[linux] Re: KORNET en SSH scans

Hugo van der Kooij hvdkooij op vanderkooij.org
Wo mei 4 10:56:47 CEST 2005


On Wed, 4 May 2005, Paul Slootman wrote:

> On Wed 04 May 2005, Hugo van der Kooij wrote:
> >
> > Onderstaande antwoord is van toepassing op APNIC netwerk:
> >
> > inetnum:      220.88.0.0 - 220.95.255.255
> > netname:      KORNET
> > descr:        KOREA TELECOM
> >
> > Trek zelf je conclusie of je verkeer van dit netwerk nog wenst te
> > ontvangen.
>
> iptables -I INPUT   -s 220.88.0.0/13 -j DROP
> en misschien ook:
> iptables -I FORWARD -s 220.88.0.0/13 -j DROP

Of:
route add -net 220.88.0.0/13 reject

Op de ssh & webserver.

Helaas kan ik zo'n Zyxel geval niets leren op deze manier. Misschien toch
maar een echt ADSL modem regelen ;-)

> Overigens is 210.217.0.0/16 en 211.48.20.0/24 ook van Kornet (een IP
> in dat laatste heeft mij flink geprobeerd te hacken ooit); ze hebben
> vast nog wel veel meer.

Maar in dit geval geven ze expliciet aan niemand te kunnen vinden. En dat
vind ik toch wel een indicatie dat een netwerk niet op orde is.

Heb overigens ook een blacklist staan op DE-KEYWEB-I (62.141.48.0/21) die
machines hebben staan die referer velden vullen met verwijzingen naar
servers in netwerk KEYWEB-MNT (217.114.208.0/20).

Dat riekt toch wel heel erg naar een ISP met kwade bedoelingen. Ik heb
XS4ALL gevraagd om de materie eens in te zien om te zien of daar niet wat
aan te doen is.

Is het misschien een idee een databeestje bij te houden van events? Dan
kunnen andere mensen zelf hun conclusies trekken.

Hugo.

-- 
	I hate duplicates. Just reply to the relevant mailinglist.
	hvdkooij op vanderkooij.org		http://hvdkooij.xs4all.nl/
		Don't meddle in the affairs of magicians,
		for they are subtle and quick to anger.



More information about the Linux mailing list