img

Do zablokowania na firewallu: 93.174.88.0/21

img

Kolejny raz Seszele skanują porty naszych urządzeń. O ile dobrze pamiętam, adres 93.174.93.136 to maszyna, która z powodzeniem funkcjonuje przynajmniej od roku. Najlepszy sposób to zablokować całą sieć 93.174.88.0/21.

Do zablokowania: 93.174.88.0/21

Maszyna pod tym adresem próbkuje wybrane porty w przedziale między 8000 a 9000. Oprócz tego robi wyskoki w inne regiony, by sprawdzić charakterystyczne kombinacje cyfr:

Apr  4 08:50:16 kernel: [4040322] TCP: [93.174.93.136]:41888 to [10.10.10.102]:1111 tcpflags 0x2
Apr  4 08:59:38 kernel: [4040885] TCP: [93.174.93.136]:41888 to [10.10.10.102]:8890 tcpflags 0x2
Apr  4 00:01:35 kernel: [4008603] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8000 tcpflags 0x2
Apr  4 00:41:31 kernel: [4010999] TCP: [93.174.93.136]:40016 to [10.10.10.102]:808 tcpflags 0x2
Apr  4 01:10:56 kernel: [4012765] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8085 tcpflags 0x2
Apr  4 02:00:07 kernel: [4015715] TCP: [93.174.93.136]:40016 to [10.10.10.102]:5554 tcpflags 0x2
Apr  4 02:01:18 kernel: [4015787] TCP: [93.174.93.136]:40016 to [10.10.10.102]:9002 tcpflags 0x2
Apr  4 04:24:46 kernel: [4024393] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8118 tcpflags 0x2
Apr  4 04:42:22 kernel: [4025449] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8090 tcpflags 0x2
Apr  4 04:55:46 kernel: [4026252] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8889 tcpflags 0x2
Apr  4 05:02:05 kernel: [4026631] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8887 tcpflags 0x2
Apr  4 05:32:51 kernel: [4028477] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8082 tcpflags 0x2
Apr  4 05:50:05 kernel: [4029511] TCP: [93.174.93.136]:40016 to [10.10.10.102]:9001 tcpflags 0x2
Apr  3 17:09:40 kernel: [3983888] TCP: [93.174.93.136]:40016 to [10.10.10.102]:9797 tcpflags 0x2
Apr  3 18:24:22 kernel: [3988371] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8888 tcpflags 0x2
Apr  3 18:29:14 kernel: [3988663] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8087 tcpflags 0x2
Apr  3 19:04:28 kernel: [3990777] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8111 tcpflags 0x2
Apr  3 19:41:24 kernel: [3992992] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8088 tcpflags 0x2
Apr  3 20:46:20 kernel: [3996889] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8089 tcpflags 0x2
Apr  3 20:48:02 kernel: [3996991] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8084 tcpflags 0x2
Apr  3 20:51:28 kernel: [3997197] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8886 tcpflags 0x2
Apr  3 21:19:33 kernel: [3998882] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8080 tcpflags 0x2
Apr  3 21:37:04 kernel: [3999932] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8083 tcpflags 0x2
Apr  3 22:06:46 kernel: [4001715] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8123 tcpflags 0x2
Apr  3 22:11:07 kernel: [4001976] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8081 tcpflags 0x2
Apr  3 13:24:05 kernel: [3970353] TCP: [93.174.93.136]:40016 to [10.10.10.102]:7777 tcpflags 0x2
Apr  3 13:29:40 kernel: [3970688] TCP: [93.174.93.136]:40016 to [10.10.10.102]:3333 tcpflags 0x2
Apr  3 15:06:05 kernel: [3976474] TCP: [93.174.93.136]:40016 to [10.10.10.102]:5050 tcpflags 0x2
Apr  3 15:27:25 kernel: [3977754] TCP: [93.174.93.136]:40016 to [10.10.10.102]:5555 tcpflags 0x2
Apr  3 16:56:12 kernel: [3983081] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8086 tcpflags 0x2
Apr  3 08:20:45 kernel: [3952154] TCP: [93.174.93.136]:40016 to [10.10.10.102]:9000 tcpflags 0x2
Apr  3 09:02:48 kernel: [3954677] TCP: [93.174.93.136]:40016 to [10.10.10.102]:9530 tcpflags 0x2
Apr  3 09:06:17 kernel: [3954886] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8894 tcpflags 0x2
Apr  3 09:08:38 kernel: [3955026] TCP: [93.174.93.136]:40016 to [10.10.10.102]:3128 tcpflags 0x2
Apr  3 09:25:50 kernel: [3956059] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8891 tcpflags 0x2
Apr  3 09:55:49 kernel: [3957857] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8892 tcpflags 0x2
Apr  3 11:53:00 kernel: [3964889] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8893 tcpflags 0x2
Apr  3 12:27:39 kernel: [3966968] TCP: [93.174.93.136]:40016 to [10.10.10.102]:81 tcpflags 0x2
Apr  3 12:49:52 kernel: [3968301] TCP: [93.174.93.136]:40016 to [10.10.10.102]:1028 tcpflags 0x2
Apr  3 00:06:39 kernel: [3922513] TCP: [93.174.93.136]:58206 to [10.10.10.102]:8118 tcpflags 0x2
Apr  3 00:24:17 kernel: [3923570] TCP: [93.174.93.136]:58206 to [10.10.10.102]:8090 tcpflags 0x2
Apr  3 00:37:42 kernel: [3924375] TCP: [93.174.93.136]:58206 to [10.10.10.102]:8889 tcpflags 0x2
Apr  3 00:44:02 kernel: [3924755] TCP: [93.174.93.136]:58206 to [10.10.10.102]:8887 tcpflags 0x2
Apr  3 01:14:50 kernel: [3926603] TCP: [93.174.93.136]:58206 to [10.10.10.102]:8082 tcpflags 0x2
Apr  3 01:32:05 kernel: [3927638] TCP: [93.174.93.136]:58206 to [10.10.10.102]:9001 tcpflags 0x2
Apr  3 04:32:36 kernel: [3938464] TCP: [93.174.93.136]:40016 to [10.10.10.102]:1111 tcpflags 0x2
Apr  3 04:41:58 kernel: [3939027] TCP: [93.174.93.136]:40016 to [10.10.10.102]:8890 tcpflags 0x2

Urządzenie pod adresem 93.174.93.136 nie jest zbyt natarczywe, zapewne próbuje obskoczyć pół światowego internetu.

Poziom zagrożenia: niski

Zalecana akcja: zablokować na firewallu cały zakres adresów IP z puli 93.174.88.0/21.

Do kogo należy adres 93.174.93.136?

Adres IP należy do podsieci znajdującej się na Seszelach i obsługiwanej przez firmę Quasi Networks. To jedno z ulubionych miejsc internetowych włamywaczy, a maile wysłane do abuse@quasinetworks.com prawdopodobnie od razu trafiają do kosza.

Dlaczego warto zablokować całą pulę adresów?

W tym konkretnym przypadku adresy IP należą do firmy zarejestrowanej na Seszelach, czyli kraju położonego na krańcu cywilizowanego świata.

Dlatego włamywacz może czuć się bezkarnie.

[Głosów:0    Średnia:0/5]
img
Tagi: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
img
img
img
img