PumpIT Posted April 8 Posted April 8 Проявились опять "штатные" проблемы с этими регистраторами XM(старые, с прошивкой 2018г. никак не до дохнут), как и обычно, возникли очередные проблемы активации какой то фигни, ботнет по ходу, короче на выход идет полка трафика от них, в логах регистраторов владельцев, всегда есть вход пользователя Server с подсети бразильского VPS до начала полки. Блокируем эти сети, но интересно все таки посмотреть, что он делает в этот момент, как он может своим SoC генерировать столько трафика, который явно куда то направлен. Вставить ник Quote
Saab95 Posted April 10 Posted April 10 В 08.04.2026 в 22:19, PumpIT сказал: Проявились опять "штатные" проблемы с этими регистраторами XM VPN использовать для подключения пользователей / администраторов для доступа на удаленный регистратор - первое что нужно сделать для нормальной работы регистратора, а не просто порт пробрасывать. Более того, если просто проброшен порт, на регистратор идет много активности и запросов. Порой это 20-100 килобит туда/сюда. Если отключить регистратор / IP адрес, входящий поток поступает еще минут 10-15, потом все пропадает. То есть это именно трафик через регистратор, целенаправленный, а не какой-то мусор. Вставить ник Quote
PumpIT Posted April 10 Posted April 10 @Saab95 VPN там не отвалился у вас? Все, что идет через эти буквы, внутри региона разваливаются, забудьте. Трафик исходящий, после блокировки бразильцев-попустило. @straus Не получается затащить к себе рег, уже который раз не срастается. Очередная сеть: 45.205.1.0 0.0.0.255 any (35088 estimate matches) Вставить ник Quote
straus Posted April 11 Author Posted April 11 В 10.04.2026 в 23:35, PumpIT сказал: Очередная сеть: 45.205.1.0 Прошу пардону, это входящие соединения на регистратор? Неплохо бы проверить, что прошивку не переписали. И перезагрузить рег. Дело в том, что в прошивке может быть дыра, но через неё можно только подломать управление, а исполняемая программа (которая генерит поток) должна быть либо добавлена в прошивку, либо загружена в оперативку. Во втором случае после перезагрузки пропадёт. И ещё интересный момент. То есть, после обрыва входящих соединений пропали исходящие? Блин, ну очень интересно полный список внутрь/наружу. В 10.04.2026 в 19:02, Saab95 сказал: VPN использовать для подключения пользователей Какой нафиг VPN в РФ? Режут по сигнатуре/отпечатку/через DPI. Вставить ник Quote
PumpIT Posted April 11 Posted April 11 @straus Это вход пользователя System с этим адресом, которого не существует в списке пользователей, и после входа этого пользователя начинается всплеск исходящего трафика на выход, прям полка, что за трафик самому интересно), если оборвать соединения, убрав белый адрес, ничего не меняется трафик так и прет. А, и попасть на рег не получается в момент атаки(таймаут авторизации) Вставить ник Quote
straus Posted April 11 Author Posted April 11 У этого рега порт по умолчанию 34567 или 37776/37777 ? Со скрытым пользователем System интересно. Вставить ник Quote
PumpIT Posted April 12 Posted April 12 @straus Да, 34567, но "спрятан" за другим портом Вставить ник Quote
straus Posted April 12 Author Posted April 12 Ну значит практически во всех регах с портом 34567 будет сия дыра. Вставить ник Quote
PumpIT Posted April 12 Posted April 12 4 часа назад, straus сказал: Ну значит практически во всех регах с портом 34567 будет сия дыра. Так и есть, но пока, после закрытия этих адресов, все спокойно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.