidor smtp, escaneos de vulnerabilidades de CMS, etc, etc, es continuo.

🗨️ 1
Solospam

Nunca he tenido ningún tipo de servidor ni similares; he sido victima de un ataque hace un par de meses, pero nada mas

Solospam

La cosa no mejora, ahora con un viejo conocido, Azure

sin-titulo.png

Y sigue 18 minutos más con la frec de 4 segundos

🗨️ 8
bios
1

Microsoft es tu hamijo

🗨️ 1
Solospam

Puse 3 reglas al firewall para drops al icmp para que ignore todo lo que esté fuera de la red, a ver si así mejora la cosa

Solospam

Fijándome un poco, veo que es Windows quien se intenta conectar con Azure, que proceso de Windows se conecta con Azure? con que fin? como eliminarlo?

Yo tengo AWS no Azure

🗨️ 4
campi

Tan fácil como bloquearlo en el firewall... Pero si te vas a poner en ese modo de bloquear todo lo que te te intente conectar, vas a estar meses añadiendo ip's a la lista xD

🗨️ 3
Solospam

Si, eso ya me lo imagino, por eso busco la base para evitar que los pc se conecten a Azure

🗨️ 2
campi
1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
1

Eso es in PC tuyo haciendo ping al exterior.

Te sale en el log porque has bloqueado todo el icmp

BocaDePez
BocaDePez

Aquí habría que definir 'ataque'. Recibir varios paquetes de porquería de Internet es habitual, en principio no llegaría a la categoría de ataque mientras no degrade o impida el servicio.

Hace muchos años monté un Redhat Linux en casa con varios servicios, estaba conectado a Internet con un módem de 56k y entre otras cosas hacía de router (NAT), firewall y tenía un servidor smtp con el que me había creado un correo propio con no-ip.com. Cuando lo común eran cuentas de 1 a 5 Mb yo tenía esta sin límite con varios gigas de disco duro, jeje. Pues bien, ese Linux traía una utilidad de logs que cada día analizaba los logs del sistema y me enviaba un correo con las cosas inusuales que detectaba y era interesante ver varios intentos diarios de envío de correos spam a cuentas de Hotmail, yahoo, etc. Por supuesto mi servidor estaba finamente configurado y lo denegaba, 'relaying not permitted' decía.

El primer día estuve revisando todo tipo de intentos de conexión del exterior, pings, escaneos de puertos, de todo. Esto venía más acentuado porque ejecutaba un cliente de emule (mlnet) así que deduje que los hackers sacaban IPs de estas redes. Al segundo día puse que lo tirara todo sin registrar, menudo tostón de listados. Solo me quedé con los logs del smtp porque me resultaba curioso ver los intentos y las direcciones destino que ponían y normalmente no pasaban de varios al día. El spammer típico intentaba el envío a una dirección y al recibir error no se sabía más de él. Pero había veces que el mismo ti@ (imagino que era un programa) iba insistiendo durante un rato con lo que parecía un listado de direcciones secuencial (jgarcia21@...com, jgarcia3322@...com, jgarcias99@...com, jgarciazz@...com), así un rato recibiendo el mismo error en cada una.

🗨️ 5
Solospam

Yo creo que si un ordenador está apagado no debe de enviar datos "ping" a ninguna parte como me ocurre

Esto son registro de ayer; yo ayer no he usado ningún pc en esta red

ping1.pngping2.png

Pero al parecer este pc apagado si se ha comunicado - o ha hecho ping - con una ip externa completamente ajena a mi; lo cual no entiendo, lo siento

🗨️ 4
BocaDePez
BocaDePez

El ping a la primera IP es casi seguro el Microsoft Feeds Synchronization y la segunda IP es algo de Akamai.

Windows haciendo sus cosas.

🗨️ 3
Solospam

Esta red ha estado encendido sólo el router durante 73h, es imposible que un pc apagado envíe o reciba informción... por le hecho de estar apagado

🗨️ 2
BocaDePez
BocaDePez
🗨️ 1