ходют тут всякие и ходют

[brmail]

 У меня на внешнем паблик IP роутера есть пара портов, пробрасывающие входящие IP пакеты во внутреннюю сеть, там их ждут несколько сервисов, типа VOIP телефона, ремот софта для доступа к внутренним компам, итд. Не так чтобы особо много таких портов, но есть. Как-то заглянул в логи ремот-софта, а там временами сообщение типа "какая то необъяснимая хрень в канале" , с интервалом раз в несколько минут чуть ли не днями подряд. Полез разбираться, попросил роутер вести лог входящих на этот порт, и таки да. Кто то  с разных ip пытается лезть через порт, либо просто сканит его. Ставить сниффер и пытаться разобраться, что он там делает и что ему надо реально сильно влом. Заблокировал эти IP, оставил лог входящих - ну таки да. Примерно 2-3 разных ip в неделю сканируют или лезут. Единственно что непонятно это зачем? Ну те что они там пытаются найти ? Спрятанный веб сервер, на котором поставили дырявый php admin?  Или у них есть список дырявых сервисов, через которые можно влезть во внутреннюю сеть? 

Comments

[brmail]

понятно что забить, так как заносить их в блеклист рано или поздно надоест. У меня там пока штук 50 за полтора месяца, и уже надоело. Интересно, что именно они там ищут, ведь зачем то лазят же

[leo_sosnine]

Директории отктытые для анонимной записи, известные вебшеллы установленные прежде другими хакерами, собирают статистику по использованию к-л плагинов или решений, если они детектируемы через наличие определённого пути, проверяют на уязвимости для последующей эксплуатации и т.д.

[brmail]

ага, ясно, спасибо.