Do zablokowania na firewallu: 213.251.182.105 lub cała podsieć 213.251.128.0/18 – FRANCJA (OVH)

Często korzystamy z usług OVH. Dzięki niskim cenom firma przyciągnęła do siebie dziesiątki tysięcy klientów. Wśród nich trafiają się również internetowi włamywacze, choć – trzeba przyznać – od kilku lat OVH aktywnie z nimi walczy.

Poniżej mamy miłośnika poszukiwań PHPMyAdmina z adresu 213.251.182.105.

Do zablokowania: 213.251.182.105

Maszyna pod adresem 213.251.182.105 usiłuje znaleźć na serwerze PHPMyAdmina w starszych wersjach:

Dowód (niewielki fragment):

213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /mysql/web/ HTTP/1.1" 500 0 "http://94.75.70.6/mysql/web/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /mysql/pMA/ HTTP/1.1" 500 0 "http://94.75.70.6/mysql/pMA/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/phpmanager/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/phpmanager/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/php-myadmin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/php-myadmin/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/phpmy-admin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/phpmy-admin/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/sql/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/sql/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/myadmin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/myadmin/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/webadmin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/webadmin/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/sqlweb/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/sqlweb/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/websql/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/websql/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:58 +0200] "HEAD /sql/webdb/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/webdb/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /sql/sqladmin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/sqladmin/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /sql/sql-admin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/sql-admin/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /sql/phpmyadmin2/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/phpmyadmin2/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /sql/phpMyAdmin2/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/phpMyAdmin2/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /sql/phpMyAdmin/ HTTP/1.1" 500 0 "http://94.75.70.6/sql/phpMyAdmin/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /db/myadmin/ HTTP/1.1" 500 0 "http://94.75.70.6/db/myadmin/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /db/webadmin/ HTTP/1.1" 500 0 "http://94.75.70.6/db/webadmin/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /db/dbweb/ HTTP/1.1" 500 0 "http://94.75.70.6/db/dbweb/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /db/websql/ HTTP/1.1" 500 0 "http://94.75.70.6/db/websql/" "WordPress/4.7.3; http://mojafirma.tv" "-"
213.251.182.105 - - [29/Mar/2017:15:05:59 +0200] "HEAD /db/webdb/ HTTP/1.1" 500 0 "http://94.75.70.6/db/webdb/" "WordPress/4.7.3; http://mojafirma.tv" "-"

Poziom zagrożenia: niski

Zalecana akcja: zablokować na firewallu adres 213.251.182.105 lub całą pulę 213.251.128.0/18

Warto się zastanowić przed zablokowaniem całej puli adresów na firewallu. OVH jest w Polsce popularnym dostawcą usług, korzysta z niego wiele małych i średnich witryn WWW. Po zablokowaniu puli może się okazać, że nie możemy odwiedzać wybranych stron internetowych.

My zablokowaliśmy całą pulę /18 adresów IP.

Do kogo należy adres IP 213.251.182.105?

Z użyciem polecenia whois możemy sprawdzić, że pula adresów 213.251.128.0/18, w skład której wchodzi powyższe IP należy do OVH.

Co się stanie po zablokowaniu?

Wszystkie urządzenia pod adresami IP należącymi do powyższej puli – w tym także nasz włamywacz – przestaną widzieć nasze maszyny. Jeśli w danej puli znajduje się strona WWW, która nas zainteresuje – nie będziemy w stanie się na nią dostać. Dzieje się tak dlatego, że wysyłane przez witrynę pakiety będą blokowane na naszym firewallu.

[Głosów:0    Średnia:0/5]
Tagi: , , , , , , , , , , , , , , , , , ,