Makacs próbálkozások ugyanazon a porton?

 ( uid_7086 | 2018. március 3., szombat - 20:24 )

Nem értem és szeretném érteni...
Dinamikus IP-m van, logolom az eldobott packeteket (is), ebből tudom, hogy gyakran próbálkoznak port scanneléssel bizonyos helyekről (mostanság a 77.72.82.0/24 tartományból), de még gyakoribb, hogy ugyanarra a portra száll rá valaki és próbálgatja akár napokon át is.
Korábban úgy gondoltam, mivel dinamikus IP, a korábbi gazdája torrentezett, játszott stb. és a próbálkozók azt hiszik, hogy még mindig a korábbi szerver fut ezen a címen.
Ennek viszont ellentmond, hogy most pl. harmadik napja változatlan volt az IP-m, de egészen tegnap kora délutánig nyugalom volt. Akkor jelent meg valaki, aki azóta is folyamatosan próbálkozott a 2000-es TCP porton, míg nem bontottam a WAN-t...
Nem zavar azt leszámítva, hogy felfogható DoS-ként is. :)
De hogy a bánatba akadnak rá a címemre és miért nem veszik tudomásul néhány tíz, esetleg néhány száz próbálkozás után, hogy ez már nem az, amit kerestek?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Voip kommunikációs port. Valószínűleg vagy van, vagy volt Voip az IP-n

O.K., de nem ez a lényeg. :)
Sajnos nem tudom átszerkeszteni a leírást, az kimaradt, hogy az ilyen "próbálkozások" teljesen random portokra szokta jönni. Szóval nem az a kérdés, hogy ez konkrétan mi, hanem, hogy általában, random portokon mit akarnak ennyi időn át?
Mert a port scan is egy izgalmas kérdés, mikor azt látom, hogy nem az IP-met, hanem a szolgáltatóm összes IP-jét scannelik párhuzamosan, de ez, hogy ugyanazt a portot basztatja vég nélkül... egy-egy eset még OK, de rendszeresen?

Sose tudhatod, hogy az adott porton melyik szerverprogram melyik verziójának melyik sebezhetőségét reméli eltalálni, amely sebezhetőség bizonyos feltételek miatt ajtót nyithat egy óra múlva, ha most nem.

A rabbi felajánlja Grünnek, hogy vegye el a lányát, jó parti. Grün benéz a szobába, és látja, hogy a lány szoptat. Felháborodva vonja kérdőre a rabbit:
– De hát ez a lány szoptat! – Mire a rabbi indignálódva:
– Nü? Ideje van, teje van, miért ne szoptatna?

Idejük van, gépük van, miért ne basztatnának?

Kb sehogy, a világban csillió felügyelet nélkül hagyott szerver,desktop , weboldal stb vannak, amiken csillió buta scriptek futnak, szkennelik az ip tartományokat/portokat a világ végéig.

Ennyi.

Kb 1x éve még 1 hétig tartott mire rátaláltak a szerverre és bejöttek, ssh-n (root / 1234), kb 3-4 éve 10 perc volt. Azóta nem néztem.

Fedora 26, Thinkpad x220

De ez nem scan, sima próbálkozás, azonos porton. Esetenként vég nélkül.
Az elmúlt pár nap csúcstartói (darab - source IP - port):

1258 37.48.81.65 42519
1573 155.4.62.200 59380
1586 119.113.139.170 59380
10605 81.183.140.50 58566
28249 176.38.92.9 2000

Nézz rá a shodanon, hogy mit tud a címedről, lehet, hogy egy korábbi scannél találtak ott valamit és azon keresztül találtak meg.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)