Vandaag een fail2ban bericht van mijn webserver op een adres uit Rusland.
Tot nu toe was dat bijna altijd uit China.
De Russen lijken dus actiever te worden op dit gebied.
Ik gebruik hier in m’n Linux firewall de geoip module. Alle nieuwe connecties die niet uit een Nederlandse IP space komt wordt gedropt. Scheelt heel wat hack pogingen. (ideetje?)
1 like
Het is ongekend wat je voorbij ziet komen als je verkeer op een publieke server bekijkt. Kom zelf uit de telecomwereld en de poort 5060 UDP scans zijn bizar.
Altijd leuk om een Asterisk neer te zetten en zien hoe ze proberen fraude te plegen.
1 like
Honeypotten is leuk om van te (kunnen) leren.
Forget it wat Rusland adressen betreft… Als ze willen dan doen ze dat gewoon vanuit een VPS uit een NL/DE/US DC of andere.
oh er zullen best Russische adressen gevonden worden, mogelijk een anonymous@RU lid dat aan het buzzen is?.
De portscans die ik zie komen vaak uit US, VN, CN,
IPv6 scans kom vrijwel alleen uit CN en US tegen.
5060 zie ik nu minder maar in het verleden was dat vaak uit het midden oosten, en dat waren er bizar veel.
En je moet serieus goede beveiliging in je PBX hebben… Echt in de trant van als 3 maal verkeerde login, IP op zwarte lijst etc. En die zwarte lijst groeit vrijwel constant met een 20-30 tal / nacht.