Resultaten 1 tot 15 van de 18
Pagina 1 van de 2 1 2 LaatsteLaatste
  1. #1
    Nieuw botnet actief?
    Web hosting diensten
    4.705 Berichten
    Ingeschreven
    09/02/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    110 Berichten zijn liked


    Bedrijf: DreamHost.nl Web hosting
    Functie: Managing Director
    URL: www.dreamhost.nl
    Registrar SIDN: JA
    KvK nummer: 24269577

    Thread Starter

    Exclamation Nieuw botnet actief?

    Beste concullegae,

    We ervaren sinds afgelopen vrijdag een Brute Force aanval op SSH2 (tientallen pogingen per uur) vanuit m.n. China en de OVH en DigitalOcean netwerken.
    Het vreemde hiervan is dat SSH2 bij ons niet over de standaard poort (23) draait, maar over een alternatieve poort.
    De aanvaller moet dus eerst d.m.v. een portscan achter onze SSH2 poort zijn gekomen en daarna zijn botnet hebben aangezet.
    Behalve dat de firewalls wat overuren draaien om de entries te blokkeren is het verder niet echt spannend of zo, maar ik vroeg mezelf af of jullie dit ook recentelijk hebben ervaren en zeker in die hoeveelheden.
    DreamHost.nl Web hosting - cPanel hosting om bij weg te dromen.

  2. #2
    Nieuw botnet actief?
    geregistreerd gebruiker
    1.086 Berichten
    Ingeschreven
    30/04/09

    Locatie
    NL

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    14 Berichten zijn liked


    KvK nummer: 51985977

    Bedoel je 22 in plaats van 23?

    Gewoon SSH van het internet halen.

    Geen idee of er verhoogde activiteit is trouwens.

  3. #3
    Nieuw botnet actief?
    Web hosting diensten
    4.705 Berichten
    Ingeschreven
    09/02/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    110 Berichten zijn liked


    Bedrijf: DreamHost.nl Web hosting
    Functie: Managing Director
    URL: www.dreamhost.nl
    Registrar SIDN: JA
    KvK nummer: 24269577

    Thread Starter
    @xaban : Poort 22 uiteraard ja...
    Het gaat hier helaas om shared servers. SSH is nodig voor SFTP, dus het blokkeren of over een nieuwe poort gooien is helaas niet mogelijk.
    DreamHost.nl Web hosting - cPanel hosting om bij weg te dromen.

  4. #4
    Nieuw botnet actief?
    Web hosting diensten
    4.705 Berichten
    Ingeschreven
    09/02/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    110 Berichten zijn liked


    Bedrijf: DreamHost.nl Web hosting
    Functie: Managing Director
    URL: www.dreamhost.nl
    Registrar SIDN: JA
    KvK nummer: 24269577

    Thread Starter
    Ik ben het volgende online tegengekomen: https://www.fofa.so/hosts/127.0.0.1
    Even 127.0.0.1 door een eigen IP-adres vervangen, geeft gelijk een hoop info weer, zoals wat er over welke poorten draait incl. de versies van de geïnstalleerde software. Zo wordt het een kwaadwillende partij wel erg gemakkelijk gemaakt.
    DreamHost.nl Web hosting - cPanel hosting om bij weg te dromen.

  5. #5
    Nieuw botnet actief?
    Hostingaddict
    385 Berichten
    Ingeschreven
    25/01/11

    Locatie
    Haarlem

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Stefan Triep
    Bedrijf: Hostingindustries
    Functie: Eigenaar
    URL: www.hostingindustries.nl
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 74282476
    View stefantriep's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door dreamhost_nl Bekijk Berichten
    Ik ben het volgende online tegengekomen: https://www.fofa.so/hosts/127.0.0.1
    Even 127.0.0.1 door een eigen IP-adres vervangen, geeft gelijk een hoop info weer, zoals wat er over welke poorten draait incl. de versies van de geïnstalleerde software. Zo wordt het een kwaadwillende partij wel erg gemakkelijk gemaakt.
    Dit is nog wel even een handige site, als je wil checken welke versies iemand draait en daarop wil inspelen

  6. #6
    Nieuw botnet actief?
    geregistreerd gebruiker
    1.086 Berichten
    Ingeschreven
    30/04/09

    Locatie
    NL

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    14 Berichten zijn liked


    KvK nummer: 51985977

    Citaat Oorspronkelijk geplaatst door dreamhost_nl Bekijk Berichten
    Ik ben het volgende online tegengekomen: https://www.fofa.so/hosts/127.0.0.1
    Even 127.0.0.1 door een eigen IP-adres vervangen, geeft gelijk een hoop info weer, zoals wat er over welke poorten draait incl. de versies van de geïnstalleerde software. Zo wordt het een kwaadwillende partij wel erg gemakkelijk gemaakt.
    Dat is allemaal informatie die je zelf exposed he Heel veel informatie kan je gewoon verbergen.

  7. #7
    Nieuw botnet actief?
    Hostingaddict
    385 Berichten
    Ingeschreven
    25/01/11

    Locatie
    Haarlem

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Stefan Triep
    Bedrijf: Hostingindustries
    Functie: Eigenaar
    URL: www.hostingindustries.nl
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 74282476
    View stefantriep's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door xaban Bekijk Berichten
    Dat is allemaal informatie die je zelf exposed he Heel veel informatie kan je gewoon verbergen.
    Dat klopt inderdaad, heb je helemaal gelijk in!

  8. #8
    Nieuw botnet actief?
    Web hosting diensten
    4.705 Berichten
    Ingeschreven
    09/02/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    110 Berichten zijn liked


    Bedrijf: DreamHost.nl Web hosting
    Functie: Managing Director
    URL: www.dreamhost.nl
    Registrar SIDN: JA
    KvK nummer: 24269577

    Thread Starter
    @xaban , @stefantriep : Zoals al vermeld gaat het hier om shared hosting servers. Onmogelijk om deze dicht te timmeren én de gebruikers (veelal leken) nog normaal gebruik te kunnnen laten maken van hun accounts. Het grote deel (zoals de poort waar bij ons SSH2 over draait) aan info kan alleen verkregen zijn d.m.v. portscans. Maar hoe de Brute Forcers deze info verkregen, was niet de reden van dit topic. De reden van dit topic was om na te gaan of bij ons alleen het SSH2 Brute Force botnet actief is of niet. Blijkbaar wel dus, afgaande op het kleine aantal bijvallen (geen).
    DreamHost.nl Web hosting - cPanel hosting om bij weg te dromen.



  9. #9
    Nieuw botnet actief?
    Bizway.nl
    1.435 Berichten
    Ingeschreven
    18/01/10

    Locatie
    Bodegraven

    Post Thanks / Like
    Mentioned
    13 Post(s)
    Tagged
    0 Thread(s)
    92 Berichten zijn liked


    Naam: Bart Lageweg
    Bedrijf: Bizway BV
    Registrar SIDN: ja
    ISPConnect: Lid
    KvK nummer: 28086287
    View nl.linkedin.com/in/bartlageweg's profile on LinkedIn

    Hoi Volgens mij speelt dit al jaren...

    Ook wij hebben poort 22 dicht en alleen op whitelist open, gaat prima.
    Op zoek naar hostingpartijen die zich willen laten overnemen (met desgewenst aanblijven)

  10. #10
    Nieuw botnet actief?
    geregistreerd gebruiker
    808 Berichten
    Ingeschreven
    08/04/08

    Locatie
    Weert

    Post Thanks / Like
    Mentioned
    13 Post(s)
    Tagged
    0 Thread(s)
    11 Berichten zijn liked


    Bedrijf: Openworx
    URL: www.openworx.nl
    Registrar SIDN: nee
    KvK nummer: 14129365
    Ondernemingsnummer: nvt

    CSF of fail2ban werkt ook prima.
    https://www.openworx.nl | Cloud diensten - IT - ERP - Odoo Hosting

  11. #11
    Nieuw botnet actief?
    Web hosting diensten
    4.705 Berichten
    Ingeschreven
    09/02/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    110 Berichten zijn liked


    Bedrijf: DreamHost.nl Web hosting
    Functie: Managing Director
    URL: www.dreamhost.nl
    Registrar SIDN: JA
    KvK nummer: 24269577

    Thread Starter
    @bart L: We hebben nog nooit (en we zijn al sinds '96 actief) een aanval gehad op SSH2, omdat we SSH2 niet over poort 22 hebben draaien. Daarnaast omvat de aanval alle shared hosting servers tegelijkertijd en met tientallen pogingen per uur per server. Het is dus blijkbaar doelgericht. @mgielissen : Uiteraard blokkeren de firewalls ze wel en kun je via "root" sws niet inloggen, maar toch blijft het vervelend en irritant.
    DreamHost.nl Web hosting - cPanel hosting om bij weg te dromen.

  12. #12
    Nieuw botnet actief?
    Geregistreerd Gebruiker
    4.754 Berichten
    Ingeschreven
    23/04/05

    Locatie
    Eindhoven

    Post Thanks / Like
    Mentioned
    15 Post(s)
    Tagged
    0 Thread(s)
    353 Berichten zijn liked


    Naam: Toin Bloo
    Bedrijf: Dommel Hosting
    URL: www.dommelhosting.nl
    ISPConnect: Lid
    KvK nummer: 17177247

    oh ze brute forcen SSH hier al jaren op alle servers in alle netwerken

    met tientallen pogingen per minuut, niet per uur

  13. #13
    Nieuw botnet actief?
    geregistreerd gebruiker
    1.086 Berichten
    Ingeschreven
    30/04/09

    Locatie
    NL

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    14 Berichten zijn liked


    KvK nummer: 51985977

    Jaren geleden heb ik een script gemaakt die checkt naar brute force attacks, vervolgens de abuse contactpersoon erbij zoekt en logs doorstuurt naar de abuse persoon. Op deze manier heb ik best wel wat bots/scanners offline weten te brengen (dmv abuse contact). Volledig geautomatiseerd.

    Als iedereen dit nou doet kunnen we het internet een heel klein beetje veiliger maken

  14. #14
    Nieuw botnet actief?
    geregistreerd gebruiker
    9 Berichten
    Ingeschreven
    23/02/20

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: IJsbrand Schipperus

    @xaban ,

    is dit script ergens gedeeld? Via github bijvoorbeeld? Dan kunnen we inderdaad met zijn allen iets tegen deze aanvallen teweeg brengen...

  15. #15
    Nieuw botnet actief?
    Web hosting diensten
    4.705 Berichten
    Ingeschreven
    09/02/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    110 Berichten zijn liked


    Bedrijf: DreamHost.nl Web hosting
    Functie: Managing Director
    URL: www.dreamhost.nl
    Registrar SIDN: JA
    KvK nummer: 24269577

    Thread Starter
    @t.bloo : Ons is dat gelukkig jarenlang bepaard gebleven vanwege de alternative poort. We hebben ooit een een testVPS gehad, waarop we dit niet zo hadden ingesteld, en deze had inderdaad in een nachtje tijd honderden Brute Force aanvallen mogen ontvangen. Nadat we ook voor die VPS een andere poort hadden ingesteld, kwamen er geen meer. @xaban : Van onze kant uit is er ook wel interesse voor zo'n script. Indien je zoiets handmatig moet doen, kun je er minstens een volledige FTE op gaan zetten.
    DreamHost.nl Web hosting - cPanel hosting om bij weg te dromen.

Pagina 1 van de 2 1 2 LaatsteLaatste

Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics