Author Topic: útoky nebo avast?  (Read 2532 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
útoky nebo avast?
« on: February 27, 2018, 03:56:47 PM »
Dobrý den,

jsme lokalní ISP které poskytuje bezdrátový internet lidem v bytových domech. A řešíme pokusy o přihlášování ftp na barákovou GW.
Dost často se setkáváme s úplně identickým logem u klientů. Nemá Avast nějakou speciální funkci která by zkoušela zabezpečení výchozí brány?

log:
10.51.58.209   2018-02-14 19:23:41   admin   ftp
10.51.58.209   2018-02-14 19:23:40   admin   ftp
10.51.58.209   2018-02-14 19:23:39   admin   ftp
10.51.58.209   2018-02-14 19:23:38   admin   ftp
10.51.58.209   2018-02-14 19:23:37   admin   ftp
10.51.58.209   2018-02-14 19:23:36   admin   ftp
10.51.58.209   2018-02-14 19:23:35   admin2   ftp
10.51.58.209   2018-02-14 19:23:34   admin2   ftp
10.51.58.209   2018-02-14 19:23:33   admim   ftp
10.51.58.209   2018-02-14 19:23:32   adm   ftp
10.51.58.209   2018-02-14 19:23:31   Username   ftp
10.51.58.209   2018-02-14 19:23:30   User   ftp
10.51.58.209   2018-02-14 19:23:29   User   ftp
10.51.58.209   2018-02-14 19:23:28   Administrator   ftp
10.51.58.209   2018-02-14 19:23:27   Administrator   ftp
10.51.58.209   2018-02-14 19:23:26   Admin   ftp
10.51.58.209   2018-02-14 19:23:25   Admin   ftp
10.51.58.209   2018-02-14 19:23:24   root   ftp
10.51.58.209   2018-02-14 19:23:23   root   ftp
10.51.58.209   2018-02-14 19:23:22   administrator   ftp
10.51.58.209   2018-02-14 19:23:21   administrator   ftp
10.51.58.209   2018-02-14 19:23:20   Administrator   ftp
10.51.58.209   2018-02-14 19:23:18   Administrator   ftp
10.51.58.209   2018-02-14 19:23:17   Admin   ftp
10.51.58.209   2018-02-14 19:23:17   Admin   ftp
10.51.58.209   2018-02-14 19:23:15   admin   ftp
10.51.58.209   2018-02-14 19:23:14   admin   ftp
10.51.58.209   2018-02-26 23:09:20   DXDSL   ftp
10.51.58.209   2018-02-26 23:09:19   ZXDSL   ftp
10.51.58.209   2018-02-26 23:09:18   TMARDLKT93319   ftp
10.51.58.209   2018-02-26 23:09:17   admin   ftp
10.51.58.209   2018-02-26 23:09:16   admin   ftp
10.51.58.209   2018-02-26 23:09:15   admin   ftp
10.51.58.209   2018-02-26 23:09:14   admin   ftp
10.51.58.209   2018-02-26 23:09:13   admin   ftp
10.51.58.209   2018-02-26 23:09:12   admin   ftp
10.51.58.209   2018-02-26 23:09:11   admin   ftp
10.51.58.209   2018-02-26 23:09:10   admin   ftp
10.51.58.209   2018-02-26 23:09:09   admin   ftp
10.51.58.209   2018-02-26 23:09:08   admin   ftp
10.51.58.209   2018-02-26 23:09:07   admin   ftp
10.51.58.209   2018-02-26 23:09:06   admin   ftp
10.51.58.209   2018-02-26 23:09:05   admin   ftp
10.51.58.209   2018-02-26 23:09:04   admin   ftp
10.51.58.209   2018-02-26 23:09:03   admin   ftp
10.51.58.209   2018-02-26 23:09:02   admin   ftp
10.51.58.209   2018-02-26 23:09:01   admin   ftp
10.51.58.209   2018-02-26 23:09:00   admin   ftp
10.51.58.209   2018-02-26 23:08:59   admin   ftp
10.51.58.209   2018-02-26 23:08:58   admin   ftp
10.51.58.209   2018-02-26 23:08:57   admin   ftp
10.51.58.209   2018-02-26 23:08:56   admin   ftp
10.51.58.209   2018-02-26 23:08:55   admin   ftp
10.51.58.209   2018-02-26 23:08:54   admin   ftp
10.51.58.209   2018-02-26 23:08:53   admin   ftp
10.51.58.209   2018-02-26 23:08:52   admin2   ftp
10.51.58.209   2018-02-26 23:08:51   admin2   ftp
10.51.58.209   2018-02-26 23:08:50   admim   ftp
10.51.58.209   2018-02-26 23:08:49   adm   ftp
10.51.58.209   2018-02-26 23:08:48   Username   ftp
10.51.58.209   2018-02-26 23:08:47   User   ftp
10.51.58.209   2018-02-26 23:08:46   User   ftp
10.51.58.209   2018-02-26 23:08:45   Administrator   ftp
10.51.58.209   2018-02-26 23:08:44   Administrator   ftp
10.51.58.209   2018-02-26 23:08:43   Admin   ftp
10.51.58.209   2018-02-26 23:08:42   Admin   ftp
10.51.58.209   2018-02-26 23:08:41   root   ftp
10.51.58.209   2018-02-26 23:08:40   root   ftp
10.51.58.209   2018-02-26 23:08:39   administrator   ftp
10.51.58.209   2018-02-26 23:08:38   administrator   ftp
10.51.58.209   2018-02-26 23:08:37   Administrator   ftp
10.51.58.209   2018-02-26 23:08:36   Administrator   ftp
10.51.58.209   2018-02-26 23:08:35   Admin   ftp
10.51.58.209   2018-02-26 23:08:34   Admin   ftp
10.51.58.209   2018-02-26 23:08:33   admin   ftp
10.51.58.209   2018-02-26 23:08:32   admin   ftp

Offline Filip Braun

  • Avast team
  • Jr. Member
  • *
  • Posts: 97
Re: útoky nebo avast?
« Reply #1 on: March 12, 2018, 05:37:16 PM »
Dobry den,

Avast jako soucast ochrany domacich siti provadi sitovy scan.
Soucasti scanu je objeveni vsech zarizeni na siti (vcetne vychozi brany) a pokus o zjisteni ruznych zranitelnosti.
Jedna ze zjistovanych zranitelnosti je i slabe heslo do administrace, pripadne dalsich servis, bezicich na routeru (vychozi brane).

V pripade, ze je sit koncipovana tak, ze se Vasi zakaznici v dome pripojuji na jeden spolecny router, tak bude timto scanovan.

S pozdravem,
Filip Braun
« Last Edit: March 12, 2018, 05:40:45 PM by Filip Braun »

REDACTED

  • Guest
Re: útoky nebo avast?
« Reply #2 on: March 12, 2018, 06:48:42 PM »
Dobrý den,

tímto způsobem se může chovat virus, ovšem nikdy se takto nesmí chovat antivirus - a rozhodně ne bez vědomí uživatele a zcela automaticky.


Dnes jsem řešil automaticky zablokovaný provoz z jednoho počítače v síti klienta, protože IDS vyhodnotilo pokusy o přihlášení na ftp routeru jako útok a zablokovalo provoz z inkriminovaného počítače.
Po nalezení vašeho vyjádření samozřejmě doporučím uživateli přechod na jiný anitivirus.

Hezký den.

REDACTED

  • Guest
Re: útoky nebo avast?
« Reply #3 on: March 19, 2018, 06:55:39 PM »
Dobrý den,

tato funkce je pro zlost. Není týden aby jsme u nás neměli zablokovaného uživatele. Systém uživatele vždy bez milosti odpojí od internetu.
Do teď jsme jim ještě všem zasílali email o pravděpodobné infekci počítače. Většina těchto uživatelů si následně platila reinstalace počítačů.
Teď jim tedy asi budeme muset posílat email s informací že mají změnit antivirus. Jinak je totiž bude náš systém stále odpojovat...

Offline jursa

  • Avast team
  • Jr. Member
  • *
  • Posts: 38
Re: útoky nebo avast?
« Reply #4 on: March 20, 2018, 11:35:00 AM »
Dobry den,

automaticky sitovy scan site by se mel provadet automaticky pouze jednou a to v pripade, ze je sit nova a uzivatel na ni jeste nebyl. Kazde dalsi pokusy, ktere vidite v IDS logu jsou zpusobene manualne spustenym testem site z GUI primo uzivatelem. Pokud to tak neni, je to chyba a potrebovali bychom od uzivalele logy, pokud mozno.
Z nasich dat vyplyva, ze vice jak 50% devicu celosvetove ma nastaveno vychozi heslo admin/admin, ci jine prihlasovaci udaje pouzivane v utocich ruznymi aktivnimi botnety. Avast se jako virus nechova, snazi se zjistit zranitelne prihlasovaci udaje a ty nareportovat uzivateli. Virus se snazi diky slabym prihlasovacim udajum doinfikovat cely system.

Aktualne pracujeme na systemu, ktery by minimalizoval pocet pokusu o zjisteni defaultniho hesla podle patricneho typu zarizeni.

REDACTED

  • Guest
Re: útoky nebo avast?
« Reply #5 on: March 20, 2018, 04:06:45 PM »
Dobrý den,

klidně ať si automatický scan udělá dva pokusy za den. Ale nemůže během minuty udělat 50 pokusů o přihlášení.
To plno systémů identifikuje jako útok. A pak úplně zbytečně dochází k odpojení uživatele od internetu.
A u několika uživatelů to bylo opravdu opakovaně. A jako ISP opravdu nechceme řešit zdali se náhodou nejedná o Vaši super
funkci.