cloudcone声称美国b区进行ddos攻击

后续将开始更新文章

美国epa已经修复。更换为ddos高防ip 173.82.152.82

美国epb已经修复。已解除暂停

原文翻译

云锥

职员 2天前

173.82.168.95 的滥用报告

原投诉:

来自 ddos-response@nfoservers.com 2021 年 11 月 5 日星期五 23:08:58
收到:来自 mail.nuclearfallout.net (mail.nuclearfallout.net [192.223.25.228])
by home3.multacom.com (8.14.7/8.14。 7) 使用 ESMTP id 1A668vIp037140
(版本=TLSv1/SSLv3 密码=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO)
用于abuse@multacom.com;星期五,2021年11月5日23时08分58秒-0700
DKIM-过滤:过滤OpenDKIM v2.11.0 home3.multacom.com 1A668vIp037140
接收:从www.nfoservers.com(www.nfoservers.com [192.223.25.172])
(使用的TLSv1 .2 密码 ECDHE-RSA-AES256-GCM-SHA384(256/256 位))
(无客户端证书请求),
来自 mail.nuclearfallout.net(Postfix),ESMTPS id A9A721B8D1C8
用于abuse@multacom.com; 2021 年 11 月 5 日星期五 23:08:57 -0700 (PDT)
接收:来自
www.nfoservers.com (Postfix) 的www (localhost [127.0.0.1] ),ESMTP id
98234413F15,来自abuse@multacom.com;2021 年 11 月 5 日星期五 23:08:57 -0700 (PDT)
发件人:“NFOservers.com DDoS 通知程序” ddos-response@nfoservers.com
主题:用于攻击的开放 SNMP 服务:173.82.168.95
收件人:abuse@multacom。 com
内容类型:文本/纯文本;charset="iso-8859-1"
日期:2021 年 11 月 5 日星期五 23:08:57 -0700
Mime-Version: 1.0
Message-ID: 58052341636178937@nfoservers.com
Content-Transfer-Encoding: 8bit
X-MIME-Autoconverted:从引用可打印到 8 位 by home3.multacom.com id 1A668vIp037140

您似乎在 IP 地址 173.82.168.95 上运行一个开放的 SNMP 服务器,该服务器参与了对我们客户的攻击,对欺骗查询生成大量 UDP 响应。

请考虑通过以下一种或多种方式重新配置您的 SNMP 设备:

  • 阻止未经授权的地址进行的查询。这可以通过 ACL 或其他防火墙规则来完成。
  • 使用与“public”不同的查询字符串,并且不能轻易被第三者猜到。
  • 完全禁用 SNMP。

如果您是 ISP,还请查看您的网络配置并确保您不允许欺骗流量(假装来自外部 IP 地址)离开网络。允许欺骗流量的主机使这种类型的攻击成为可能。

下面给出了您的设备在攻击期间发送给我们的 SNMP 响应示例。
日期/时间戳(最左边)是 UTC。

2021-11-06 03:21:50.129401 IP (tos 0x28, ttl 55, id 0, offset 0, flags [DF], proto UDP (17), length 1219)
173.82.168.95.161 >.125.161 59346: UDP, 长度 1191
0x0000: 4528 04c3 0000 4000 3711 21d2 ad52 a85f E(....@.7.!..R.
0x0010: 4a5b 7d23 e...J.0804000000000000000000000000000000000000000000000000000000000 ...0...
0x0020: 0201 0104 0670 7562 6c69 63a2 8204 9402 .....公共.....
0x0030: 0101 0201 0002 0100 3082 06 .......... 06 ....06 ..... 0i..
0x0040: 2b06 0102 0101 0100 045d 4c69 6e75 7820 +........]Linux.
0x0050: 616d 6570 322e amep2.
2021-11: 203, 205, 205, 205, 205, 205 050 000 id 0, offset 0, flags [DF], proto UDP (17), length 1219)
173.82.168.95.161 > 74.91.125.x.46621: UDP, length 1191
0x0000: 4528 04c3 0000 4000 3711 21d2 ad52 a85f E(....@.7.!..R.

0x0010: 4a5b 7d23 00a1 b61d 04af 0464....0#4af 0464..... 30000
0×0020:0201 0104 0670 7562 6c69 63A2 8204 9402 .....公共.....
0x0030:0101 0201 0100技术3082 0487 3069 0608 ........ 0 ... .. 0I
即0x0040:2B06 0102 0101 0100 045d 4c69 6e75 7820 +........]
Linux。0x0050:616d 6570 322e amep2。

(我们客户的 IP 地址的最后一个八位字节在上面的输出中被屏蔽了,因为当包含多个 IP 地址时,一些自动解析器会变得混乱。该八位字节的值为“35”。)

-约翰
总裁
NFOservers.com

(我们发送了太多此类通知,并且看到了如此多的自动回复,以至于我们无法有效地浏览此电子邮件收件箱。如果您有后续问题,请通过 noc@nfoe.net 与我们联系。 )

最好的问候,
CloudCone

云锥

职员 2天前

你好,

这是一封自动滥用报告通知电子邮件。

请参阅此滥用报告并将调查结果告知我们以避免服务中断。

这可能是由于您的服务器被黑客入侵或机器上存在恶意软件。

由于这是一条自动消息,如果您最近部署了服务器,并且此滥用报告并未反映到您的服务器,请回复此电子邮件,以便我们将报告标记为已解决

尽快更新我们

谢谢

最好的问候,
CloudCone

由此可见,跑路云并没有跑路,因为...

服务暂停邮件

2021-11-7 北京时间16点30

Dear 1526147838,

Your compute instance has been suspended, access to the service was temporary disabled.

  • Suspended: compute instance - amep2

This could be due to a billing or and administrative reason, to avoid confusion please contact us and discuss the problem facing with your account.

If your service has been suspended due to an unpaid invoice, please visit the client area and pay your due invoices to avoid service termination

Apologies,
Regards,
CLOUDCONE

我在周一下午的选修课进行日常维护

发现了这一点。通过与cloudcone交涉,成功解除了暂停状态

在11-8下午4点,解除成功。

最后声明

跑路云仍然为大家提供服务

最后修改:2021 年 11 月 09 日
如果觉得我的内容对你有用,请随意赞赏