brmail: (Default)
brmail ([personal profile] brmail) wrote2021-04-23 02:23 am
  • Add Memory
  • Share This Entry
Entry tags:

ходют тут всякие и ходют

 У меня на внешнем паблик IP роутера есть пара портов, пробрасывающие входящие IP пакеты во внутреннюю сеть, там их ждут несколько сервисов, типа VOIP телефона, ремот софта для доступа к внутренним компам, итд. Не так чтобы особо много таких портов, но есть. Как-то заглянул в логи ремот-софта, а там временами сообщение типа "какая то необъяснимая хрень в канале" , с интервалом раз в несколько минут чуть ли не днями подряд. Полез разбираться, попросил роутер вести лог входящих на этот порт, и таки да. Кто то  с разных ip пытается лезть через порт, либо просто сканит его. Ставить сниффер и пытаться разобраться, что он там делает и что ему надо реально сильно влом. Заблокировал эти IP, оставил лог входящих - ну таки да. Примерно 2-3 разных ip в неделю сканируют или лезут. Единственно что непонятно это зачем? Ну те что они там пытаются найти ? Спрятанный веб сервер, на котором поставили дырявый php admin?  Или у них есть список дырявых сервисов, через которые можно влезть во внутреннюю сеть? 
Flat | Top-Level Comments Only
rampitec: (Default)

[personal profile] rampitec 2021-04-23 07:11 am (UTC)(link)
Ты еще ssh на 22-м порту оставь! Через неделю из лога сможешь собрать базу популярных паролей.
brmail: (Default)

[personal profile] brmail 2021-04-23 09:54 am (UTC)(link)
Не, у меня наружу IIS выставлен. Так что я могу рассказать сказку про то, какие скрипты зовут, чтобы получить доступ.
rampitec: (Default)

[personal profile] rampitec 2021-04-23 03:06 pm (UTC)(link)
Где-то скрипт гулял для бана на пару часиков таких назойливых ip. N-раз отлуп и отдыхай, следующий запрос пойдет в тайм-аут. Это если не лень заморачиваться.
leo_sosnine: (Default)

[personal profile] leo_sosnine 2021-04-23 02:10 pm (UTC)(link)
Забить и ничего не делать, это нормально. Много людей постоянно сканирует интернет.
brmail: (Default)

[personal profile] brmail 2021-04-23 02:18 pm (UTC)(link)
понятно что забить, так как заносить их в блеклист рано или поздно надоест. У меня там пока штук 50 за полтора месяца, и уже надоело. Интересно, что именно они там ищут, ведь зачем то лазят же
leo_sosnine: (Default)

[personal profile] leo_sosnine 2021-04-23 02:47 pm (UTC)(link)
Директории отктытые для анонимной записи, известные вебшеллы установленные прежде другими хакерами, собирают статистику по использованию к-л плагинов или решений, если они детектируемы через наличие определённого пути, проверяют на уязвимости для последующей эксплуатации и т.д.
brmail: (Default)

[personal profile] brmail 2021-04-23 03:04 pm (UTC)(link)
ага, ясно, спасибо.
Flat | Top-Level Comments Only