Feketelista

Mivel ezek a támadások csak nem szűnnek elhatároztam, hogy készítek egy fekete listát azokról a címekről amik támadják a gépemet. Aki kéri annak MAJD elküldöm az aktuális listát (ip címeket)
(biztos lesz egy csomó, mert ezek nem alszanak ;)

A legutóbbi támadás innen jött: lucenttel.com

A reverse dns-e érdekes :)
Az nmap ezt mondja róla:

Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-15 22:07 CEST
Nmap scan report for doesnt-think-he.kicks-ass.net (65.111.172.31)
Host is up (0.15s latency).
Not shown: 992 closed ports
PORT     STATE    SERVICE     VERSION
22/tcp   open     ssh         OpenSSH 4.3 (protocol 2.0)
25/tcp   filtered smtp
80/tcp   open     http        Apache httpd 2.2.3 ((CentOS))
111/tcp  open     rpcbind     2 (RPC #100000)
443/tcp  open     ssl/http    Apache httpd 2.2.3 ((CentOS))
2000/tcp open     cisco-sccp?
3306/tcp open     mysql       MySQL (unauthorized)
6005/tcp filtered X11:5
Device type: firewall|general purpose|specialized|WAP|webcam|media device
Running (JUST GUESSING): Juniper IVE OS 7.X (88%), Check Point Linux 2.6.X|2.4.X (87%), Linux 2.6.X|2.4.X (87%), Cisco embedded (86%), ISS Linux 2.4.X (86%), Linksys embedded (86%), Logitech Linux 2.6.X (86%), Sony embedded (85%)
OS CPE: cpe:/h:juniper:mag2600 cpe:/o:linux:linux_kernel:2.6.18 cpe:/o:checkpoint:linux_kernel:2.4 cpe:/o:iss:linux_kernel:2.4 cpe:/h:linksys:wap54g cpe:/o:linux:linux_kernel:2.4.20 cpe:/h:sony:bravia_kdl-46hs720
Aggressive OS guesses: Juniper MAG2600 SSL VPN gateway (IVE OS 7.3) (88%), Check Point GAiA (Linux 2.6.18) (87%), Linux 2.6.18 (87%), Check Point firewall (Linux 2.4.21) (86%), Check Point VPN-1 firewall (Linux 2.6.18) (86%), Cisco NME-NAM-80S network analysis module (86%), Linux 2.6.16 - 2.6.28 (86%), ISS Proventia GX3002C firewall (Linux 2.4.18) (86%), Linksys WAP54G WAP (86%), Linux 2.4.20 (86%)
No exact OS matches for host (test conditions non-ideal).

A sinfp3 pedig ezt:

root@kali:~# sinfp3.pl -target 65.111.172.31 -port 80
[+] [J:0] Loaded Input:  Net::SinFP3::Input::SynScan
[+] [J:0] Loaded DB:     Net::SinFP3::DB::SinFP3
[+] [J:0] Loaded Mode:   Net::SinFP3::Mode::Active
[+] [J:0] Loaded Search: Net::SinFP3::Search::Active
[+] [J:0] Loaded Output: Net::SinFP3::Output::Simple
[+] [J:0] Starting of Input [Net::SinFP3::Input::SynScan]
[+] [J:0] Estimated running time: 0 day(s) 0 hour(s) 0 minute(s) 3 second(s) for 1 host(s)
[+] [J:1] Starting of job with Next [65.111.172.31]:80 hostname[unknown] reverse[unknown] mac[XX:XX:XX:XX:XX:XX]
[65.111.172.31  ]:80     reverse: unknown  [ 98%: Linux 2.6.x]
[65.111.172.31  ]:80     reverse: unknown  [ 92%: Linux 2.4.x]
[65.111.172.31  ]:80     reverse: unknown  [ 71%: Linux 3.2.x]
[65.111.172.31  ]:80     reverse: unknown  [ 71%: Linux 3.0.x]
[+] [J:0] Done: operation successful

Ez egy Linux lesz ami a céges Juniperes Tűzfal mögül basztatja a jóembereket... Ráadásul ha jól látom, ezen a linuxon fut a céges http és https szolgáltatás. Ez nagyon derék!

Ahonnan eddig jöttek a támadások azokra spongyát rá, de akik ezután jönnek azokat felveszem egy jó kis listába - akiken majd lehet tesztelni különböző dolgokat... :)

Ez pedig itt a vnc szerveres windows 2003-as gép ip címe : 186.74.162.75

Mivel ezek kérdezés nélkül nekiálltak támadni a gépem ezért azt kell, hogy feltételezzem, hogy nem "jóemberek" ülnek a vonal tulsó végén ezért nem is olyan bánásmódot érdemelnek amit a rendes emberek. Ezért ha ők tesztelik a gépem, akkor majd én is az övéket. Ez így fair.

(miközben ezt a bejegyzést írtam jött egy újabb látogató innen : 187.174.135.146 (Mexikó)

Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-15 22:51 CEST
Nmap scan report for customer-187-174-135-146.uninet-ide.com.mx (187.174.135.146)
Host is up (0.21s latency).
Not shown: 998 filtered ports
PORT   STATE SERVICE VERSION
23/tcp open  telnet  Netscreen ScreenOS telnetd
80/tcp open  http    Virata-EmWeb 6.0.1 (Netscreen administrative web server)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: firewall
Running: Juniper embedded
OS CPE: cpe:/h:juniper:networks_ssg_20
OS details: Juniper Networks SSG 20 firewall
Service Info: Device: firewall

[187.174.135.146]:80     reverse: unknown  [ 98%: ShoreGear unknown]
[187.174.135.146]:80     reverse: unknown  [ 98%: HP-UX 9.x]
[187.174.135.146]:80     reverse: unknown  [ 92%: SuperStack unknown]
[187.174.135.146]:80     reverse: unknown  [ 92%: Passport unknown]
[187.174.135.146]:80     reverse: unknown  [ 92%: BayStack 470 unknown]
[187.174.135.146]:80     reverse: unknown  [ 92%: JetDirect unknown]
[187.174.135.146]:80     reverse: unknown  [ 92%: ProCurve unknown]

Csak a próba kedvéért rátelneteltem a 23-as portra:

 root@kali:~# telnet 187.174.135.146
Trying 187.174.135.146...
Connected to 187.174.135.146.
Escape character is '^]'.
Remote Management Console
login: admin
password:
 ### Login failed

A remote management konzol kint figyel az interneten :) Kúl!
A 80-as porton se jobb a helyzet:

Admin name.... és Password. Pffff.  Mondjuk ez nem támadta a gépet - egyelőre. Csak rájelentkezett a 80-as portra pedig marhára nincs hirdetve sehol a cím, ez egy tök PRIVÁT szerver. Mondjuk, nem a céges infrastruktúráról kéne nyomulni kéretlenül ismeretlen privát szerverekre.

Ha jönnek újabb "versenyzők", updatelem vagy csak beírom megjegyzésbe...