207.46.250.119

Walczę sobie właśnie z zombie w naszej sieci… To znaczy wyciągam z logów
podejrzane adresy, z których było podejrzanie dużo połączeń SMTP, oglądam na co
się łączą i jak to rzeczywiście są różne MXy, to blokuję port 25 dla tych
komputerów. Standardowa procedura…

Dzisiaj jednak pojawiło się coś ciekawego… niektóre komputery łączą sie na
dziwne adresy IP (bez revDNS, lub z automatycznym revDNS jak np.
z neostrady), co sugerowałoby jakieś P2P na porcie 25 (zdarza się). Jednak na
niektórych z tych IP było normalne SMTP. Sprawdzając co to za adresy (czy
revDNS wygląda na jakiegoś MXa) trafiłem na IP: 207.46.250.119. To co pokazało mi
host 207.46.250.119 poraziło. Uznałem, że jakiś spamer przypisał sobie tyle
nazw, żeby utrudnić wykrycie albo ogłupić filtry. Nawet nie sprawdzałem czy
prosty DNS dla nich działa, założyłem, że nie… Z ciekawości zajrzałem jeszcze
do WHOIS… i szczęka mi opadła. Potem dla pewności sprawdziłem prosty DNS.
Wszystko się zgadza. Po cholerę ci idioci robili coś takiego? Żeby resolvery
na całym świecie się nie nudziły?

A teraz mam problem, czy te kompy co się tam (i nie tylko tam) łączyły są
rzeczywiście zarobaczone, czy to po prostu nowe normalne zachowanie
popularnego oprogramowania…

Advertisements

5 uwag do wpisu “207.46.250.119

  1. Mogłoby być normalne zachowanie – bo niby dlaczego nie?

    Z drugiej strony – zrobinie zombie to także żaden problem, więc przy lekkim przybliżeniu można przyjąć, że (normalne oprogramowanie == zombie).

    Lubię to

  2. cr: nie masz małego MTU u siebie i/lub zablokowanego portu TCP 53? W normalnym komunikacie DNS/UDP może się odpowiedź nie zmieścić.
    A może twój serwer DNS z tym czymś sobie nie radzi. Wcale by mnie to nie dziwiło.

    Lubię to

  3. [konrad@www konrad]$ host 207.46.250.119
    ;; Truncated, retrying in TCP mode.
    [371 linii wyciętych…]

    Rzeczywiście robi wrażenie. Wcale mnie nie dziwi, że nie mieści się w UDP.

    Lubię to

Co o tym sądzisz?

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s