ipv4 Vip na blacklistu u sony

Místo, kde žádná otázka není hloupá.
kolousekkk
Příspěvky: 152
Registrován: 12 years ago
Kontaktovat uživatele:

ipv4 Vip na blacklistu u sony

Příspěvekod kolousekkk » 3 weeks ago

Zdravim, mame v siti nekoho kdo ma zrejme zavirovany stroj a siri skodlivy provoz.cili jsme na Blacklistu. Doslo k blokaci napriklad u sony ze se neprihlasi lidi k uctu na PS. Poradi nekdo jak co nejrychleji vypatrat od koho na vnitrni siti jde ta spina? Dikyza napady a pomoc Petr
0 x
jsem lama berte ze je to tak

Uživatelský avatar
hapi
Příspěvky: 12745
Registrován: 12 years ago

Příspěvekod hapi » 3 weeks ago

Máš na gw mikrotika? pokud jo tak si to zadej do filtru ať nechává zaznamenat spojení na smtp do logu.
0 x

kolousekkk
Příspěvky: 152
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod kolousekkk » 3 weeks ago

mam tam toto a neni u toho ani bajtik napocitany, cili evidentne neco spatne nebo je to na tom portu ciste. Od poskytovatele mam ze jde neco na portu 8080

59 ;;; BLOCK SPAMMERS OR INFECTED USERS
chain=forward action=drop protocol=tcp src-address-list=spammer
dst-port=25

60 ;;; Detect and add-list SMTP virus or spammers
chain=forward action=add-src-to-address-list connection-limit=30,32
protocol=tcp address-list=spammer address-list-timeout=1d dst-port=25
limit=50,5:bit
0 x
jsem lama berte ze je to tak

KoZLiCeK
Příspěvky: 1223
Registrován: 11 years ago
Bydliště: CZ

Příspěvekod KoZLiCeK » 3 weeks ago

kolousekkk píše:mam tam toto a neni u toho ani bajtik napocitany, cili evidentne neco spatne nebo je to na tom portu ciste. Od poskytovatele mam ze jde neco na portu 8080

59 ;;; BLOCK SPAMMERS OR INFECTED USERS
chain=forward action=drop protocol=tcp src-address-list=spammer
dst-port=25

60 ;;; Detect and add-list SMTP virus or spammers
chain=forward action=add-src-to-address-list connection-limit=30,32
protocol=tcp address-list=spammer address-list-timeout=1d dst-port=25
limit=50,5:bit

tak zmen port ve scriptu....
0 x

pin
Příspěvky: 78
Registrován: 12 years ago
antispam: Ano
Bydliště: Zlín

Příspěvekod pin » 3 weeks ago

U sony určitě nejsi na blacklistu kvůli spamům. Jedině, že by někdo dělal neslušné návrhy jejich uklizečce. Tam to bude na 99% kvůli útokům na jejich IP (služby playstation a atd..).
Začni hledat jejich IP rozsahy a pak zapátrej v síti.
Z historie jsem našel i mail od nich. Je dobré, když mají kam napsat při problému...
To whom it may concern,

Pursuant to Sony Interactive Entertainment LLC ("SIE") corporate policy, the below IP addresses were blacklisted from using our services because SIE detected activity that is abusive to our network services. In our determination, the abusive activity was not related to velocity or volume (many users behind the same IP address, i.e. NAT), but matched the specific patterns of known abuse of our publicly available services. This abuse may be the result of a computer on your network that has been compromised and is participating in a botnet abuse of our services.

The following table of IP addresses, dates and times should help you correlate the origin of the abusive activity. The time stamps are approximate from our logs. The actual timing of the events depend on the signature matched. It is very likely to have occurred both before, during and following the times listed.

Approximate Time Range (UTC), IP Address, Reason2017-01-21 17:06 ~ 2017-01-21 17:36 (UTC), 185.86.99.251, Account Takeover Attempts

It is most likely the attack traffic is directed at one of the following endpoints:

account.sonyentertainmentnetwork.comauth.np.ac.playstation.netauth.api.sonyentertainmentnetwork.comauth.api.np.ac.playstation.net

These endpoints on our network are resolved by Geo DNS, so the IP addresses they resolve to will depend on the originating IP address.

The destination port will be TCP 443.

Please take the necessary measures to correct the malicious activity from the above-listed IP addresses as soon as possible to avoid any further disruptions. If we were to remove any of these IP addresses from the blacklist and subsequent abusive activity is detected, the IP address will be promptly blacklisted again.


We thank you for your prompt attention to this matter. If you require assistance or additional information please contact snei-noc-abuse@am.sony.com and include the IP address in question.

Thank you



Petr.
2 x

Uživatelský avatar
sub_zero
Příspěvky: 1643
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 3 weeks ago

pin píše:U sony určitě nejsi na blacklistu kvůli spamům. Jedině, že by někdo dělal neslušné návrhy jejich uklizečce. Tam to bude na 99% kvůli útokům na jejich IP (služby playstation a atd..).
Začni hledat jejich IP rozsahy a pak zapátrej v síti.
Z historie jsem našel i mail od nich. Je dobré, když mají kam napsat při problému...
To whom it may concern,

Pursuant to Sony Interactive Entertainment LLC ("SIE") corporate policy, the below IP addresses were blacklisted from using our services because SIE detected activity that is abusive to our network services. In our determination, the abusive activity was not related to velocity or volume (many users behind the same IP address, i.e. NAT), but matched the specific patterns of known abuse of our publicly available services. This abuse may be the result of a computer on your network that has been compromised and is participating in a botnet abuse of our services.

The following table of IP addresses, dates and times should help you correlate the origin of the abusive activity. The time stamps are approximate from our logs. The actual timing of the events depend on the signature matched. It is very likely to have occurred both before, during and following the times listed.

Approximate Time Range (UTC), IP Address, Reason2017-01-21 17:06 ~ 2017-01-21 17:36 (UTC), 185.86.99.251, Account Takeover Attempts

It is most likely the attack traffic is directed at one of the following endpoints:

account.sonyentertainmentnetwork.comauth.np.ac.playstation.netauth.api.sonyentertainmentnetwork.comauth.api.np.ac.playstation.net

These endpoints on our network are resolved by Geo DNS, so the IP addresses they resolve to will depend on the originating IP address.

The destination port will be TCP 443.

Please take the necessary measures to correct the malicious activity from the above-listed IP addresses as soon as possible to avoid any further disruptions. If we were to remove any of these IP addresses from the blacklist and subsequent abusive activity is detected, the IP address will be promptly blacklisted again.


We thank you for your prompt attention to this matter. If you require assistance or additional information please contact snei-noc-abuse@am.sony.com and include the IP address in question.

Thank you



Petr.



přesně tak. ze SMTP to nemá co dělat
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

Uživatelský avatar
hapi
Příspěvky: 12745
Registrován: 12 years ago

Příspěvekod hapi » 3 weeks ago

ty kokoti ze Sony vůbec neví co dělaji a jsou schopní zablokovat IPčko jenom proto že se klient zkoušel 5x zalogovat pod špatným heslem. Když se to řešilo s jejich supportem proč to nejde tak nakonec údajně odstranili IP z blacklistu... no stále to nešlo ani po tejdnu že, jak jinak. Nakonec sem musel zákazníkovy vyměnit veřejku za jinou a už to jelo. Proč to skutečně blokly nikdo neví, nechtěli to říct a zákazník má IP jenom pro sebe.
0 x

kolousekkk
Příspěvky: 152
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod kolousekkk » 3 weeks ago

me poskytovatel poslal toto(viz nize), nevim proc cilova ip jsou 3 cisla vymazana??????? dalsi vec dva utoky, cas 0 co to jako je??? Za dalsi vubec nevim jestli to stim sopuvisi. kdybych mel ip toho sony aspon at vim jakou mam sledovat.

Vážení kolegové,
IDS CSIRT.CZ zaznamenal pokus(y) o připojení z Vašich strojů na
honeypoty naší sítě. Může to znamenat bezpečnostní risiko pro Vaši
síť i pro celý Internet. Prosím, mohli byste zjistit, v čem je
problém, nebo informovat správce příslušných systémů, že tyto jejich
stroje možná jsou napadeny? Více informací o tomto IDS najdete zde:
https://csirt.cz/page/2963/intrusion-de ... -csirt.cz/
95.85.240.202 = nat.prepere.com

Data od/from 2019-09-19 06:18:01 do/to 2019-09-20 06:18:02.
2 pokusy o připojení z/connection attempts from 95.85.240.202 (nat.prepere.com)

2019-09-19 13:22:57 95.85.240.202 12633 -> 195.113.aaa.177 8080
2019-09-19 13:22:57 95.85.240.202 36283 -> 195.113.aaa.177 8080
Útok trval/Attack duration: 0:00:00 [hs]. Frekvence/Frequency: 120.000 [1/min].

Čas/Date|Zdroj/SrcIPadr|Zdroj/SrcTCPport -> Cíl/DstIPadr|Cíl/DstTCPport
Časové pásmo/Time zone: GMT.

Předem Vám děkuje/Best regards,
CSIRT.CZ (Intrusion Detection System),
Prague, The Czech Republic.
0 x
jsem lama berte ze je to tak

kolousekkk
Příspěvky: 152
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod kolousekkk » 3 weeks ago

mam to spravne ten prikaz?

nfdump -R /home/logging/nfcapd.201909202140:nfcapd.201909212100 "pps gt 1000 and duration gt 10000"

no a vyjede me list

napr. zkracene
Date first seen Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows
2019-09-20 21:42:42.070 19.610 TCP 185.180.15.17:443 -> 95.85.240.202:48238 30913 44.4 M 1
2019-09-20 21:44:13.410 14.790 TCP 77.75.75.109:443 -> 95.85.240.202:9052 30337 45.5 M 1
2019-09-20 21:45:28.820 16.600 TCP 185.180.15.17:443 -> 95.85.240.202:52416 29049 41.7 M 1
2019-09-20 21:47:48.860 16.260 TCP 212.158.142.198:443 -> 95.85.240.202:59640 23399 35.0 M 1
2019-09-20 21:52:07.460 17.170 TCP 192.168.2.10:44277 -> 185.180.15.17:443 18363 984758 1
2019-09-20 21:52:07.460 17.180 TCP 185.180.15.17:443 -> 95.85.240.202:44277 39399 56.7 M 1


jak z toho detekovat kde je co spatne? Chtel bych predchazet moznym problemum, nechci cekat kdo kde co blokne, pak se ho prosit aby laskave se vyjadril co se deje a nasledne problem resil tim ze to podle toho budu hledat v historii.
0 x
jsem lama berte ze je to tak

kolousekkk
Příspěvky: 152
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod kolousekkk » 3 weeks ago

muze byt treba toto divne?
Date first seen Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows
2019-09-21 13:05:22.320 1799.570 TCP 185.201.232.72:443 -> 95.85.240.202:62319 5.9 M 213.8 M 1 co je to za ip?


2019-09-21 12:51:31.930 762.250 TCP 192.168.5.227:59057 -> 185.152.65.55:443 4.5 M 180.6 M 1

toto je vnitrni, je to podezrele???

2019-09-21 12:51:31.930 762.260 TCP 185.152.65.55:443 -> 95.85.240.202:59057 4.5 M 2.4 G 1

tady nejaka dalsi ktera je venku
0 x
jsem lama berte ze je to tak

rsaf
Příspěvky: 1426
Registrován: 12 years ago

Příspěvekod rsaf » 3 weeks ago

Podle mě s tím netflow jsi úplně vedle. Proč filtruješ flow, které jsou "hodně PPS a trvají dlouho". Ano, může to ukazovat na nějaký DDoS, ale mraky dalších útoků to vůbec nepokrývá. Např. různé portscany a útoky na heslo budou mraky velmi krátkých flow. Spíše bych šel po počtu flow za nějaký čas z jedné konkrétní vnitřní adresy.

Kdyby bylo takto snadné ten bordel odhalit, neprodávaly by se různé security boxy za šestimístné sumy ;-)
0 x


Zpět na „Začátečnické témata“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 0 hostů