LINUX.ORG.RU

Зачем вконтакте сканирует мои порты? Что на Тверской хотят от меня?

 , , , ,


0

1

Зашел в логи роутера и увидел вот это:

Jan 27 18:00:17 rlx-linux user.warn kernel: DoS: Port Scan Attack source=87.240.131.118 destination="МОЙ_АЙПИ_CENSURED"

Решил проверить что это за айпишник такой, вбил:

alexander@computer:~$ whois 87.240.131.118
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '87.240.128.0 - 87.240.159.255'

% Abuse contact for '87.240.128.0 - 87.240.159.255' is 'cfo@vkontakte.ru'

inetnum:        87.240.128.0 - 87.240.159.255
netname:        VKONTAKTE-SPB-NET
descr:          Vkontakte Ltd
country:        RU
admin-c:        PVD90-RIPE
tech-c:         PVD90-RIPE
status:         ASSIGNED PA
mnt-by:         VKONTAKTE-NET-MNT
created:        2009-12-24T13:54:52Z
last-modified:  2009-12-24T13:54:52Z
source:         RIPE # Filtered

person:         Pavel V Durov
address:        8-B, Tverskaya str.,
address:        191015 Saint Petersburg, Russia
phone:          +7 812 449 5670
fax-no:         +7 812 449 2287
mnt-by:         VKONTAKTE-NET-MNT
nic-hdl:        PVD90-RIPE
created:        2007-09-04T08:41:02Z
last-modified:  2009-04-08T13:21:07Z
source:         RIPE # Filtered

% Information related to '87.240.128.0/18AS47541'

route:          87.240.128.0/18
descr:          VKONTAKTE SPb Net
origin:         AS47541
mnt-by:         VKONTAKTE-NET-MNT
created:        2009-12-24T13:57:25Z
last-modified:  2009-12-24T13:57:25Z
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.84.1 (DB-1)



Последнее исправление: Mypowerfulbrain (всего исправлений: 2)

Хотят пробить где ты живешь, чтобы чайку зайти попить :) .

Без понятия. Спасибо за инфу, надо будет свои логи посмотреть.

EmgrtE ★★★★
()

похоже, это мода такая

targitaj ★★★★★
()

Больше подозреваю, что это просто «детектер» у роутера тупит увидев много пакетов от сервера. Ведь не удивлюсь, если там какой-то жуткий костыль на perl.

beastie ★★★★★
()

Похоже, мы катимся в пичальное тартарары. Что эта тема делает в тех. разделах? :(

znenyegvkby
()
Ответ на: комментарий от beastie

«Больше подозреваю, что это просто «детектер» у роутера тупит увидев много пакетов от сервера. Ведь не удивлюсь, если там какой-то жуткий костыль на perl.»

Не знаю, прошивку постоянно обновляю. Ну, это же ДОЛЖНО работать. Ок, буду следить за дальнейшим развитием событий. Как же перепроверить наверняка? Уверены что сбой?

Mypowerfulbrain
() автор топика
Ответ на: комментарий от Mypowerfulbrain

Off-topic

Не знаю, прошивку постоянно обновляю. Ну, это же ДОЛЖНО работать. Ок, буду следить за дальнейшим развитием событий. Как же перепроверить наверняка? Уверены что сбой?

Паранойя detected.

person: Pavel V Durov
address: 8-B, Tverskaya str.,

Да бросьте, вы че, серьезно?=) А по теме - давно пора перенести тему=) Говорила мне мама - не заходи в толксы, но я и не заходил...

znenyegvkby
()
Ответ на: комментарий от znenyegvkby

«Да бросьте, вы че, серьезно?=)»

Ну Я же не говорю, что меня лично Дуров сканирует. Я лишь дал часть лога роутера. Это вполне может делать автоматически ПО с серверов ВК. Само сканирует, само эксплуатирует уязвимости — и всё отлично. Тем более, может быть причина, так как могу попадать в ту группу, за которой могут особо наблюдать. Иногда болтаю не то что нужно, иногда пишу заявления по поводу нарушения прав человека, публикую материалы не очень положительные в отношении некоторых особей. Не Я один, нас хватает, но Я близок ко многим подобным. Поэтому считаю частично обоснованным опасения.

Mypowerfulbrain
() автор топика
Ответ на: комментарий от Mypowerfulbrain

Off-topic

Ну Я же не говорю, что меня лично Дуров сканирует. Я лишь дал часть лога роутера. Это вполне может делать автоматически ПО с серверов ВК. Само сканирует, само эксплуатирует уязвимости — и всё отлично.

пичаль... :(

Увезите меня в лора-толксы, увезите меня насовсем...

znenyegvkby
()
Ответ на: комментарий от Mypowerfulbrain

Не Я один
но Я близок

Сочно. Крипота она такая крипота. Сними чем нибудь типа wireshark, tcpdump сессию со сканящим IP, чтобы разговор более предметный был. Мне кажется всё же у тебя роутер пакетиками захлебнулся и детектор глюканул. Видел такое пару раз на толстых каналах.

Jameson ★★★★★
()
Ответ на: комментарий от Mypowerfulbrain

N12E. Дайте ссылку на схожую проблему.

А ты не охренел? Может её ещё и порешать за тебя? Выражение «быстрый гуглёж» тебе в его посте ни о чем не сказало? Тебя не смутило что чужой тебе человек гуглил за тебя?

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

А ты не охренел? Может её ещё и порешать за тебя? Выражение «быстрый гуглёж» тебе в его посте ни о чем не сказало? Тебя не смутило что чужой тебе человек гуглил за тебя?

Я пробовал гуглить так «Port Scan Attack source=87.240.131.118», но выбило лишь 3 ссылки и не в одной из них нет упоминания про роутер R12LX.

Mypowerfulbrain
() автор топика
Ответ на: комментарий от Jameson

Сними чем нибудь типа wireshark, tcpdump сессию со сканящим IP, чтобы разговор более предметный был.

Так это мне нужно целыми днями сидеть с включенным wireshark, так как в логе за последний месяц лишь одна запись с IP 87.240.131.118 До этого такого не видел или не замечал.

Mypowerfulbrain
() автор топика
Ответ на: комментарий от Mypowerfulbrain

но выбило лишь 3 ссылки и не в одной из них нет упоминания про роутер R12LX.

P.S.: Не в одной кроме этой темы*

Mypowerfulbrain
() автор топика
Ответ на: комментарий от Mypowerfulbrain

Погугли вот так «rlx-linux user.warn kernel: DoS: Port Scan Attack source», без IP.

Так это мне нужно целыми днями сидеть с включенным wireshark, так как в логе за последний месяц лишь одна запись с IP 87.240.131.118 До этого такого не видел или не замечал.

Раз это событие однократное и более не повторялось предлагаю считать это чудом и забить. Наука, как известно, по сути свих методов занимается повторяющимися явлениями :) Можешь свечку кому нибудь сходить поставить :)

Если тобой заинтересуются ОНИ, ОНИ не будут тебя сканить. Они позвонят дежурному админу прова и он по IP найдёт в биллинге договор и всё им расскажет. А если у прова СОРМ-3 уже, то и звонить не будут, просто узнают сами. Потом они поднимут твой netflow за год, он к ним в полном объёме миррорится через опять таки СОРМ. Дальше они «попросят» прова писать ВСЮ твою сессию месяц примерно, или сами сделают, если СОРМ-3. А потом сразу с ордером домой придут, если статью подберут подходящую.

А на сканящих забей, они тебе с линуксом и аппаратной железкой на входе не угрожают. Чаще всего это вообще черви не про твою душу.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

Я не из той страны, поэтому моему провайдеру они не позвонят.

(: google: «rlx-linux» «DoS: Port Scan Attack»

Это лишь говорит о том, что такой форматы вывода у лога данных моделей, а не о том, что это ошибка. То есть это может быть и ошиба, но не факт, что именно этот случай является ошибкой. Естественно, что гугл дает ссылки на определенные модели роутеров(как минимум 3 разные) у которых определенный формат вывода.

Mypowerfulbrain
() автор топика
Ответ на: комментарий от Mypowerfulbrain

Там было, как минимум 2 ссылки на сам vk. ;)

В общем, не забивай себе голову. Скана бояться — в инет не ходить.

данных моделей

Ну, о том то и речь, что данные модели вот так вот срабатывают. Причина? Не знаю. Может быть баг, а может и не баг. But, who cares?

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)

Тем более ты «не из той страны», не парься. Просто за сессиями поглядывай, может быть они уже насканили что сканили и успешно пенетрировали, лол.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Я проверяя логи даже нашел некоего Николаса Ростагни(Nicolas Rostagni) из компании Iliad из этой конторы:
http://www.iliad-datacenter.fr/
Что хотят(?) — непонятно.
Что за контора и как Я мог быть с ней связан? Нужно думать.
https://www.linkedin.com/in/nicolas-rostagni-8781301

Mypowerfulbrain
() автор топика
Ответ на: комментарий от Mypowerfulbrain

FORBIDDEN_PORTS=«135 137 139»

1 вариант. Какая то винда пущенная криворуким админом в интернет напрямую искала друзей сканируя весь диапазон. 2 вариант. Друзья искали какую нибудь кривую винду выставленную исподним в интернет сканируя весь диапазон.

Это всё не про тебя, не парься. Помехи статические... Червяк сканировал AS твоего прова в поисках уязвимой для заражения винды.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

«1 вариант. Какая то винда пущенная криворуким админом в интернет напрямую искала друзей сканируя весь диапазон. 2 вариант. Друзья искали какую нибудь кривую винду выставленную исподним в интернет сканируя весь диапазон.»

Да это Я от местных кулхацкеров «соседских» порты эти запрещаю трогать. А что хочет Вконтакте и Iliad французский Я хз (
Как бы его получше от все этой дряни ограничится? Чем блочите вы все эти сканирования? Я может особо никому и не нужен, но неприятно, если будут копаться в моем компьютере.

Mypowerfulbrain
() автор топика
Ответ на: комментарий от Jameson

Раньше помнится этим так штормило, что провайдеры банили эти RPC порты винды на своих железках сразу, до клиентов даже не доходило всё это. Сейчас видать перестали, т.к. вымерли уже идиоты без файрволов на непатченных виндах голой жопой в интернете. До тебя докатилось реликтовое излучение прошлых эпидемий...

Jameson ★★★★★
()
Ответ на: комментарий от Mypowerfulbrain

Чем блочите вы все эти сканирования?

Да ничем, игнорируй. Сканирую не тебя, сканируют всю провайдерскую AS (автономную систему) вместе с твоим IP в куче. Ищут жертв для заражения. У тебя на этих портах ничего уязвимого нет и не будет, так что тупо забей, воспринимай как всплеск помех в эфире. И сканят тебя скорее всего не эти уважаемые люди и организации, а либо их заражённые компы, либо червяк подделывает IP отправителя в пакетах.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

«Да ничем, игнорируй.»

Особо никогда не обращал внимание на логи, но сегодня менял DNS для доступа к некоторым сайтам и доменам, а заодно набрел и на логи. Хорошо, буду бдить, интересно всё же.

Mypowerfulbrain
() автор топика

Привет, я - Павел Дуров, это мой запасной аккаунт.
Ты был Избран, и этим чотким анализом логов доказал, что достоин. Нам нужны такие люди как ты.
Пришли мне свой логин и пароль, в качестве доказательства, я скоро свяжусь с тобой

zolden ★★★★★
()

Скандируют IPv4 на наличие амплификаторов, например. Ничего такого. Много кто так делает

Shaman007 ★★★★★
()
Ответ на: комментарий от zolden

Привет, я - Павел Дуров, это мой запасной аккаунт.
Ты был Избран, и этим чотким анализом логов доказал, что достоин. Нам нужны такие люди как ты.
Пришли мне свой логин и пароль, в качестве доказательства, я скоро свяжусь с тобой

Я так рад. Это похоже на крупный выигрыш в лотерею. Наверное, Я сейчас самый счастливый человек в мире!
Давно Вами восхищаюсь, и вот — столь долгожданная и всё же оказанная честь! Я докажу, конечно, докажу!
Логин и пароль прилагаю в виде AES 256 бит. Ключ — ласкательное имя Вашей девушки. Бывшей.
U2FsdGVkX1+OKqGJ6QfjUtUQ4yRo3SphNmlB7MxrmVOXyNLBq/R5lzTFQIdxg1DxgbAWhmtWMLSCV2e26SY1VQ==
Подсказка здесь: http://i.imgur.com/UCWce7n.jpg?1

Mypowerfulbrain
() автор топика

Я просто оставлю это здесь.

Понятно, что у некоторых людей мания слежки - это такая форма инфантилизма. Человек хочет, чтобы на него обратили внимание «более взрослые», более уважаемые органы социума. Фигачит день за днем в блоге, прописывает все свои связи, все личные данные в анкетах - а никто его не замечает, никому он не нужен. Достать чернил и плакать. Эх, если бы хоть кто-нибудь за нами следил, жизнь наполнилась бы смыслом! Хоть какое-то завалящее НЛО...

ТС, прими таблетки, короче.

anonymous
()

можт поэтому и сканят, что ты неизэтойстраны

midnight
()
Ответ на: комментарий от Shaman007


Ответ на комментарий:

Что может заставить использовать Opera * в 2016 году? Что?

Сайты, написанные мудаками, например. ЛОР в этом плане может и вполне терпим, но это не единственный сайт в интернет (для многих на этом сайте он единственный, похоже). Миниоперу использут из-за того что она не поддерживает большинство ненужных на мобиле свистоперделок, благодаря чему сайты открываются мгновенно при самом убогом качестве связи. Во-вторых, её одноколоночный режим исправляет любую мудацкую верстку так чтобы она нормально отображалась на маленьком экране. Для мобил альтернатив миниопере нет, к сожалению. Но на всякий случай приходится держать какой нибудь, например UCWeb, когда в редких случаях какие-то скрипты не работают в миниопере.

Ну и интерфейс у неё самый удобный. Всё таки пилили опытные люди, занимаются разработкой мобильного браузера в разы дольше чем остальные. Когда-то для j2me платформ кроме мини оперы больше ничего и не было.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.