ходют тут всякие и ходют

Apr. 23rd, 2021 02:23 am
brmail: (Default)
[personal profile] brmail
 У меня на внешнем паблик IP роутера есть пара портов, пробрасывающие входящие IP пакеты во внутреннюю сеть, там их ждут несколько сервисов, типа VOIP телефона, ремот софта для доступа к внутренним компам, итд. Не так чтобы особо много таких портов, но есть. Как-то заглянул в логи ремот-софта, а там временами сообщение типа "какая то необъяснимая хрень в канале" , с интервалом раз в несколько минут чуть ли не днями подряд. Полез разбираться, попросил роутер вести лог входящих на этот порт, и таки да. Кто то  с разных ip пытается лезть через порт, либо просто сканит его. Ставить сниффер и пытаться разобраться, что он там делает и что ему надо реально сильно влом. Заблокировал эти IP, оставил лог входящих - ну таки да. Примерно 2-3 разных ip в неделю сканируют или лезут. Единственно что непонятно это зачем? Ну те что они там пытаются найти ? Спрятанный веб сервер, на котором поставили дырявый php admin?  Или у них есть список дырявых сервисов, через которые можно влезть во внутреннюю сеть? 
Tags:
  • Add Memory
  • Share This Entry
Threaded | Top-Level Comments Only

Date: 2021-04-23 07:11 am (UTC)
rampitec: (Default)
From: [personal profile] rampitec
Ты еще ssh на 22-м порту оставь! Через неделю из лога сможешь собрать базу популярных паролей.

Date: 2021-04-23 09:54 am (UTC)
brmail: (Default)
From: [personal profile] brmail
Не, у меня наружу IIS выставлен. Так что я могу рассказать сказку про то, какие скрипты зовут, чтобы получить доступ.

Date: 2021-04-23 02:10 pm (UTC)
leo_sosnine: (Default)
From: [personal profile] leo_sosnine
Забить и ничего не делать, это нормально. Много людей постоянно сканирует интернет.

Date: 2021-04-23 02:18 pm (UTC)
brmail: (Default)
From: [personal profile] brmail
понятно что забить, так как заносить их в блеклист рано или поздно надоест. У меня там пока штук 50 за полтора месяца, и уже надоело. Интересно, что именно они там ищут, ведь зачем то лазят же

Date: 2021-04-23 02:47 pm (UTC)
leo_sosnine: (Default)
From: [personal profile] leo_sosnine
Директории отктытые для анонимной записи, известные вебшеллы установленные прежде другими хакерами, собирают статистику по использованию к-л плагинов или решений, если они детектируемы через наличие определённого пути, проверяют на уязвимости для последующей эксплуатации и т.д.

Date: 2021-04-23 03:04 pm (UTC)
brmail: (Default)
From: [personal profile] brmail
ага, ясно, спасибо.

Date: 2021-04-23 03:06 pm (UTC)
rampitec: (Default)
From: [personal profile] rampitec
Где-то скрипт гулял для бана на пару часиков таких назойливых ip. N-раз отлуп и отдыхай, следующий запрос пойдет в тайм-аут. Это если не лень заморачиваться.
  • Add Memory
  • Share This Entry
Threaded | Top-Level Comments Only

Profile

brmail: (Default)
brmail
Page generated Jan. 2nd, 2026 04:46 pm
Powered by Dreamwidth Studios