Galera, ontem percebi na entrada de meu link que meu upload estava dando mais de 60mb, hoje vi ate 150mb, percebi que era um ataque direto pro meu MK-Auth, se eu tirava o cabo dele voltava ao normal, o mais estranho é que ele tem ip real, tirei o ip, não ficou nenhum nat em cima, e mesmo assim continua o trafego.
Realizando um torch na porta descobri uns três ips de fora, mas mesmo bloqueando eles via firewall continua o problema.
Para amenizar o problema setei na porta de meu mk-auth para que a mesma trabalhe apenas em 10mb, ai de tempo em tempo o trafego sobe fica em torno de 9,8 e depois para por alguns segundos.
Para adicionar comentários, você deve ser membro de MK-AUTH.
Respostas
manda mensagem no whatsapp, que combinamos um valor e resolvemos isso, abraços!
(94)991414813
Pitet disse:
acompnhado
Thiago, estou com o mesmo problema, mais nao entendo muito de linux, estou pensando em formatar e reinstalar o mk-auth depois porem to pensando no backup, será que o arquivo de backup nao fica com alguma linha de comando ?... podes me dar uma ajuda com relaçao as regras no firewall do mikrotik?
Obrigado
Pessoal, esse problema é mais sério do que um simples ataque DDoS, até porque retirar o IP público não resolve.
Aqui, por um descuido, sofri com esse problema quando coloquei IP público no MK-Auth. O que ocorreu foi que, como a senha do usuário root do Debian era muito fraca, invadiram o sistema e colocaram um monte de porcaria rodando lá gerando tráfego absurdo para um destino na Internet. O ataque vem de dentro do MK-Auth, por isso remover o IP público não resolve, mas tirar o acesso à Internet faz parar. Para se ter uma ideia, ele topava a porta de 1Gbps entre o servidor do MK-Auth e uma RB3011 e gerava mais de 50.000 pacotes por segundo (pps), chegando a extrapolar até o limite do nosso link, consumindo o dobro da capacidade dele.
Consegui conter o ataque bloqueando o tráfego para o IP (pelo IP/Firewall/RAW, porque a RB não aguentou de outa forma), mas o maldito do malware continuava rodando, e isso topava o processador em 100% (quem está apenas removendo o acesso do MK-Auth à Internet vai sofrer com lentidões por causa disso). O bicho é maldito, recria processos automaticamente, então mesmo que mate-o com kill ou killall, ele volta, cada vez com um nome aleatório diferente, além de criar processos com vários binários diferentes do sistema (vi ls, top, cd, e vários outros binários usando 100% de CPU). Consegui remover essa praga, após alguns procedimentos que param o processo (sem matá-lo, senão ele volta) e depois removendo todos arquivos relacionados, em /etc/init.d, /etc/cron.daily (ele também insere uma linha no /etc/crontab), /usr/sbin e vários outros diretórios. Depois de um reboot, só tive que remover mais alguns arquivos que antes o malware não estava permitindo, e ficou tudo limpo.
O problema todo se resumiu a uma coisa: senha fraca no usuário root. A senha nossa aqui era "sistema", porque quem instalou não teve o cuidado (não fui eu), mas mudei para uma extremamente forte (usem o howsecureismypassword.net para testar) e fiz um filtro no firewall liberando conexões externas apenas para porta 80 e 443, e não houveram mais problemas.
Desativando o NAT você não perde o acesso externo? sem contar que também não funcionará os serviços de sms, email, backup online e gateway de pagamento, essa não é a melhor forma de resolver, pois você está perdendo mais do que ganhando...
O único problema de desativar o nat que vai para o mk-auth, é que ele fica sem internet, se alguém tiver uma outra dica pra ajudar será bem vinda. Obrigado
Juliano, obrigado pela ideia. Fiz isso tbm e parou o tráfego alto!
Juliano Alves Fernandes disse:
gente a unica forma foi desativar o nat que ia pro mk-auth, estranho é que deixei o ip real que uso pro site e ta ok.
manda um toch com as portas tbm
amigo, manda umas print do seu torch para avaliarmos, varias cabecas pensam mais que uma...
Att
Juliano Alves Fernandes disse:
-
1
-
2
de 2 Próximo