Ir para conteúdo
View in the app

A better way to browse. Learn more.

Portal do Host

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Featured Replies

Postado

Olá pessoal,

 

Vim através deste tópico notificar vocês para que façam bloqueio de Servidores NTP em suas redes (Geralmente o VMware ESXi 4.*) pois é uma grande ameaça para nós que trabalhamos no mercado de hosting.

 

1. Se você utilizar o ntpd, atualize o mesmo a versão mais recente, na qual remove o comando "monlist" que é usado para esses ataques, ou também poderá desabilitar a função de monitorização, acrescentando "disable monitor" ao arquivo /etc/ntp.conf.
2. Defina a instalação NTP para atuar como um único cliente. Com ntpd, pode ser feito com "restrict default ignore" no /etc/ntp.conf; outros daemons deve ter uma opção de configuração similar. Mais informações sobre a configuração de dispositivos diferentes podem ser encontrados aqui: https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
 
É importante que o problema seja resolvido em servidores NTP abertos, tendo em mente que o fato de amplificação é de 400x + NTP DRDoS - um pedido de 40 bytes de comprimento geralmente gera 18.252 bytes no valor de tráfego de resposta - com somente UMA máquina de 1Gbps é capaz de gerar ataques de até 450Gbps+. 
 
Mais fontes: 

 

Um de meus clientes foi alvo de um ataque na margem de 50Gbps até colocarmos o mesmo, como pode ser visto no seguinte gráfico:

 

g9L1qAc.png


Postado

-- Update

 

Como podem ver abaixo, um de meus hypervisors sendo utilizado p/ataques DDOS

 

Lembrando, provavelmente a falha já está resolvida a partir do ESXi 5.* pois não encontrei nenhum NTP Daemon sendo executado em meus servidores.

 

O servidor que estava sendo utilizado p/ataques utilizava a versão 4.*, então precisei killar o processo de forma mais "bruta" diretamente utilizando o comando kill

 

Antes de ser killado:

 

[root@hosted-by /]# ntpdc -c monlist 108.61.*.*
remote address          port local address      count m ver code avgint  lstint
===============================================================================
hosted-by.carbonhost.c 46796 108.61.*.*           3 7 2    580     11       0
dhcp-077-249-172-138.c    80 108.61.*.*          25 7 2    580     30       2
oss.net1.net            8080 108.61.*.*          51 7 2    580      7       2
server2.allsitecontrol    80 108.61.*.*          51 7 2    580      7       2
cpc11-sotn9-2-0-cust32    80 108.61.*.*          50 7 2    580      7       2
b151c720.virtua.com.br    80 108.61.*.*          22 7 2    580     37       4
cu.comp-unltd.com       8080 108.61.*.*          71 7 2    580      6       4
6bewy3w.ni.net.tr       9987 108.61.*.*          19 7 2    580      7       9
221.23.117.89.static.l    80 108.61.*.*          54 7 2    580      7      11
23.91.115.229-static.r    80 108.61.*.*           2 7 2    580     15      11
alpha.thebouncer.eu     6667 108.61.*.*          53 7 2    580      9      13
squid150.pusd.org         80 108.61.*.*          36 7 2    580      9      18
ks4010633.ip-192-99-1. 25565 108.61.*.*          29 7 2    580     12      23
212-83-131-148.rev.pon 25587 108.61.*.*           9 7 2    580     16      27
host109-145-64-120.ran  3074 108.61.*.*           4 7 2    580      8     100
189.1.169.136          27035 108.61.*.*          55 7 2    580      6     132
108-194-214-49.lightsp    80 108.61.*.*          10 7 2    580     10     159
5.134.115.50              53 108.61.*.*          11 7 2    580     16     174
32.29.208.46.dyn.plus.    80 108.61.*.*          14 7 2    580     26     196
109.103.248.68            80 108.61.*.*          32 7 2    580      8     251
97-117-249-190.phnx.qw    80 108.61.*.*           4 7 2    580     11     278
200-98-64-216.clouduol    80 108.61.*.*           6 7 2    580     13     291
02d939bf.bb.sky.com       80 108.61.*.*           2 7 2    580      0     307
service.playstation.ne    80 108.61.*.*           5 7 2    580     18     326
99-106-138-163.lightsp    80 108.61.*.*           2 7 2    580     22     327
host-77-243-99-53.star   137 108.61.*.*          12 7 2    580     10     357
99-1-38-165.lightspeed  3074 108.61.*.*           1 7 2    580      0     397
c-50-158-149-30.hsd1.i    80 108.61.*.*           1 7 2    580      0     417
201-51-115-254.user.ve    80 108.61.*.*           5 7 2    580     19     427
static-30-241-132-188.  9987 108.61.*.*          16 7 2    580      8     453
ANantes-656-1-232-25.w    80 108.61.*.*           2 7 2    580      1     544
 
Depois de ser killado:
 
[root@hosted-by /]# ntpdc -c monlist 108.61.*.*
ntpdc: read: Connection refused
 
Vamos lá então.
 
Digite o seguinte comando no acesso SHELL do servidor ESXi:
 
ps -aux | grep "ntp" 
 
/etc # ps -aux | grep "ntp"
41954041 41954041 ntpd                 ntpd
 
41954041 é o valor do PID
 
então basta killar o processo usando " kill 41954041 " 
 
 
 


Visitante
Este tópico está impedido de receber novos posts.

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.