Do zablokowania: 221.216.0.0/13 – skaner portów z Chin

Rzadko zdarzają się cyberwłamywacze, którzy prowadzą tak jawne skanowanie portów jak 221.223.195.23. Można się spodziewać, że to opanowany przez przestępów chiński komputer, który skanuje bez wytchnienia cały internet w poszukiwaniu choćby najmniejszej luki.

Urządzenie pod adresem 221.223.195.23 (z sieci 221.216.0.0/13) z wyraźnym upodobaniem przebiegało po wszystkich potencjalnie otwartych portach naszego serwera.

Skanowane były zarówno porty klienckie (np. 62 222), jak i te, które są wykorzystywane przez usługi systemowe (23, 25, 53, 81). W przypadku mojej maszyny skanowanie trwało kilka godzin – aż odciąłem je na firewallu.

> O uchwycie do telewizora, który chce poznać kochankę właściciela

Do zablokowania: 221.216.0.0/13

Nie wiem, jakie intencje miał właściciel komputera pod adresem IP 221.223.195.23. Jednak sposób, w jaki badał nasz serwer, kompletnie mi się nie podobał. Wyglądało to na jawne uruchomienie Nessusa lub Nmapa z pełną przepustowością łącza i wydajnością maszyny.

Z Chin przychodzi na nasz serwer wyłącznie skanowanie portów lub spam, dlatego zdecydowałem o odcięciu (zablokowaniu) całej podsieci, do której należy wspomniany komputer.

Do kogo należy pula adresów IP 221.216.0.0/13 – kto nią zarządza?

Oto niektóre informacje zapisane w bazie RIPE, publicznie dostępne również z poziomu polecenia whois:

• person: sun ying
• address: fu xing men nei da jie 97, Xicheng District
• address: Beijing 100800
• country: CN
• phone: +86-10-66030657
• source: APNIC

Poziom zagrożenia: potencjalny włamywacz

Zalecana akcja: blokada całej puli na firewallu

Można mieć nadzieję, że wraz z rozwojem Nowego Jedwabnego Szlaku, dojdzie do podpisania porozumień, które uregulują między Polską a Chinami (oraz innymi krajami) opcję na przykład odcinania od sieci takich maszyn oraz powiadamiania ich właściciela.

Nic bowiem nie stoi na przeszkodzie, żeby ruch spod adresu IP 221.223.195.23 w całości trafiał na proxy, które wyświetlałoby komunikat „Z Twojego adresu IP wychodzi podejrzany ruch internetowy – sprawdź swój komputer. Usługa zostanie przywrócona za 24 godziny”.

Tagi: 221.216.0.0/13, ADRESY INTERNETOWE WŁAMYWACZY, ADRESY IP WŁAMYWACZY, CZY W CHINACH SĄ HAKERZY, DO KOGO NALEŻY ADRES IP 221.223.195.23, HAKERZY INTERNETOWI IP, HAKERZY INTERNETOWI Z CHIN, HAKERZY IP, HAKERZY Z CHIN, INTERNETOWI HAKERZY – CHINY, LISTA INTERNETOWYCH HAKERÓW, LISTA INTERNETOWYCH WŁAMYWACZY: CHINY, LISTA IP, LISTA SZKODLIWYCH IP, SZKODLIWE IP, WHOIS 221.223.195.23, Z JAKICH IP KORZYSTAJĄ HAKERZY