This article is not yet available in English. Showing the Vietnamese version.

Gần 50% Log Firewall Ngập Rác Từ Brazil: Bị Quét Port Hay Trở Thành Lính Đánh Thuê Bất Đắc Dĩ?

February 20, 20265 min read

Đang yên đang lành check log firewall thấy gần nửa traffic là rác từ các pháp sư Brazil nã vào port 443. Tưởng là botnet scan bình thường, ai ngờ lòi ra cú twist ảo ma.

Share this post:

technology, center, business, digital, network, server, internet, communication, data, gigabit, administrator, server room, wire, lan, information, infrastructure, firewall, datacenter, wan, optic, computer, switch, speed, link, plug

Nguồn gốc: https://coding4food.com/post/50-phan-tram-log-firewall-ngap-rac-tu-brazil-botnet-hay-ddos. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/50-phan-tram-log-firewall-ngap-rac-tu-brazil-botnet-hay-ddos. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/50-phan-tram-log-firewall-ngap-rac-tu-brazil-botnet-hay-ddosNguồn gốc: https://coding4food.com/post/50-phan-tram-log-firewall-ngap-rac-tu-brazil-botnet-hay-ddos. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/50-phan-tram-log-firewall-ngap-rac-tu-brazil-botnet-hay-ddos. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/50-phan-tram-log-firewall-ngap-rac-tu-brazil-botnet-hay-ddos

Share this post:

Bình luận

log in, login, log on, symbol, gui, button, computer, icon, black computer, black laptop, log in, login, login, login, login, login

IT Drama Dev Life

The Ultimate CYA: User Blames IT for 'Broken' Tools to Hide His 2-Hour Workdays

A hilarious Reddit saga where a remote worker blamed the IT support team for his lack of productivity, only for system logs to reveal he barely works at all.

Apr 173 min read

umbrella, alone, sad, depression, abandoned, portrait, woman, beautiful, sad girl, young model, model, human, view, person, people, face, girl, fashion, young women, beauty, young girl, make-up, lady, model beauty, youth, looks, innocence, eyes, smile, sweet girl, aesthetic, modern, to wait, sign, fire, torch

Dev Life IT Drama

Fired After a Family Tragedy: 'I Got Fired and I Deserved It'

A heartbreaking Reddit thread about a sysadmin who lost everything, caused a massive server outage, got fired, and surprisingly took full accountability.

Mar 243 min read

office, home office, creative, apple, mac, airbook, designer, desktop, laptop, computer, notebook, style, freelancer, to blog, blog, work, office work, office, office, office, office, office, apple, laptop, laptop, computer, computer, computer, blog, blog, work, work

IT Drama Dev Life

Carrying 300 Users, Denied a Raise: The Ultimate Sysadmin Revenge Quit

A sysadmin was forced to do the job of a 2-man team for 300 users. The CFO denied a raise, so he bounced for a $20k bump and a real team. A classic IT tale.

Mar 183 min read

ai generated, woman, office worker, employee, computer, desk job, desk work, work, office, table, business

IT Drama Dev Life

The $18k Setup: Senior IT Pro Quiet Quits After Losing Bonus for Not Resetting Passwords

A seasoned sysadmin carried his company's IT infrastructure for 5 years, only to lose an $18,000 bonus over peak corporate BS. Here is the full story.

Mar 73 min read

ai generated, server room, technology, computer, digital, business, internet, data, network, programming, communication, server room, server room, server room, technology, programming, programming, programming, programming, programming

IT Drama AI & Automation

"Don't Use InDesign for Confidential Data": Adobe's Wild Tech Support Moment & The Sysadmin Nightmare

Adobe support told a sysadmin to stop using InDesign for confidential files due to Firefly AI auto-uploading images. IT folks are furious over the lack of MDM controls.

Mar 54 min read

Tự nhiên một ngày đẹp trời mở log con firewall lên check, ông anh sysadmin tí sặc ngụm cà phê khi thấy gần một nửa traffic trong ngày là từ mấy pháp sư Brazil không mời mà tới. Dạo này Nam Mỹ đổi món hay sao mà cắn RAM, bú tài nguyên thiết bị của anh em kinh thế?

Nguồn cơn vụ "úp sọt" cắn nát bảng state firewall

Chuyện là một tay to bên Mỹ xài con hàng Unifi UDM SE xịn sò, cắm đường truyền cáp quang xịn (có cả IP tĩnh /27). Rảnh rỗi lôi data ra soi thì thấy thông số toang thực sự:

Flow log ngập ngụa: Trôi qua 12 tiếng đồng hồ, gateway ghi nhận khoảng 286k flows. Vãi nồi là hơn 127k trong số đó (chiếm 44.6%) là inbound từ các IP Brazil, và toàn bộ đều cắm đầu nã vào port 443.
Băng thông bé xíu nhưng phá hoại ngầm: Đống rác này tổng cộng có 17.2 MB, trong khi traffic thật của mạng là 68.1 GB. Dữ liệu tuy không làm bão hòa đường truyền, nhưng nó ăn mất một nửa session table, nhồi rác vào log và làm con firewall tốn tài nguyên xử lý vô ích.
Nguồn gốc ảo ma: Traffic không đến từ mấy cái camera hay router smarthome bị dính mã độc nằm rải rác. Nó đến từ đúng 5,306 IP thuộc về 2 nhà mạng ISP cỏ ở Brazil (67 Telecom và JK Telecomunicações).
Quét sạch không trượt phát nào: Điều rùng rợn là bọn này không gửi traffic random. Bọn nó quét toàn bộ từ .0 đến .255 của 18 dải mạng /24 liên tiếp nhau.

Chủ thớt phân tích ngay: Cái trò quét sạch 100% IP trong dải subnet thế này chứng tỏ không phải máy người dùng bị nhiễm virus. Đây là biểu hiện của việc toàn bộ hạ tầng cốt lõi (core router, CGNAT) của hai cái ISP kia đã bị hacker lấy cả chì lẫn chài.

Giang hồ mạng Reddit và cú "quay xe" khét lẹt

Anh em IT trên Reddit rần rần bay vào mổ xẻ, và chúng ta có vài luồng quan điểm cực kỳ bánh cuốn:

1. Mổ xẻ hạ tầng mạng lởm: Vài lão làng lôi ngay Shodan ra rà quét thử mấy dải IP kia thì thấy lòi ra một đống thiết bị Mikrotik đang mở tớ hê. Đa số anh em đều chốt kèo: Mấy ông ISP cỏ này xài đồ Mikrotik nhưng lười update firmware, không vá lỗ hổng. Mà Mikrotik đợt trước vừa có mấy cái bug chí mạng bị khai thác tơi bời. Kết quả là bọn hacker chiếm luôn router tổng, biến nguyên cả nhà mạng thành một cái botnet khổng lồ.

2. Cú twist từ pháp sư ẩn danh: "Các ông nhầm cmnr!" Đang chửi bọn ISP lởm thì một cao nhân nhảy vào vỗ mặt: "Đây đéo phải port scan đâu!". Thực ra, đây là một vụ tấn công DDoS mang tên SYN-ACK reflection. Kịch bản như này: Có thằng hacker nào đó đang ghét cái ISP ở Brazil kia, muốn dập sập mạng bọn nó. Thay vì tự bắn, thằng hacker gửi các gói tin SYN đến port 443 đang mở của chủ thớt, nhưng nó giả mạo IP nguồn (spoofed IP) thành IP của bọn Brazil.

Kết quả? Con firewall Unifi ngây thơ của chủ thớt nhận được SYN, liền nhiệt tình trả lời bằng một đống gói tin SYN-ACK gửi thẳng sang Brazil. Vì bên kia không phản hồi, Unifi lại tiếp tục gửi lại vài lần nữa (Khuếch đại traffic lên gấp 5 lần). Bùm! Mạng nhà chủ thớt tự dưng biến thành công cụ đi DDoS thuê miễn phí cho hacker. Quá đắng!

3. Cách giải quyết sặc mùi thực dụng: Anh em sysadmin đồng thanh khuyên: Tốt nhất là chặn mẹ nó luôn (Geo-block Brazil inbound). Rảnh đâu mà tiếp. Nhưng chiêu hay nhất không phải là "Block/Reject" (vì firewall vẫn phải tốn tài nguyên trả lời), mà là cấu hình firewall sang chế độ DROP. Bơ luôn mọi gói tin, kệ xác nó không thèm trả lời.

Tóm cái váy lại cho anh em thợ code

Từ một vụ ôm cục tức check log, lòi ra một rổ bài học xương máu cho anh em dev và sysadmin:

Cẩn thận khi mở Port: Nếu có mở dịch vụ (đặc biệt là port 443) ra ngoài Internet thì nhớ cấu hình rule chặt chẽ. Đừng để thiết bị mặc định trả lời mọi yêu cầu lạ, kẻo có ngày bị mượn dao giết người, trở thành lính đánh thuê cho mấy vụ DDoS lúc nào không hay.
DROP > REJECT: Khi xử lý traffic rác hay nghi ngờ botnet, đừng xài rule REJECT. Firewall của các ông phải mất công tạo gói tin từ chối để gửi lại. Chuyển sang DROP đi, im lặng là vàng, tiết kiệm CPU và RAM cho hệ thống.
Update, update và update: Câu chuyện muôn thuở. Cho dù anh em đang code app hay quản trị server, dùng thư viện hay xài router phần cứng. Lười patch lỗi, lười update thì sớm muộn cũng thành cái chuồng gà cho giang hồ qua lại.

Thế nên, thỉnh thoảng đang rảnh rảnh, thử chui vào log server hay log router nhà mình xem có anh bạn nào ở nửa vòng trái đất đang gõ cửa không nhé!

Nguồn hóng hớt: Reddit

Nguồn cơn vụ "úp sọt" cắn nát bảng state firewall

Flow log ngập ngụa: Trôi qua 12 tiếng đồng hồ, gateway ghi nhận khoảng 286k flows. Vãi nồi là hơn 127k trong số đó (chiếm 44.6%) là inbound từ các IP Brazil, và toàn bộ đều cắm đầu nã vào port 443.

Băng thông bé xíu nhưng phá hoại ngầm: Đống rác này tổng cộng có 17.2 MB, trong khi traffic thật của mạng là 68.1 GB. Dữ liệu tuy không làm bão hòa đường truyền, nhưng nó ăn mất một nửa session table, nhồi rác vào log và làm con firewall tốn tài nguyên xử lý vô ích.

Nguồn gốc ảo ma: Traffic không đến từ mấy cái camera hay router smarthome bị dính mã độc nằm rải rác. Nó đến từ đúng 5,306 IP thuộc về 2 nhà mạng ISP cỏ ở Brazil (67 Telecom và JK Telecomunicações).

Quét sạch không trượt phát nào: Điều rùng rợn là bọn này không gửi traffic random. Bọn nó quét toàn bộ từ .0 đến .255 của 18 dải mạng /24 liên tiếp nhau.

Giang hồ mạng Reddit và cú "quay xe" khét lẹt

Anh em IT trên Reddit rần rần bay vào mổ xẻ, và chúng ta có vài luồng quan điểm cực kỳ bánh cuốn:

Tóm cái váy lại cho anh em thợ code

Từ một vụ ôm cục tức check log, lòi ra một rổ bài học xương máu cho anh em dev và sysadmin:

Cẩn thận khi mở Port: Nếu có mở dịch vụ (đặc biệt là port 443) ra ngoài Internet thì nhớ cấu hình rule chặt chẽ. Đừng để thiết bị mặc định trả lời mọi yêu cầu lạ, kẻo có ngày bị mượn dao giết người, trở thành lính đánh thuê cho mấy vụ DDoS lúc nào không hay.

DROP > REJECT: Khi xử lý traffic rác hay nghi ngờ botnet, đừng xài rule REJECT. Firewall của các ông phải mất công tạo gói tin từ chối để gửi lại. Chuyển sang DROP đi, im lặng là vàng, tiết kiệm CPU và RAM cho hệ thống.

Update, update và update: Câu chuyện muôn thuở. Cho dù anh em đang code app hay quản trị server, dùng thư viện hay xài router phần cứng. Lười patch lỗi, lười update thì sớm muộn cũng thành cái chuồng gà cho giang hồ qua lại.

Thế nên, thỉnh thoảng đang rảnh rảnh, thử chui vào log server hay log router nhà mình xem có anh bạn nào ở nửa vòng trái đất đang gõ cửa không nhé!

Nguồn hóng hớt: Reddit

Gần 50% Log Firewall Ngập Rác Từ Brazil: Bị Quét Port Hay Trở Thành Lính Đánh Thuê Bất Đắc Dĩ?

Bình luận

Related posts

The Ultimate CYA: User Blames IT for 'Broken' Tools to Hide His 2-Hour Workdays

Fired After a Family Tragedy: 'I Got Fired and I Deserved It'

Carrying 300 Users, Denied a Raise: The Ultimate Sysadmin Revenge Quit

The $18k Setup: Senior IT Pro Quiet Quits After Losing Bonus for Not Resetting Passwords

"Don't Use InDesign for Confidential Data": Adobe's Wild Tech Support Moment & The Sysadmin Nightmare

Gần 50% Log Firewall Ngập Rác Từ Brazil: Bị Quét Port Hay Trở Thành Lính Đánh Thuê Bất Đắc Dĩ?

Nguồn cơn vụ "úp sọt" cắn nát bảng state firewall

Giang hồ mạng Reddit và cú "quay xe" khét lẹt

Tóm cái váy lại cho anh em thợ code

Bình luận

Related posts

The Ultimate CYA: User Blames IT for 'Broken' Tools to Hide His 2-Hour Workdays

Fired After a Family Tragedy: 'I Got Fired and I Deserved It'

Carrying 300 Users, Denied a Raise: The Ultimate Sysadmin Revenge Quit

The $18k Setup: Senior IT Pro Quiet Quits After Losing Bonus for Not Resetting Passwords

"Don't Use InDesign for Confidential Data": Adobe's Wild Tech Support Moment & The Sysadmin Nightmare

Nguồn cơn vụ "úp sọt" cắn nát bảng state firewall

Giang hồ mạng Reddit và cú "quay xe" khét lẹt

Tóm cái váy lại cho anh em thợ code