Często korzystamy z usług OVH. Dzięki niskim cenom firma przyciągnęła do siebie dziesiątki tysięcy klientów. Wśród nich trafiają się również internetowi włamywacze, choć – trzeba przyznać – od kilku lat OVH aktywnie z nimi walczy.
Poniżej mamy miłośnika poszukiwań PHPMyAdmina z adresu 213.251.182.105.
Do zablokowania: 213.251.182.105
Maszyna pod adresem 213.251.182.105 usiłuje znaleźć na serwerze PHPMyAdmina w starszych wersjach:
Dowód (niewielki fragment):
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /mysql/web/ HTTP/1.1" 500 0 "http://94.75.70.6/mysql/web/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /mysql/pMA/ HTTP/1.1" 500 0 "http://94.75.70.6/mysql/pMA/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/phpmanager/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/phpmanager/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/php-myadmin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/php-myadmin/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/phpmy-admin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/phpmy-admin/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/sql/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/sql/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/myadmin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/myadmin/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/webadmin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/webadmin/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/sqlweb/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/sqlweb/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/websql/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/websql/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/webdb/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/webdb/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /sql/sqladmin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/sqladmin/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /sql/sql-admin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/sql-admin/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /sql/phpmyadmin2/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/phpmyadmin2/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /sql/phpMyAdmin2/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/phpMyAdmin2/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /sql/phpMyAdmin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/phpMyAdmin/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /db/myadmin/ HTTP/1.1" 500 0 "http://94.75.70.6/db/myadmin/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /db/webadmin/ HTTP/1.1" 500 0 "http://94.75.70.6/db/webadmin/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /db/dbweb/ HTTP/1.1" 500 0 "http://94.75.70.6/db/dbweb/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /db/websql/ HTTP/1.1" 500 0 "http://94.75.70.6/db/websql/" "WordPress/4.7.3; http://mojafirma.tv" "-" 213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /db/webdb/ HTTP/1.1" 500 0 "http://94.75.70.6/db/webdb/" "WordPress/4.7.3; http://mojafirma.tv" "-"
Poziom zagrożenia: niski
Zalecana akcja: zablokować na firewallu adres 213.251.182.105 lub całą pulę 213.251.128.0/18
Warto się zastanowić przed zablokowaniem całej puli adresów na firewallu. OVH jest w Polsce popularnym dostawcą usług, korzysta z niego wiele małych i średnich witryn WWW. Po zablokowaniu puli może się okazać, że nie możemy odwiedzać wybranych stron internetowych.
My zablokowaliśmy całą pulę /18 adresów IP.
Do kogo należy adres IP 213.251.182.105?
Z użyciem polecenia whois możemy sprawdzić, że pula adresów 213.251.128.0/18, w skład której wchodzi powyższe IP należy do OVH.
Co się stanie po zablokowaniu?
Wszystkie urządzenia pod adresami IP należącymi do powyższej puli – w tym także nasz włamywacz – przestaną widzieć nasze maszyny. Jeśli w danej puli znajduje się strona WWW, która nas zainteresuje – nie będziemy w stanie się na nią dostać. Dzieje się tak dlatego, że wysyłane przez witrynę pakiety będą blokowane na naszym firewallu.