Chinesisches Botnetz mag mich wohl

MarroniJohny

New Member
Hi

Habe da ein merkwürdiges Problem. Einerseits habe ich auf unserem confixx Resellerhosting im RZ eine Website zu einem Spili Server. Der Server selbst steht bei mir zu Hause, da laufen drölfzig Dienste darauf. Mittlerweile auch ein Plesk.

Auf der genannten Website hat es ein ein paar Downloads, so um die 30 GB. Die kann man runter laden, ohne Chapta oder so. Vor ein paar Monaten wollten sich dann 1000 Chinesen gleichzeitig ein 8GB File runter laden. Da hat dann mein Provider das betreffende Web gesperrt. Ich habe dem dann keine weitere Beachtung geschenkt, und dachte, dass waren einfach irgendwelche Script Kiddys.

Die Seite läuft längst wieder, und die war auch nicht mehr auffällig. Die Downloads selbst habe ich auf der Website nun auf meinen Homeserver verlinkt, da läuft ein Plesk. Die Domain bei mir zu Hause liegt hinter Cloudflare Proxy.

Nun habe ich in meinem Plesk zuhause im fail2ban wieder diese chinesischen Adressen gefunden, die wollen auf SSH zugreifen.

Die IP's sind immer von China Mobile Communications Corporation, z.B. 221.181.185.19, 221.181.185.140, 221.181.185.143.

Da die eine Domain im RZ nirgens wirklich auf meinen Homeserver zeigt, bzw. das alles hinter Cloudflare Proxy liegt, lässt mich vermuten dass es sich dabei nicht um chinesische Kiddys handelt. Das scheint jemand zu sein, der mich kennt und mich ein bisschen ärgern will. Meine IP ist relativ leicht heraus zu finden, nur nicht für einen Chinesen der einfach mal so anklopft. Vielleicht ist es auch nur ein Kumpel der mich ärgern will, aber die würden nicht gleich nen ddos laufen lassen denke ich.

Fragt sich, wer da Interesse an mir hat, und offensichtlich auch möchte, dass ich seine Aktivitäten bemerke? Ein VPN aus Urugay macht auch lustige Sachen auf meinen Diensten. Der ist da auf mehreren verschiedenen Gameserver bei mir unterwegs. Kann auch Zufall sein, weil die ganzen Dienste sind schon themenbezogen (Flugsimulator).

Was meint Ihr, ist das Zufall? Und wie ist da vorzugehen? Viel machen kann ich nicht, ausser gerade ganze Adressbereiche per Firewall sperren. Was ich eigentlich auch nicht vor habe.
 

MarroniJohny

New Member
Die ganzen chinesischen Telekom Anbieter habe ich nun alle per Zywall geblockt. Unglaublich wie da innerhalb von 6 Minuten 40 IPs im Jail waren. Denke, da versucht einer über Tor per SSH Zugriff zu bekommen.

Bei mir ist sonst eigentlich Jeder willkommen.
 

MarroniJohny

New Member
hmmm, reicht ja, wenn ich den Chinesen kein Zugriff auf SSH gebe. So können sie immer noch den ddos laufen lassen, der wird eh von Cloudflare abgefangen. :)
 

Lord Gurke

Nur echt mit 32 Zähnen
Glaub mal ja nicht, dass du was besonderes bist! ;)
Jede IPv4-Adresse im Internet bekommt solchen Besuch. Adressbereiche von Hostern ein bisschen mehr als bekannte Access-IP-Bereiche. Aber so insgesamt bekommt jede IP sowas und auch in der Menge, die du da hast.
Du bekommst also nur ab, was alle anderen auch abbekommen.

Das ist eine Sekunde tcpdump auf ein /22-IPv4-Präfix, was ich hier gerade rumliegen habe und in dem aktuell keine IP-Adressen drin aktiv sind:
Code:
02:06:29.843115 IP 82.156.191.127.34228 > A.B.0.241.22: Flags [S], seq 715948361, win 29200, options [mss 1424,sackOK,TS val 39290949 ecr 0,nop,wscale 7], length 0
02:06:29.866142 IP 82.156.191.127.58082 > A.B.0.211.22: Flags [S], seq 1024041856, win 29200, options [mss 1424,sackOK,TS val 39290972 ecr 0,nop,wscale 7], length 0
02:06:29.920699 IP 82.156.191.127.39294 > A.B.1.8.22: Flags [S], seq 341291282, win 29200, options [mss 1424,sackOK,TS val 39290974 ecr 0,nop,wscale 7], length 0
02:06:29.930995 IP 82.156.191.127.36208 > A.B.0.75.22: Flags [S], seq 1008914014, win 29200, options [mss 1424,sackOK,TS val 39291037 ecr 0,nop,wscale 7], length 0
02:06:29.948355 IP 82.156.191.127.38612 > A.B.1.225.22: Flags [S], seq 2849688798, win 29200, options [mss 1424,sackOK,TS val 39291053 ecr 0,nop,wscale 7], length 0
02:06:29.960605 IP 82.156.191.127.57850 > A.B.1.51.22: Flags [S], seq 4019322128, win 29200, options [mss 1424,sackOK,TS val 39291073 ecr 0,nop,wscale 7], length 0
02:06:29.974277 IP 82.156.191.127.60524 > A.B.1.228.22: Flags [S], seq 2599945572, win 29200, options [mss 1424,sackOK,TS val 39291043 ecr 0,nop,wscale 7], length 0
02:06:30.001347 IP 82.156.191.127.48702 > A.B.2.39.22: Flags [S], seq 1129667346, win 29200, options [mss 1424,sackOK,TS val 39291114 ecr 0,nop,wscale 7], length 0
02:06:30.020394 IP 82.156.191.127.39118 > A.B.2.162.22: Flags [S], seq 2427572835, win 29200, options [mss 1424,sackOK,TS val 39291073 ecr 0,nop,wscale 7], length 0
02:06:30.029518 IP 82.156.191.127.37034 > A.B.1.173.22: Flags [S], seq 2792124290, win 29200, options [mss 1424,sackOK,TS val 39291142 ecr 0,nop,wscale 7], length 0
02:06:30.035673 IP 82.156.191.127.42284 > A.B.0.224.22: Flags [S], seq 3763652477, win 29200, options [mss 1424,sackOK,TS val 39291142 ecr 0,nop,wscale 7], length 0
02:06:30.071715 IP 82.156.191.127.44512 > A.B.2.83.22: Flags [S], seq 2649550196, win 29200, options [mss 1424,sackOK,TS val 39291125 ecr 0,nop,wscale 7], length 0
02:06:30.097440 IP 82.156.191.127.35022 > A.B.2.166.22: Flags [S], seq 2525870864, win 29200, options [mss 1424,sackOK,TS val 39291148 ecr 0,nop,wscale 7], length 0
02:06:30.162428 IP 82.156.191.127.45888 > A.B.2.94.22: Flags [S], seq 4012648405, win 29200, options [mss 1424,sackOK,TS val 39291231 ecr 0,nop,wscale 7], length 0
02:06:30.208302 IP 82.156.191.127.39394 > A.B.1.8.22: Flags [S], seq 399417941, win 29200, options [mss 1424,sackOK,TS val 39291277 ecr 0,nop,wscale 7], length 0
02:06:30.208395 IP 82.156.191.127.48084 > A.B.1.246.22: Flags [S], seq 2819803108, win 29200, options [mss 1424,sackOK,TS val 39291320 ecr 0,nop,wscale 7], length 0
02:06:30.291010 IP 82.156.191.127.34234 > A.B.0.65.22: Flags [S], seq 3345025785, win 29200, options [mss 1424,sackOK,TS val 39291344 ecr 0,nop,wscale 7], length 0
02:06:30.300288 IP 82.156.191.127.43434 > A.B.1.198.22: Flags [S], seq 2544976960, win 29200, options [mss 1424,sackOK,TS val 39291353 ecr 0,nop,wscale 7], length 0
02:06:30.304138 IP 82.156.191.127.42640 > A.B.1.73.22: Flags [S], seq 4179726441, win 29200, options [mss 1424,sackOK,TS val 39291410 ecr 0,nop,wscale 7], length 0
02:06:30.338175 IP 82.156.191.127.54088 > A.B.0.134.22: Flags [S], seq 1304951441, win 29200, options [mss 1424,sackOK,TS val 39291444 ecr 0,nop,wscale 7], length 0
02:06:30.364693 IP 82.156.191.127.48648 > A.B.0.92.22: Flags [S], seq 3291656470, win 29200, options [mss 1424,sackOK,TS val 39291471 ecr 0,nop,wscale 7], length 0
02:06:30.370584 IP 82.156.191.127.58518 > A.B.2.208.22: Flags [S], seq 1103492991, win 29200, options [mss 1424,sackOK,TS val 39291478 ecr 0,nop,wscale 7], length 0
02:06:30.393460 IP 82.156.191.127.35122 > A.B.2.166.22: Flags [S], seq 2056902283, win 29200, options [mss 1424,sackOK,TS val 39291444 ecr 0,nop,wscale 7], length 0
02:06:30.950585 IP 82.156.191.127.38612 > A.B.1.225.22: Flags [S], seq 2849688798, win 29200, options [mss 1424,sackOK,TS val 39292056 ecr 0,nop,wscale 7], length 0
02:06:31.210309 IP 82.156.191.127.39394 > A.B.1.8.22: Flags [S], seq 399417941, win 29200, options [mss 1424,sackOK,TS val 39292280 ecr 0,nop,wscale 7], length 0
02:06:31.473527 IP 82.156.191.127.36986 > A.B.1.25.22: Flags [S], seq 2093734704, win 29200, options [mss 1424,sackOK,TS val 39292581 ecr 0,nop,wscale 7], length 0
 
Last edited:

MarroniJohny

New Member
Nur schade, habe ich nicht die ganzen Zywall Lizenzen. Mit Content Filter könnte ich ganze geo-locations ausschliessen, IDS wär auch nicht verkehrt. Aber habe leider keine 500$ im Jahr übrig nur für Firewall. Diverse Adressbereiche hab ich mal mal geblockt. Im Moment ist es dem jail recht langweilig. Die ganzen bots haben aufgegeben, bis auf einen, der ist recht hartnäckig. Mal schauen, ob die abuse Meldung nach China was bringt. Windows 2008 Handymast...
 

DeaD_EyE

Blog Benutzer
Mal schauen, ob die abuse Meldung nach China was bringt.

Reaktion der Chinesen

Sack_Mais_in_China_umgefallen.gif



Meine Situation:
root@miranda ~ # zgrep -ic "failed" /var/log/auth.log*
/var/log/auth.log:25933
/var/log/auth.log.1:26401
/var/log/auth.log.2.gz:23747
/var/log/auth.log.3.gz:27088
/var/log/auth.log.4.gz:25178
Andere werden ähnliche Zahlen präsentieren können. Es ist das normale Hintergrundrauschen.
 
Top