Tema: Ataque ?

[CyberQS]

Un saludo a todos antes de nada.

Os cuento, tengo un foro smf 1.1 rc2 como este y desde ayer me está pasando lo siguiente, cada 10 o 15 minutos me enran de golpe un montón de visitantes que al mirar qu ehacen me dice accion desconocida, en los 5 meses que hace que tengo el foro nunca me había pasado, a ver si alguien me sabe decir si es un ataque o que es, y si hay forma de solucionarlo por que el problema es que tanta visita inutil me está comiendo todo el tráfico web.

Es una web "familiar" donde hasta ahora no teníamos mas de 5 o 6 visitantes en todo el día, desde ayer son unos 500 cada hora, la verdad me parece rarísimo.

Esto es un pedacito de la lista de usuarios.

Código: [Seleccionar]

Visitante  (58.234.29.)  22:04:33  Acción Desconocida
Visitante (222.125.35.) 22:04:23 Acción Desconocida
Visitante (200.69.174.) 22:04:22 Acción Desconocida
Visitante (218.75.125.) 22:04:14 Acción Desconocida
Visitante (202.234.131.) 22:04:05 Acción Desconocida
Visitante (202.103.180.) 22:04:01 Acción Desconocida
Visitante (88.156.91.) 22:03:58 Acción Desconocida
Visitante (70.91.137.) 22:03:55 Acción Desconocida
Visitante (201.6.135.) 22:03:44 Acción Desconocida
Visitante (201.17.202.) 22:03:43 Acción Desconocida
Visitante (200.204.149.) 22:03:39 Acción Desconocida
Visitante (125.184.27.) 22:03:37 Acción Desconocida
Visitante (202.162.193.) 22:03:34 Acción Desconocida
Visitante (200.220.199.) 22:03:27 Acción Desconocida
Visitante (195.131.207.) 22:03:24 Acción Desconocida
Visitante (201.17.177.) 22:01:16 Acción Desconocida
Visitante (84.244.1.) 22:00:46 Acción Desconocida
Visitante (212.100.193.) 22:00:46 Acción Desconocida
Visitante (200.142.98.) 22:00:10 Acción Desconocida
Visitante (201.55.104.) 22:00:09 Acción Desconocida
Visitante (101.225.240.) 22:00:07 Acción Desconocida
Visitante (200.88.223.) 22:00:06 Acción Desconocida
Visitante (83.170.249.) 21:59:31 Acción Desconocida
Visitante (212.64.128.) 21:58:20 Acción Desconocida
Visitante (203.198.69.) 21:57:46 Acción Desconocida
Visitante (201.52.185.) 21:57:45 Acción Desconocida
Visitante (85.185.129.) 21:57:31 Acción Desconocida
Visitante (203.187.16.) 21:51:07 Acción Desconocida
Visitante (61.155.22.) 21:50:57 Acción Desconocida
Visitante (213.173.250.) 21:50:49 Acción Desconocida
Visitante (61.131.55.) 21:50:26 Acción Desconocida
Visitante (210.114.174.) 21:50:25 Acción Desconocida
Visitante (213.240.225.) 21:50:13 Acción Desconocida
Visitante (201.17.170.) 21:50:13 Acción Desconocida
Visitante (61.155.59.) 21:49:17 Acción Desconocida
Visitante (83.18.173.) 21:48:49 Acción Desconocida
Visitante (218.101.218.) 21:47:29 Acción Desconocida
Visitante (62.101.75.) 21:47:26 Acción Desconocida
Visitante (64.172.189.) 21:43:33 Acción Desconocida
Visitante (203.210.192.) 21:43:31 Acción Desconocida
Visitante (159.148.229.) 21:43:09 Acción Desconocida
Visitante (69.61.78.) 21:43:08 Acción Desconocida
Visitante (202.149.84.) 21:43:02 Acción Desconocida
Visitante (200.49.176.) 21:42:47 Acción Desconocida
Un saludo y gracias 

[Liamngls]

Hola, te he modificado las IP's que has puesto, comprende que es un dato personal que no debería ser publicado así como así, simplemente he eliminado el último dato de cada una de ellas.

A ver que nos comentan los compañeros, aunque por lo poco que sé lo de acción desconocida es algo relativamente normal, lo que no sé es que leches hacen esos visitantes para que salga eso.

[CyberQS]

Publiqué las IPs completas por que tenía en mente lo del ataque y pense que al ser IPs anónimas no habría problema, pero si, tienes razón ha sido un fallo por mi parte, de todas formas habérme dado el toque que ya las habría modificado yo, ¡¡ menudo currelo te has metido !!  gracias.

MIra, a mi lo que realmente me parece extraño y lo que me hace pensar que se trata de un ataque es que el mogollón de visitantes no hace nada, simplemente entran, quedan como "accion desconocida" y nada mas, no navegan, y lo que decía antes, de tener como mucho 10 visitantes diarios he pasado a tener unos 500 a la hora y todos hacen lo mismo.

A saber. 

[Dabo]

Hola, tu web está alojada en un servidor Windows??

De todos modos no es un buen sintoma,  con buen criterio Liam ha ocuiltado las ips en parte pero por lo que veo son de asia etc etc y no me huelen a nada bueno la verdad, me suenan a servers troyanizados de esos que suelo ver muchas veces lanzando ataques distribuidos contra ciertos sitios web pero me faltarían datos la verdad y podrían ser muchas cosas

Saludos .

[MClaud]

Ciertamente son ip de servidores anonimos y son de paises asiaticos, y no importaria mucho el haber dejado las ip porque al rastrear se hace de rangos del 0 al 255, pero como dice Dabo, faltarian datos porque bien puede ser un usuario spoofeado que el sistema de seguridad lo filtra o un ataque dada la periodicidad entre intentos en corto tiempo

Location: Ukraine (high) [City: Kiev, Misto Kyyiv]

% Information related to '83.170.249.0 - 83.170.249.255'

inetnum:      83.170.249.0 - 83.170.249.255
netname:      SOL-DIALUP-II-SOVAMUA
descr:        SOL Dialup Kiev
country:      UA
admin-c:      SONC
tech-c:       SONC
status:       ASSIGNED PA
remarks:      Please send abuse notification to *****@svitonline.com
notify:       ********@svitonline.com
remarks:      INFRA-AW
mnt-by:       SOVAMUA-MNT
changed:      *****@svitonline.com 20040720
source:       RIPE

 

[Liamngls]

Ciertamente son ip de servidores anonimos y son de paises asiaticos, y no importaria mucho el haber dejado las ip porque al rastrear se hace de rangos del 0 al 255

Sí, pero suponiendo que no fuesen de servidores anónimos no es lo mismo tener el rango de IP de un usuario que la IP completa, básicamente porque si el usuario está tras un firewall quizás al hacer el escaneo de todo el rango no encuentres su IP mientras que si ya la tienes, pues eso, ya la tienes y vas a tiro fijo.

[MClaud]

Disculpame amigo Liamngls pero ocacionalmente utilizo un multiproxy con los que me conecto usando los mismos o similares ip que los que le dan problema a CyberQS, por eso me atrevo a mencionar que no importa mucho el dejar esos ip porque un rastreo no conduce a ningun lugar, pero nos estamos saliendo del tema, mejor esperemos a conocer alguna información que nos permita saber de donde proviene los intentos de intrusión o simplemente la conexion desde un multiproxy

[Liamngls]

No creo que nos estemos saliendo del tema, yo elimino el dato de las IP's antes de ver de donde son o de donde dejan de ser.

Ahora que lo dices, me dejais con la duda de si habeis revisado todas esas IP's una por una ya que no son todas de paises asiáticos, y quizás tampoco sean todas de proxys.

Y si fuesen todas de proxys tú misma has dicho que esos rastreos no llevarían a ninguna parte, con lo cual si nos ponemos de acuerdo en que todas las IP's son de proxys podríamos dar el tema por zanjado, supongo.

[CyberQS]

No, por favor, no dejéis el tema zanjado que hoy sigue la cosa igual en mi web, decis que necesitáis mas información, decidme lo que necesitáis que gustosamente os daré tdo la información que queráis y que esté en mi mano daros.

[Dabo]

lo que está claro es que ese incremento de trafico no es normal y vaya, te preguntaba si está en un servidor Windows por el exploit que hay para el foro en máquinas windows pero es obvio que algo no va bien. El problema es que en esos casos yo se más o menos que mirar a nivel de servidor pero en el tuyo no lo tengo tan claro.

Porque ese ritmo no me pega que puedan ser robots de buscadores etc

A ver si nos puedes dar algun dato más