Za pocetak identifikovati taj saobracaj.
Po mom nekom skromnom iskustvu, mail i dns su uglavnom uzroci.
Neki od provajdera su totalno zabranili port 25, a neki koriste razne tehnike da bi se uhvatio spamer i blokirao.
DNS je takodje jednostavno srediti, ukoliko ima svoj lokalni DNS ili opet tehnike za prepoznavanje i blokadu.
Naravno poslednja solucija je neki appliance za IPS/IDS koja ce to automatski da sredi.

Example SNMP responses sent to us by your device during the attack are given below.
Date/timestamps (far left) are UTC.

2014-12-16 02:15:46.858965 IP (tos 0x0, ttl 52, id 65094, offset 0, flags [+], proto UDP (17), length 1436) 86.71.152.238.161 > 66.151.138.x.80: UDP, length 48618
0x0000: 4500 059c fe46 2000 3411 ab8c 5047 99ee E....F..4...PG..
0x0010: 4297 8ab1 00a1 0050 bdf2 0104 3082 bde6 B......P....0...
0x0020: 0201 0104 0670 7562 6c69 63a2 82bd d702 .....public.....
0x0030: 0403 cecc 7c02 0100 0201 0030 82bd c730 ....|......0...0
0x0040: 1506 0d2b 0601 0201 0415 0101 0000 0000 ...+............
0x0050: 4004

From: NFOservers.com DDoS notifier <[email protected]>
I šta mi je raditi ako mi ovako jave da je moj korisnik IP 86.71.152.238 attacker,isključiti ga možda a šta preventivno uraditi za sve ostale korisnike

Napadac ovde verovatno nije tvoj korisnik. Pre bi se reklo da je neko sa strane lazirao IP adresu i poslao fake SNMP query, a racunar tvog korisnika je na taj query odgovorio. I to po svemu sudeci pozitivno, jer je duzina odgovora 45K, sto znaci da masina tvog korisnika salje neke smislene podatke, a ne samo "access denied". Ja bih na tvom mestu savetovao korisniku ili da iskljuci snmpd na svojoj masini. Ili ako mu bas treba snmpd da ga barem konfigurise sa nekim normalnim community stringom, a ne "public" ...

Da podesi sa koje adrese je moguce vrsiti "query" je najbolja opcija, a to mu obicno dodje neki monitoring alat jel.

inace pomenuti problem ima svaki provajder, i najteze je zastiti se od svojih korisnika (posto imaju logicno najvise privilegija tipa rekurzivni dns upit itd).

sta je prijedlog resenja za zastitu unutar mreze providera?jedan dan neko si
ri spam po smtp dmailove rugi dan drugi korisnik siri snmp...

Dobijem sad od nekog valuehost da vrsim napad sa mog web servera.Na jednoj od stranica nadjem da ima neki virus i dodadni neki K2 folder i vidim u kodu php programa da ima neki virus na jednoj od stranica koje hostujem. Uglavnom jel dovoljno za početak samo zaustavit preko CP panela rad te stranice da zaustavim te botnet napada sa mog servera prema svetu ?
ValueHost abuse team like to inform you, that we have had mass bruteforce attempts to the Joomla / WordPress control panel on the our shared-hosting server v82.valuehost.ru [217.112.35.88] from your network, from IP address xx.xx.xx.18

During the last 30 minutes we recorded 715 attempts like this:

xx.xx.xx.18 nad-golovoy.ru - [23/Jan/2015:12:53:00 +0300] "POST /wp-login.php HTTP/1.0" 200 4774 "-" "-"
xx.xx.xx.18 nad-golovoy.ru - [23/Jan/2015:12:53:01 +0300] "POST /wp-login.php HTTP/1.0" 200 4774 "-" "-"