Показано с 1 по 5 из 5.

Вирусная активность, подозрительный трафик, атака с моего айпи (заявка № 201830)

  1. #1
    Junior Member Репутация
    Регистрация
    01.07.2016
    Сообщений
    2
    Вес репутации
    29

    Вирусная активность, подозрительный трафик, атака с моего айпи

    Добрый день,
    Пришло письмо от провайдера
    Относительно попытки несанкционированого вмешательства в роботу вычислительных систем. с моего айпи.

    здравствуйте,
    согласно письма вероятные сервера для атаки:
    It is most likely the attack traffic is directed at one of the following
    endpoints:

    account.sonyentertainmentnetwork.com
    auth.np.ac.playstation.net
    auth.api.sonyentertainmentnetwork.com
    auth.api.np.ac.playstation.net

    These endpoints on our network are resolved by Geo DNS, so the IP
    addresses they resolve to will depend on the originating IP address.
    The destination port will be TCP 443.

    поиск проводился по 23.59.112.0/20, вероятно активность осталась:


    0.061588 62.80.161.130 -> 23.59.118.77 SSL Client Hello
    0.076070 23.59.118.77 -> 62.80.161.130 TCP 443 > 50614 [ACK] Seq=1
    Ack=136 Win=30272 Len=0
    0.078650 23.59.118.77 -> 62.80.161.130 TLSv1 Server Hello,
    0.078678 23.59.118.77 -> 62.80.161.130 TCP [TCP segment of a
    reassembled PDU]
    0.078729 23.59.118.77 -> 62.80.161.130 TLSv1 Certificate, Server Key
    Exchange, Server Hello Done
    0.085319 62.80.161.130 -> 23.59.118.77 TCP 50614 > 443 [ACK] Seq=136
    Ack=2921 Win=65700 Len=0
    0.090241 62.80.161.130 -> 23.59.118.77 TLSv1 Client Key Exchange,
    Change Cipher Spec, Encrypted Handshake Message
    0.105443 23.59.118.77 -> 62.80.161.130 TLSv1 Change Cipher Spec,
    Encrypted Handshake Message
    0.109965 62.80.161.130 -> 23.59.118.77 TLSv1 Application Data,
    Application Data
    0.125786 23.59.118.77 -> 62.80.161.130 TLSv1 Application Data
    0.230295 62.80.161.130 -> 23.59.118.77 TCP 50614 > 443 [FIN, ACK]
    Seq=520 Ack=4175 Win=64444 Len=0
    0.244769 23.59.118.77 -> 62.80.161.130 TLSv1 Encrypted Alert
    0.244803 23.59.118.77 -> 62.80.161.130 TCP 443 > 50614 [FIN, ACK]
    Seq=4212 Ack=521 Win=32416 Len=0
    0.247956 62.80.161.130 -> 23.59.118.77 TCP 50614 > 443 [ACK] Seq=521
    Ack=4213 Win=64408 Len=0
    ----
    а это письмо приходило за 2 недели до этого
    Здравствуйте.
    согласно жалобы основное, вероятное направление атак на сервера:

    account.sonyentertainmentnetwork.com 23.0.0.0/12
    auth.np.ac.playstation.net 23.0.0.0/12
    auth.api.sonyentertainmentnetwork.com 23.0.0.0/12
    auth.api.np.ac.playstation.net 104.64.0.0/10

    к этим адресам активности нет, но есть к другим хостам в одной AS с
    этими ip:

    0.000000 62.80.161.130 -> 23.0.47.122 TCP 50086 > 443 [SYN] Seq=0
    Win=65535 Len=0 MSS=1460 WS=5 TSV=535348208 TSER=0
    0.027445 23.0.47.122 -> 62.80.161.130 TCP 443 > 50086 [SYN, ACK]
    Seq=0 Ack=1 Win=28960 Len=0 MSS=1460 TSV=3128298856 TSER=535348208 WS=5
    0.035923 62.80.161.130 -> 23.0.47.122 TCP 50086 > 443 [ACK] Seq=1
    Ack=1 Win=131744 Len=0 TSV=535348241 TSER=3128298856
    0.044585 62.80.161.130 -> 23.0.47.122 SSL Client Hello
    0.071945 23.0.47.122 -> 62.80.161.130 TCP 443 > 50086 [ACK] Seq=1
    Ack=211 Win=30048 Len=0 TSV=3128298900 TSER=535348243
    0.072928 23.0.47.122 -> 62.80.161.130 TLSv1.2 Server Hello,
    0.072942 23.0.47.122 -> 62.80.161.130 TCP [TCP segment of a
    reassembled PDU]
    0.073048 23.0.47.122 -> 62.80.161.130 TLSv1.2 Certificate, Server
    Key Exchange, Server Hello Done
    0.079970 62.80.161.130 -> 23.0.47.122 TCP 50086 > 443 [ACK] Seq=211
    Ack=2897 Win=129600 Len=0 TSV=535348285 TSER=3128298901
    0.079980 62.80.161.130 -> 23.0.47.122 TCP 50086 > 443 [ACK] Seq=211
    Ack=3781 Win=128736 Len=0 TSV=535348285 TSER=3128298901
    0.155743 62.80.161.130 -> 23.0.47.122 TLSv1.2 Client Key Exchange
    0.155753 62.80.161.130 -> 23.0.47.122 TLSv1.2 Change Cipher Spec
    0.155764 62.80.161.130 -> 23.0.47.122 TLSv1.2 Encrypted Handshake
    Message
    0.183403 23.0.47.122 -> 62.80.161.130 TCP 443 > 50086 [ACK] Seq=3781
    Ack=337 Win=30048 Len=0 TSV=3128299012 TSER=535348359
    0.183413 23.0.47.122 -> 62.80.161.130 TLSv1.2 Change Cipher Spec,
    Encrypted Handshake Message
    0.191649 62.80.161.130 -> 23.0.47.122 TCP 50086 > 443 [ACK] Seq=337
    Ack=3832 Win=131008 Len=0 TSV=535348394


    у меня купленные антивирусы dr.wen и kaspersky, как только пришло письмо я сканировал 30 компьютеров в своей сети, понаходил мелкие трояны, но проблема не закрылась, я в роутере(mikrotik) забанил эту подсеть
    23.0.0.0/12 и 104.64.0.0/10, увидел в LOG файлах с каких хостов были запросы на эти айпи, снова стал чистить эти компьютеры DR.web live CD и kaspersky cd, так же пробовал все антивирусы какие только можно, ничего не изменилось, но я заметил что пока я чистил зараженные компьютеры, с других хостов стала активность к данным айпи адресам, потом спустя пару дней пришло письмо снова об атаке с моего айпи на адресс 23.59.112.0/20, его я тоже заблокировал, микротик их отбрасывает, но внутри сети активность осталась, пакеты идут от зараженных хостов к микротику,а тот отбрасывает, в тех поддержке сказали что у клиентов была похожая проблема, антивирусы не помогали, клиент решил как то по другому трабл)
    возможно мне необходимо приобрести подписку помогите +? буду очень благодарен за помощь, заранее спасибо!!!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) g0dL1k3, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    01.07.2016
    Сообщений
    2
    Вес репутации
    29
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    rar или zip?
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Если бы скачали по моей ссылке, был бы архив .7z.

    Ничего вредоносного в логах.
    WBR,
    Vadim

Похожие темы

  1. Сетевые атаки с моего айпи
    От View в разделе Помогите!
    Ответов: 18
    Последнее сообщение: 03.04.2016, 19:05
  2. вирусная атака с моего IP
    От webdesigner в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 12.04.2010, 17:28
  3. Рассылка спама с моего айпи помогите
    От mike в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 20.09.2009, 19:16
  4. Рассылка спама с моего айпи.
    От Akson6 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.02.2009, 09:29
  5. Рассылка спама с моего айпи. Часть 2
    От Akson6 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 17.12.2008, 12:36

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01610 seconds with 20 queries