Bonsoir,
Nous en avons également été victime cette après-midi.
J'ai tout bloqué en entrée sur notre /23 et notre /21.
Je ne sais pas quelle infra tourne derrière mais dans la même seconde
nous avions énormément de SYN sur un range de port bien connu 22/21/3389 ...
Quels outils vous ont "alertés" chez vous ?
Bonne soirée.
Florent
Le 21/09/2015 18:28, Xavier ROCA a écrit :
Effectivement ne pas me croire sur Parole c'est une évidence.
Et je n'ai même pas mis mon AS et mes coordonnées.
Mais, je ne pense pas qu'ici, qu'il y en a un seul de cette ML qui bloque sur
ma simple parole.
Même si certains peuvent y faire confiance.
L'erreur est possible.
Content que cela serve a d'autre s'était un des deux objectifs.
Après analyse sur nos sondes réparties chez d'autres opérateurs, on voit la
même chose arrivait.
OVH a été surprenant de réactivité.
Mais on continu quand même a voir l'attaque via la même IP.
Ce n'est pas bon, si OVH a bien bloqué comme il me l'on confirmé.
Ce qui veut peut-être dire usurpation d'IP si c'est le cas on va peut être en
voir d'autres prochainement.
Et puis l'IP en question n'est en finalité pas l'attaquant mais l'attaqué-> par
nos nombreux retour.
Ce n'est pas joli comme attaque mais assez vicieux et efficaces pour être vue
et pour tuer le vrai utilisateur de l'IP.
Et troisièmement qui laisse passer une IP usurpé ...
Bref bonne soirée
Xavier
-----Message d'origine-----
De : Nicolas Girardi [mailto:nicolas.gira...@virginmobile.fr]
Envoyé : lundi 21 septembre 2015 18:07
À : David Ponzone
Cc : Dominique Rousseau; frnog-al...@frnog.org
Objet : Re: [FRnOG] [ALERT] Attaque depuis OVH AS 16276
Idem chez nous.
Nicolas Girardi | Responsable Infrastructure | Société OmeA Telecom Ltd. 12, Rue Belgrand, 92300
Levallois<x-apple-data-detectors://0> | Fixe :+33141381048<tel:+33141381048> | Mobile
:+33632803852<tel:+33632803852>
Le 21 sept. 2015 à 17:42, David Ponzone
<david.ponz...@gmail.com<mailto:david.ponz...@gmail.com>> a écrit :
Bon, il tente sur toutes les IP qu’il peut, ce coquin, et sur les ports 22/23
(au moins).
Je l’ai bloqué complètement en ingress du réseau chez nous, pour info.
Merci pour l’avertissement.
Le 21 sept. 2015 à 17:23, Dominique Rousseau
<d.rouss...@nnx.com<mailto:d.rouss...@nnx.com>> a écrit :
Le Mon, Sep 21, 2015 at 04:59:24PM +0200, Xavier ROCA
[x.r...@sdi.fr<mailto:x.r...@sdi.fr>] a écrit:
Bonjour,
On subit une attaque depuis une IP 149.202.52.150
iptables -I INPUT -s 149.202.52.150 -j REJECT
(je l'ai vu passer aussi :)
--
Dominique Rousseau
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 80000 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
