Vaag verkeer vanaf een Microsoft server of DDOS aanval?
Auteur: Richard Sikkes,
geplaatst in
Website & Server
op uur.
Bijgewerkt op Ma 9 Dec 2024 - 13:36:26 uur.
Artikel is 87 keer gelezen en bevat 0 reactie(s).
Bijgewerkt op Ma 9 Dec 2024 - 13:36:26 uur.
Artikel is 87 keer gelezen en bevat 0 reactie(s).
Zeker al 2 dagen lang zie ik in de logbestanden van de server vaag en raadselachtig verkeer van een bepaald IP adres komen. Het verkeer laat vreemde acties zien en geeft vreemde foutmeldingen. In eerste instantie gebruik je deze foutrapportage om je website te verbeteren en dat lukte ook wel aardig, zie mijn vorige post over de error logs op de server.
Hoe langer het duurde hoe vreemder de foutmeldingen werden en het viel me op dat ze allemaal vanaf 1 en hetzelfde IP adres kwamen. Wat is die gast allemaal aan het doen, wat is dit? Eerst maar eens gekeken wie of wat er achter het IP adres 4.227.36.123 zit. Volgens het whois commando is het een IP adres van Microsoft. What The Fuck moet Microsoft dingen op mijn server uitproberen, wat hebben ze op mijn server nodig? Rot op! Ga weg!
Meteen het adres maar geblokkeerd in de firewall, want dit vertrouw ik niet, dit is vage shit. Dat ding van Microsoft was behoorlijk raar naar zaken op mijn server aan het zoeken naar bestandslocaties die helemaal niet eens bestaan en deed ook allerlei acties met de pagina's van mijn website die een normale gebruiker of bezoeker niet zo snel zal doen. Ik vertrouw de firma Microsoft al niet, bij de naam alleen al gaan de nekharen recht overeind staan en krijg ik koude rillingen.
Maar het kan ook makkelijk iets heel anders zijn, iets met Russische inmengingen en sabotage acties en dat ze het IP adres van Microsoft gespoofed hebben, eigenlijk kun je gewoon niets meer vertrouwen op het internet. Ik heb het adres geblokkeerd in de firewall, dus dat gedoe zou nu over moeten zijn, totdat ze een ander IP adres gaan gebruiken natuurlijk, maar dat zien we dan wel weer.
Op het internet wordt gewoon heel veel afgehackt en geklooid, allemaal vage scans en pogingen op ergens in te komen, er zijn heel veel hackers actief, maar ook veel scriptkiddies en ander gespuis. Omdat je aan een URL of IP adres niet kunt zien wat erachter zit, moet je er op andere manieren achter zien te komen door allerlei scans op dat adres los te laten in de hoop dat je zo meer te weten kunt komen over het systeem en dan het liefst nog hoe je op een makkelijke manier een kwetsbaarheid kunt misbruiken om binnen te komen. Men denk blijkbaar dat er veel waardevolle informatie op deze server te vinden is.
Ik kan je vertellen, mijn crypto-wallets en mijn porno verzameling staan NIET op deze server, deze server is puur voor de websites die ik host. Dergelijke spannende zaken kun je zowieso beter niet op een publiek toegankelijke computer plaatsen.
In het verleden zijn er al meer digitale oorlogen uitgevochten op mijn server, dat was nog in de tijd dat de website nog op WordPress draaide, sinds ik dat pakket niet meer gebruik is het vrij rustig op de server, tot nu toe dan. En ik hoop dat ik nu met deze blokkade de rust weer terug heb op de server en dat er alleen normaal verkeer van echte bezoekers op de server komt.
UPDATE: Irritante lui zijn het daar, lukt het op het ene IP niet meer, dan trekken ze rustig een ander IP uit het blik zo blijkt. Dan de hele range maar blokkeren, 4.227.36.0/24 en zojuist werd duidelijk dat ik ook die 4.227.38.0/24 range moest blokkeren. Meerdere ranges zullen ongetwijfeld nog volgen.... zucht.
Foto's bij dit artikel:
Klik op een foto voor een vergroting.