46.17.40.0/23 – dostawca hostingu z Rosji, do zablokowania cały zakres

Adresy rozpoczynające się od 46 to niemal pewniak z Rosji. Tak jest i tym razem: 46.17.41.104 z upodobaniem skanuje porty z przedziału 8000-9000. Proponuję zablokować całą sieć BAXET.RU (JUSTHOST.RU), czyli zakres 46.17.40.0/23. Do zablokowania: 46.17.40.0/23 Skanowanie portów nie niesie za sobą szczególnie wysokiego ryzyka. Jeszcze mniej ryzykowne jest w wersji zautomatyzowanej, która potrafi zaatakować tylko bardzo konkretne usługi i konkretne […]

Read more

Do zablokowania: 221.216.0.0/13 – skaner portów z Chin

Rzadko zdarzają się cyberwłamywacze, którzy prowadzą tak jawne skanowanie portów jak 221.223.195.23. Można się spodziewać, że to opanowany przez przestępów chiński komputer, który skanuje bez wytchnienia cały internet w poszukiwaniu choćby najmniejszej luki. Urządzenie pod adresem 221.223.195.23 (z sieci 221.216.0.0/13) z wyraźnym upodobaniem przebiegało po wszystkich potencjalnie otwartych portach naszego serwera. Skanowane były zarówno porty klienckie (np. 62 222), jak […]

Read more

Do zablokowania na firewallu: 46.161.14.0/23 – Makary Kwiatkowski, Białystok (Rosja)

Od 28 kwietnia jedną z moich witryn zasypują spamem Rosjanie, którzy upodobali sobie lub wykupili usługę mailinator.com. Za adres IP 46.161.14.99, z którego przychodzą śmieci, odpowiada… Polak z Białegostoku, Makary Kwiatkowski, Zachodnia 20, Białystok – makary@mailinator.com. Pan Makary Kwiatkowski uruchomił ciekawą skądinąd usługę mailinator.com, która umożliwia posiadanie dowolnej skrzynki internetowej… bez jej zakładania. Po prostu wpisuje się adres i skrzynka […]

Read more

Do zablokowania na firewallu: 5.188.211.0/24 – Białystok (Rosja)

Od 28 kwietnia jedną z moich witryn zasypują śmieciami spamerzy z Rosji, a konkretnie z adresu IP 5.188.211.170. Okazuje się, że ten adres IP należy do puli, za którą odpowiada… Makary Kwiatkowski, Zachodnia 20, Białystok – makary@mailinator.com. Pan Makary Kwiatkowski uruchomił ciekawą skądinąd usługę mailinator.com, która umożliwia posiadanie dowolnej skrzynki internetowej… bez jej zakładania. Po prostu wpisuje się adres i […]

Read more

Do zablokowania na firewallu: 114.37.0.0/16 – spamer z Tajwanu

Tajwan, Rosja, Chiny, Białoruś – komputery z tych krajów lubują się w skanowaniu zabezpieczeń, ale też w spamowaniu w komentarzach. Takim spamerem jest 114.37.244.57 – w jego przypadku zdecydowałem się zablokować całą sieć z Tajwanu, bo moje witryny w żaden sposób nie są skierowane do mieszkańców tego kraju. Do zablokowania: 114.37.0.0/16 Spam nie był szczególnie dotkliwy, ale się przytrafiał – na […]

Read more

Do zablokowania na firewallu: 64.125.239.0/24 – USA (RiskIQ)

Uwielbiam wprost firmy trudniące się bezpieczeństwem, które skanują porty serwerów. Zapewne robią to w celu poszukiwania luk w zabezpieczeniach, by następnie zaoferować firmom swoje usługi. Tak prawdopodobnie działa RiskIQ w sieci Zayo: 64.125.239.0/24, które powoli testuje porty serwerów. Do zablokowania: 64.125.239.0/24 Maszyny w całej puli adresowej 64.125.239.0/24 wyszukują otwarte porty. Akcja jest raczej skoordynowana, żaden z portów nie pojawia się […]

Read more

Do zablokowania na firewallu: 213.251.182.105 lub cała podsieć 213.251.128.0/18 – FRANCJA (OVH)

Często korzystamy z usług OVH. Dzięki niskim cenom firma przyciągnęła do siebie dziesiątki tysięcy klientów. Wśród nich trafiają się również internetowi włamywacze, choć – trzeba przyznać – od kilku lat OVH aktywnie z nimi walczy. Poniżej mamy miłośnika poszukiwań PHPMyAdmina z adresu 213.251.182.105. Do zablokowania: 213.251.182.105 Maszyna pod adresem 213.251.182.105 usiłuje znaleźć na serwerze PHPMyAdmina w starszych wersjach: Dowód (niewielki […]

Read more

Do zablokowania na firewallu: 37.156.246.0/24 – TURCJA – CMS-owy włamywacz

Tureccy „hakerzy” znani są z włamań na witryny internetowe, ich ofiarami padały również polskie serwisy. Zwykle rekomenduję, żeby wszystkich tureckich dostawców hostingu z miejsca blokować na firewallu. Poniżej mamy do czynienia z maniakiem 37.156.246.119, który najpierw szukał paneli administracyjnych, a następnie zaczął agresywnie dobijać się do WordPressa. Do zablokowania: 37.156.246.0/24 Maszyna pod adresem 37.156.246.119 próbuje wyważyć drzwi w WordPressie. Nagłówki […]

Read more

Do zablokowania na firewallu: 93.174.88.0/21

Kolejny raz Seszele skanują porty naszych urządzeń. O ile dobrze pamiętam, adres 93.174.93.136 to maszyna, która z powodzeniem funkcjonuje przynajmniej od roku. Najlepszy sposób to zablokować całą sieć 93.174.88.0/21. Do zablokowania: 93.174.88.0/21 Maszyna pod tym adresem próbkuje wybrane porty w przedziale między 8000 a 9000. Oprócz tego robi wyskoki w inne regiony, by sprawdzić charakterystyczne kombinacje cyfr: Apr 4 08:50:16 […]

Read more

Do zablokowania na firewallu: 112.124.0.0/14 lub chociaż 112.126.80.71

Tym razem z grubej rury: w sieci należącej do chińskiej firmy ALISOFT jest urządzenie o adresie IP 112.126.80.71, które lubi skanować serwery pod kątem obecności PHPMyAdmina. Blokujemy na firewallu cały zakres. IP do zablokowania: 112.124.0.0/14 Maszyna w tej sieci pod adresem IP 112.126.80.71 bardzo sprytnie skanuje serwer w poszukiwaniu PHPMyAdmina. Czym objawia się ten spryt? Otóż wykorzystuje polecenie HEAD zamiast […]

Read more
1 2