Vari attacchi alla rete

crio005

Buongiorno a tutti, praticamente 5 giorni fa ho attivato la registrazione di log nel mio router. Andando a guardare oggi i log, nella sezione "attack" trovo serie di attacchi kernel. Non so minimamente cosa significhi. Qualcuno può aiutarmi a capire cosa sia?

juststupid

Serve qualche info in più.
Marca e modello di router
Se puoi posta la parte del log incriminata

crio005

Allora
Il router è uno Zyxel VMG8823-B50B
Una parte di log è questa:
Oct 28 00:13:33 kern.alert kernel: IN=ppp2.3 OUT= MAC= SRC=185.36.81.42 DST=Mio ip LEN=434 TOS=0x00 PREC=0x00 TTL=53 ID=23701 DF PROTO=UDP SPT=5200 DPT=8160 LEN=414 MARK=0x10000000

juststupid

crio005
hai un ip pubblico statico/dinamico o sei sotto Nat del provider ?

crio005

vic3000

$ whois 185.36.81.42
inetnum: 185.36.81.0 - 185.36.81.255
netname: SERVEROFFER_LT
org: ORG-UHB2-RIPE
descr: Cloud hosting
country: LT
[...]
address: Draugystes str. 19, 51230 Kaunas, LITHUANIA

A occhio direi VPS compromessa che sfa facendo scan (o tenta exploit) del mondo conosciuto.
Potresti bloccare tutti(!) i netblock che non ti devono contattare ma non faresti altro dalla mattina alla sera, automatizzare queste cose su device di quel tipo non e` facilissimo (e probabilmente ci sono limiti sulle regole che puoi mettere)

Sapessi quanti fanno attacchi sull'ssh o sulla 80 sperando sia IIS

[cancellato]

vic3000 o sulla 80 sperando sia IIS

La maggior parte dei siti web "esterni" compromessi ormai sono su Linux... se non è vulnerabile Apache/nginx e PHP magari lo è il Wordpress mai aggiornato che ci gira sopra... ci vuol poco a fare fingerprinting e selezionare l'exploit adatto. Pericoloso pensare che solo Winfows sia bucabile.

vic3000

[cancellato] non "pensavo", era solo una constatazione sulla miriade di richieste di .../_vti_bin che mi fanno
(poi cercano anche asp, cgi, phpmyadmin e horde e tutto il resto, ovvio, ho una honeypot col catchall)

crio005

C'è qualcosa che rischio o è pericoloso?

vic3000

crio005 dipende da quanto tieni aggiornato il router e se esistono bug piu` o meno noti non fixati. l'unico sistema sicuro e` quello spento (cit) e non e` piu` vera nemmeno questa da tempo 😔

[cancellato]

vic3000 era solo una constatazione sulla miriade di richieste di .../_vti_bin

Quello è SharePoint, che è un target di valore, se mal protetto e bucabile, quando ci accedi molta roba da esfiltrare o cifrare per chiedere bitcoin...

[cancellato]

E' un bug noto dello Zytel ne avevamo già parlato sul forum

crio005

Quindi devo solo tenere aggiornato il router per vedere se risolvono questo bug

handymenny

crio005 ma non è un bug, ti sta sola avvisando che qualche potenziale malintenzionato sta facendo una scan delle porte aperte o qualcosa di simile. Resta il fatto che se non hai porte aperte dall'esterno, puoi ignorare la cosa.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile