207.46.250.119
Walczę sobie właśnie z zombie w naszej sieci... To znaczy wyciągam z logów podejrzane adresy, z których było podejrzanie dużo połączeń SMTP, oglądam na co się łączą i jak to rzeczywiście są różne MXy, to blokuję port 25 dla tych komputerów. Standardowa procedura...
Dzisiaj jednak pojawiło się coś ciekawego... niektóre komputery łączą sie na
dziwne adresy IP (bez revDNS, lub z automatycznym
revDNS jak np.
z neostrady), co sugerowałoby jakieś P2P na porcie 25 (zdarza się). Jednak na
niektórych z tych IP było normalne SMTP. Sprawdzając co to za adresy (czy
revDNS wygląda na jakiegoś MXa) trafiłem na IP: 207.46.250.119. To co pokazało mi
host 207.46.250.119 poraziło. Uznałem, że jakiś spamer przypisał sobie tyle
nazw, żeby utrudnić wykrycie albo ogłupić filtry. Nawet nie sprawdzałem czy
prosty DNS dla nich działa, założyłem, że nie... Z ciekawości zajrzałem jeszcze
do WHOIS... i szczęka mi opadła. Potem dla pewności sprawdziłem prosty DNS.
Wszystko się zgadza. Po cholerę ci idioci robili coś takiego? Żeby resolvery
na całym świecie się nie nudziły?
A teraz mam problem, czy te kompy co się tam (i nie tylko tam) łączyły są
rzeczywiście zarobaczone, czy to po prostu nowe normalne zachowanie
popularnego oprogramowania...
Śledzenie komentarzy (RSS) ![[szpieg]](http://stats.jajcus.net/record.png?site=jogger_jajcus&page=comments)
Jesteście obserwowani...
18 stycznia 2005 15:02:38
ło matko, ale czad....