img

Do zablokowania na firewallu: 37.156.246.0/24 – TURCJA – CMS-owy włamywacz

img

Tureccy „hakerzy” znani są z włamań na witryny internetowe, ich ofiarami padały również polskie serwisy. Zwykle rekomenduję, żeby wszystkich tureckich dostawców hostingu z miejsca blokować na firewallu.

Poniżej mamy do czynienia z maniakiem 37.156.246.119, który najpierw szukał paneli administracyjnych, a następnie zaczął agresywnie dobijać się do WordPressa.

Do zablokowania: 37.156.246.0/24

Maszyna pod adresem 37.156.246.119 próbuje wyważyć drzwi w WordPressie. Nagłówki wyglądają jak wysłane z mobilnej wersji Safari w Androidzie 2.2, ale chyba nikt nie uwierzy, że zwykły właściciel smartfonu jest w stanie przeprowadzić dwie próby logowania w witrynie na sekundę.

Tak duża liczba wywołań generuje niepotrzebne obciążenie serwera.

Dowód (niewielki fragment):

37.156.246.119 - - [12/Mar/2017:18:43:20 +0100] "GET /wp-login.php HTTP/1.1" 400 249 "-" "-" "-"
37.156.246.119 - - [12/Mar/2017:18:43:20 +0100] "GET /administrator/index.php HTTP/1.1" 400 249 "-" "-" "-"
37.156.246.119 - - [12/Mar/2017:18:43:20 +0100] "GET /admin.php HTTP/1.1" 400 249 "-" "-" "-"
37.156.246.119 - - [12/Mar/2017:18:43:21 +0100] "GET /bitrix/admin/index.php?lang=en HTTP/1.1" 400 249 "-" "-" "-"
37.156.246.119 - - [12/Mar/2017:18:43:21 +0100] "GET /admin/login.php HTTP/1.1" 400 249 "-" "-" "-"
37.156.246.119 - - [12/Mar/2017:18:43:21 +0100] "GET /admin/ HTTP/1.1" 400 249 "-" "-" "-"
37.156.246.119 - - [12/Mar/2017:18:43:22 +0100] "GET /user/ HTTP/1.1" 400 249 "-" "-" "-"
...
37.156.246.119 - - [04/Apr/2017:11:13:09 +0200] "POST /wp-login.php HTTP/1.1" 200 3378 "http://pobierz.pro/wp-login.php" "Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" "-"
37.156.246.119 - - [04/Apr/2017:11:13:10 +0200] "POST /wp-login.php HTTP/1.1" 200 3378 "http://pobierz.pro/wp-login.php" "Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" "-"
37.156.246.119 - - [04/Apr/2017:11:13:10 +0200] "POST /wp-login.php HTTP/1.1" 200 3378 "http://pobierz.pro/wp-login.php" "Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" "-"
37.156.246.119 - - [04/Apr/2017:11:13:11 +0200] "POST /wp-login.php HTTP/1.1" 200 3378 "http://pobierz.pro/wp-login.php" "Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" "-"
37.156.246.119 - - [04/Apr/2017:11:13:12 +0200] "POST /wp-login.php HTTP/1.1" 200 3378 "http://pobierz.pro/wp-login.php" "Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" "-"
37.156.246.119 - - [04/Apr/2017:11:13:12 +0200] "POST /wp-login.php HTTP/1.1" 200 3378 "http://pobierz.pro/wp-login.php" "Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" "-"
37.156.246.119 - - [04/Apr/2017:11:13:13 +0200] "POST /wp-login.php HTTP/1.1" 200 3378 "http://pobierz.pro/wp-login.php" "Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" "-"
37.156.246.119 - - [04/Apr/2017:11:13:13 +0200] "POST /wp-login.php HTTP/1.1" 200 3378 "http://pobierz.pro/wp-login.php" "Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" "-"
37.156.246.119 - - [04/Apr/2017:11:13:14 +0200] "POST /wp-login.php HTTP/1.1" 200 3378 "http://pobierz.pro/wp-login.php" "Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" "-"
37.156.246.119 - - [04/Apr/2017:11:13:14 +0200] "POST /wp-login.php HTTP/1.1" 200 3378 "http://pobierz.pro/wp-login.php" "Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1" "-"

Poziom zagrożenia: średni

Zalecana akcja: zablokować na firewallu cały zakres adresów IP z puli 37.156.246.0/24 .

Do kogo należy adres IP 37.156.246.119?

Łatwo sprawdzić z użyciem polecenia whois, że pula adresów, w skład której wchodzi powyższe IP należy do Murata Usty, który jest dostawcą hostingu.

Co się stanie po zablokowaniu?

Wszystkie urządzenia pod adresami IP należącymi do powyższej puli – w tym także nasz włamywacz – przestaną widzieć nasze maszyny.

Dlaczego warto zablokować całą pulę adresów?

Ponieważ nie ma ku temu żadnych przeciwskazań, a tureccy internetowi włamywacze są – co widać – natarczywi.

img

[Głosów:0    Średnia:0/5]
img
Tagi: , , , , , , , , , , , , , , , , , ,
img
img
img
img