Wij hebben de laatste tijd steeds meer last van brute force attacks.

Waar wij 6 maanden geleden nog last hadden van 1 brute force in de 2 maanden hebben wij er nu 5 per week.

Zijn er meer die er zo erg last van hebben?

En wat doen jullie er tegen?

Stuur altijd een abuse mailtje. Krijg alleen nooit echt veel antwoord. Heb 1x antwoord gehad dat er actie ondernomen was.

Als ik af en toe in mijn log files kijk zie ik dagenlijks ook zat attacks of bv ftp, ssh, pop3 etc etc..
Ook het aantal portscans neemt behoorlijk toe.
Het melden ervan naar de abuse/postmasters etc heb ik opgegeven, zelden komt er antwoord.
Overigens.. de meeste van die attacks/scans komen (bij mij) vanuit azie en zuid-america..

Ik merk het ook ja, veel login attempts op de bekende services.

abuse doe ik meestal wel, maar nog nooit een reactie gehad.

De meeste komen inderdaad uit Zuid-Amerika e.d.

Ik heb steeds vaker poort scans, deze komen steeds van dezelfde isp ( bezeqint.net ) is een isp in israel die zich niet bepaald aantrekt van abuse mails.

Wij hebben er ook steeds vaker last van.
Als de attack komt van een nederlands IP sturen we een abuse mailtje incl. de betreffende log entries.

Enige ISP die er iets tegen doet is demon, van de anderen horen wij nooit meer iets.

Van buitenlandse ISP's hebben wij nog nooit een antwoord gehad dus vandaar dat we die helemaal niet meer mailen.

Origineel geplaatst door MrD
Wij hebben er ook steeds vaker last van.
Als de attack komt van een nederlands IP sturen we een abuse mailtje incl. de betreffende log entries.

Enige ISP die er iets tegen doet is demon, van de anderen horen wij nooit meer iets.

Van buitenlandse ISP's hebben wij nog nooit een antwoord gehad dus vandaar dat we die helemaal niet meer mailen.

Gewoon blijven abusen. Weet je namelijk hoe DOM een isp werkt?

- Abuse nummer 1: oh ok kan wel
- Abuse nummer 2: kan wel, opzouten
- Abuse nummer 3: hmm eens even noteren, die heb ik vaker gezien
- Abuse nummer 4: Eens even een email naar de klant sturen
- Abuse nummer 5: gele kaart

Dit klinkt echt te absurd, maar het is echt zo. Ze doen er niks aan totdat het te erg wordt, anders zouden ze het nog eens druk krijgen en dan gaan ze zweten.. en dat wil je als helpdesk medewerker toch al helemaal niet?

Echter, ik raad jullie aan om gewoon te blijven abusen! Al doet iedereen het maar 1 keer, als deze eenmaal op de nederlandse ISP Blacklist staan is er steeds weer eentje weg. (Al eens aan de leeftijd van degenen gedacht die deze portscan uitvoeren? Echte hackers zou je niet eens opmerken!)

Die vele portscans komen door google. Ik gebruik google dagelijks voor de laatste security threats op te zoeken, maar het lijkt wel alsof de er steeds meer websites bijkomen die uitleggen hoe je moet portscannen en root moet verkrijgen.. Oppassen dus! Goed logs blijven controleren, en indien ze deze verwijderd zouden hebben -> vraag de netwerklogs van je Provider van je colocatie/dedicated op en abuse ze alsnog!

Tim

Origineel geplaatst door Mikey
Ik heb steeds vaker poort scans, deze komen steeds van dezelfde isp ( bezeqint.net ) is een isp in israel die zich niet bepaald aantrekt van abuse mails.

http://www.dshield.org is misschien eens leuke website voor jouw probleem! Indien deze website een ip te vaak gesubmit krijgt als Abuse, wordt er vanzelf actie tegen ondernomen tegen de desbetreffende ISP.

Tim

Bij ons komen de meeste aanvallen uit Taiwan en Polen. Wij filteren door middel van dshield.org waardoor het aantal aanvallen een stuk minder is.

Als het echte aanvallen zijn, dan heb je niets aan de ISP's. De échten zitten veilig en wel achter een proxy. Dus zo heel veel heb je volgens mij niet aan het noteren van de ISP's.

Origineel geplaatst door YSK-Media
Als het echte aanvallen zijn, dan heb je niets aan de ISP's. De échten zitten veilig en wel achter een proxy. Dus zo heel veel heb je volgens mij niet aan het noteren van de ISP's.

heb je zelf wel eens een poortscan gedaan door een proxy ? Probeer dat eerst maar, maar echt geloofwaardig zal ik je scan niet vinden.

Origineel geplaatst door WH-Tim


http://www.dshield.org is misschien eens leuke website voor jouw probleem! Indien deze website een ip te vaak gesubmit krijgt als Abuse, wordt er vanzelf actie tegen ondernomen tegen de desbetreffende ISP.

Tim


belgie staat hier in de top 10 !!

http://www.dshield.org/top10.php

Dan weet je dus bij deze hoe dom belgen zijn he ;)

Bruteforce attacks op ?
Als je (naast dshield.org) isc.sans.org volgt dan weet je dat er de laatste tijd erg veel (automated) bruteforce SSH attacks zijn. Alsmede FTP en natuurlijk dabber en soortgelijken.
Nothing to worry about.

http://isc.incidents.org/alldiaries.php?month=7&year=2004
http://isc.incidents.org/alldiaries.php?month=8&year=2004

Indien je aanvallen uit Polen krijgt stuur mij dan een bericht, zoals jullie wellicht weten woon ik in Polen en ik heb uitstekende contacten binnen alle access providers.

Overigens zien wij de meeste scans uit Zuid Amerika en China.

zal ik zeker onthouden Beyonder... ik add je ff als vriend aan mijn account dan :)