Do zablokowania: 221.216.0.0/13 – skaner portów z Chin

Rzadko zdarzają się cyberwłamywacze, którzy prowadzą tak jawne skanowanie portów jak 221.223.195.23. Można się spodziewać, że to opanowany przez przestępów chiński komputer, który skanuje bez wytchnienia cały internet w poszukiwaniu choćby najmniejszej luki.

Urządzenie pod adresem 221.223.195.23 (z sieci 221.216.0.0/13) z wyraźnym upodobaniem przebiegało po wszystkich potencjalnie otwartych portach naszego serwera.

Skanowane były zarówno porty klienckie (np. 62 222), jak i te, które są wykorzystywane przez usługi systemowe (23, 25, 53, 81). W przypadku mojej maszyny skanowanie trwało kilka godzin – aż odciąłem je na firewallu.

> O uchwycie do telewizora, który chce poznać kochankę właściciela

Do zablokowania: 221.216.0.0/13

Nie wiem, jakie intencje miał właściciel komputera pod adresem IP 221.223.195.23. Jednak sposób, w jaki badał nasz serwer, kompletnie mi się nie podobał. Wyglądało to na jawne uruchomienie Nessusa lub Nmapa z pełną przepustowością łącza i wydajnością maszyny.

Z Chin przychodzi na nasz serwer wyłącznie skanowanie portów lub spam, dlatego zdecydowałem o odcięciu (zablokowaniu) całej podsieci, do której należy wspomniany komputer.

Do kogo należy pula adresów IP 221.216.0.0/13 – kto nią zarządza?

Oto niektóre informacje zapisane w bazie RIPE, publicznie dostępne również z poziomu polecenia whois:

  • person: sun ying
  • address: fu xing men nei da jie 97, Xicheng District
  • address: Beijing 100800
  • country: CN
  • phone: +86-10-66030657
  • source: APNIC

Poziom zagrożenia: potencjalny włamywacz

Zalecana akcja: blokada całej puli na firewallu

Można mieć nadzieję, że wraz z rozwojem Nowego Jedwabnego Szlaku, dojdzie do podpisania porozumień, które uregulują między Polską a Chinami (oraz innymi krajami) opcję na przykład odcinania od sieci takich maszyn oraz powiadamiania ich właściciela.

Nic bowiem nie stoi na przeszkodzie, żeby ruch spod adresu IP 221.223.195.23 w całości trafiał na proxy, które wyświetlałoby komunikat „Z Twojego adresu IP wychodzi podejrzany ruch internetowy – sprawdź swój komputer. Usługa zostanie przywrócona za 24 godziny”.

[Głosów:0    Średnia:0/5]