[lacnog] RV: Issue 38462210: Server involved in fraud at 200.x.x.x

Fernando R. Soto frsoto en gmail.com
Mie Dic 21 15:30:58 -03 2022


Muchas gracias Emilio. Muy completa tu respuesta. 

 

Slds. 

 

De: LACNOG <lacnog-bounces en lacnic.net> En nombre de Emilio Piovesan vía LACNOG
Enviado el: miércoles, 21 de diciembre de 2022 14:10
Para: Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net>
CC: emilio en drwifi.ec
Asunto: Re: [lacnog] RV: Issue 38462210: Server involved in fraud at 200.x.x.x

 

Hola Fernando,

Te dejo este enlace de una presentación en un MUM de Mikrotik de Wardner Maia en Berlín en el año 2018.






 <https://mum.mikrotik.com/presentations/EU18/presentation_5195_1524667160.pdf> presentation_5195_1524667160

 <https://mum.mikrotik.com/presentations/EU18/presentation_5195_1524667160.pdf> PDF Document · 2 MB

 

Tuve el agrado de conocer brevemente a Warder y aparte de agradable, un gran conocedor del mundo de networking. 

 

En esta presentación, hablaba de IPv6, con una técnica CG-NAT para conexiones IPv4. Salta a la diapositiva 41 aprox.

 

En esta técnica, se asigna rangos de puertos dinámicos a los usuarios con dirección IP privada, para que accedan a internet con source-port con un rango específico conocido. Al saber de antemano que una IP pública es compartida por 20 clientes (por ejemplo) y sabiendo también que el cliente 1 utiliza puertos dinámicos 15000 a 17999, cliente 2 utiliza puertos 18000 a 20999, etc. cuando te hagan este tipo de reporta y te den además de la IP de origen, el puerto; sabrás qué usuario del cg-nat lo hizo.

 

Todo esto va acompañado de un buen sistema de aprovisionamiento y un buen sistema de logging que te automatice en gran escala la asignación de puertos y el registro de varios meses que enlace al cliente final.

 

Por cierto, se recomienda usar netmap, no same.

 

Quizás no te ayude a detectar a tu cliente atacante si la conexión ya desapareció, pero puede ayudarte a prevenir y detectar ataques futuros.

 

Si el ataque sigue activo, pregunta cual es la IP de destino atacada y rastrea con Torch o con Firewall Connections todas las conexiones hacia ese destino. O deja una regla en firewall con log activado.

 

Espero la info sea de tu utilidad.

Un saludo,

Emilio Piovesan

Emilio en telecu.net <mailto:Emilio en telecu.net> 

+593-9-99422000

 

Sent from my iPhone





On Dec 21, 2022, at 7:50 AM, Fernando R. Soto <frsoto en gmail.com <mailto:frsoto en gmail.com> > wrote:

Hola Buen Día. Por favor

Estoy recibiendo avisos de que unos de nuestros abanados está enviando correo extorsivos..
Esta detrás de un Nateo con Mikrotik (regla same)
Alguna idea de como lo puedo detectar? Aparte de puerto tcp 25 q otro puerto puede estar usando?



-----Mensaje original-----
De: Netcraft Takedown Service <takedown-response+38462210 en netcraft.com <mailto:takedown-response+38462210 en netcraft.com> > 
Enviado el: miércoles, 21 de diciembre de 2022 02:02
Asunto: RE: Issue 38462210: Server involved in fraud at 200.x.x.x

Hola,

Hemos descubierto un servidor de correo electrónico en su red que envía mensajes de correo electrónico que intentan extorsionar a los usuarios.

El servidor tiene la dirección IP 200.x.x.x

Les hemos contactado antes sobre este asunto el 2022-12-19 22:56:05 (UTC)

Hemos adjuntado un ejemplo de correo electrónico fraudulento demostrando la participación del servidor de correo. Por favor, cierre este ataque lo antes posible.

Se proporciona más información sobre el problema detectado en https://incident.netcraft.com/b63ff90010b2/

Saludos,

Netcraft

Teléfono: +44(0)1225 447500
Fax: +44(0)1225 448600
Número de emisión de Netcraft: 38462210

Para contactar nosotros sobre este ataque responde a este correo electrónico. NOTA: las repuestas son registradas pero no están siempre leídas. Por caso que estas contactado por error, o si busca más informaciones, no dude en ponerse en contacto con nosotros a través: takedown en netcraft.com <mailto:takedown en netcraft.com> .

Se puede analizar este correo con los instrumentos de x-arf. Para obtener más información, consulte http://www.xarf.org/.


_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net <mailto:LACNOG en lacnic.net> 
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20221221/2d0b2dd0/attachment-0001.htm>
------------ próxima parte ------------
Se ha borrado un mensaje adjunto que no está en formato texto plano...
Nombre     : image001.png
Tipo       : image/png
Tamaño     : 28432 bytes
Descripción: no disponible
Url        : <https://mail.lacnic.net/pipermail/lacnog/attachments/20221221/2d0b2dd0/attachment-0001.png>


Más información sobre la lista de distribución LACNOG