207.46.250.119

Walczę sobie właśnie z zombie w naszej sieci… To znaczy wyciągam z logów
podejrzane adresy, z których było podejrzanie dużo połączeń SMTP, oglądam na co
się łączą i jak to rzeczywiście są różne MXy, to blokuję port 25 dla tych
komputerów. Standardowa procedura…

Dzisiaj jednak pojawiło się coś ciekawego… niektóre komputery łączą sie na
dziwne adresy IP (bez revDNS, lub z automatycznym revDNS jak np.
z neostrady), co sugerowałoby jakieś P2P na porcie 25 (zdarza się). Jednak na
niektórych z tych IP było normalne SMTP. Sprawdzając co to za adresy (czy
revDNS wygląda na jakiegoś MXa) trafiłem na IP: 207.46.250.119. To co pokazało mi
host 207.46.250.119 poraziło. Uznałem, że jakiś spamer przypisał sobie tyle
nazw, żeby utrudnić wykrycie albo ogłupić filtry. Nawet nie sprawdzałem czy
prosty DNS dla nich działa, założyłem, że nie… Z ciekawości zajrzałem jeszcze
do WHOIS… i szczęka mi opadła. Potem dla pewności sprawdziłem prosty DNS.
Wszystko się zgadza. Po cholerę ci idioci robili coś takiego? Żeby resolvery
na całym świecie się nie nudziły?

A teraz mam problem, czy te kompy co się tam (i nie tylko tam) łączyły są
rzeczywiście zarobaczone, czy to po prostu nowe normalne zachowanie
popularnego oprogramowania…

Reklamy

5 uwag do wpisu “207.46.250.119

  1. Mogłoby być normalne zachowanie – bo niby dlaczego nie?

    Z drugiej strony – zrobinie zombie to także żaden problem, więc przy lekkim przybliżeniu można przyjąć, że (normalne oprogramowanie == zombie).

    Polubienie

  2. cr: nie masz małego MTU u siebie i/lub zablokowanego portu TCP 53? W normalnym komunikacie DNS/UDP może się odpowiedź nie zmieścić.
    A może twój serwer DNS z tym czymś sobie nie radzi. Wcale by mnie to nie dziwiło.

    Polubienie

Co o tym sądzisz?

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s