Lonesome Walker

Und weil es gerade so schön ist, noch einen Block aus meinen iptables;
trifft garantiert keinen Falschen:


iptables -I INPUT -s 5.10.64.0/18 -j DROP &&
iptables -I INPUT -s 37.58.64.0/18 -j DROP &&
iptables -I INPUT -s 46.16.184.0/21 -j DROP &&
iptables -I INPUT -s 50.22.0.0/15 -j DROP &&
iptables -I INPUT -s 50.97.0.0/16 -j DROP &&
iptables -I INPUT -s 67.228.0.0/16 -j DROP &&
iptables -I INPUT -s 74.86.0.0/16 -j DROP &&
iptables -I INPUT -s 75.126.0.0/16 -j DROP &&
iptables -I INPUT -s 81.95.144.0/20 -j DROP &&
iptables -I INPUT -s 103.246.140.0/23 -j DROP &&
iptables -I INPUT -s 108.168.128.0/17 -j DROP &&
iptables -I INPUT -s 119.81.0.0/16 -j DROP &&
iptables -I INPUT -s 159.253.128.0/19 -j DROP &&
iptables -I INPUT -s 173.192.0.0/15 -j DROP &&
iptables -I INPUT -s 174.36.0.0/15 -j DROP &&
iptables -I INPUT -s 208.43.0.0/16 -j DROP &&
iptables -I INPUT -s 208.101.0.0/18 -j DROP

Zu viele Scans und Spam aus deren Ranges, Abuses werden so gut wie gar nicht bearbeitet.
Nein danke 🙂

Ja, sicherlich kennt der ein oder andere diesen ach so dollen Dienst, Spam for free zu versenden.
(für die, die das nicht kennen, erspart Euch die Erfahrung :-P)

Was mich ankotzt, sind die tollen Satzbausteine wie:

Wir versenden keinen Spam, für den Inhalt sind unsere Kunden verantwortlich.

Das ist wie wenn man eine neue Droge auf den Markt bringt und sagt, ich bin nicht schuld an diesem Elend, das ist die Droge.

Für alle leidgeplagten Admins:
ich führe jetzt mal ab heute eine Liste, wie man ganz einfach cleverreach-Mailserver wegfiltert.
iptables.
Stumpf, aber effizient.

Here we go:
iptables -I INPUT -s 80.228.93.216/29 -j DROP
(das sind die für die IP’s bei der EWE TEL GmbH)

und

iptables -I INPUT -s 178.77.121.128/26 -j DROP
(das sind die für die IP’s bei HostEurope)

Hm, heute poppt mein Firewall-Script schon wieder auf, Scanversuch von aussen.
Ist ja nix wirklich Neues…

Warum die Firewall aber gemotzt hat:
es war der Port 443
Da lauscht bei mir ein besonderer Apache, der nur für besondere Gäste aktiv ist.

Die besagte IP:
74.125.39.139
war auch gestern schon paar mal da.

Macht mal einen Lookup, wer das ist.
Komisch, komisch…
Da ich per Dialup verbunden bin, also täglich eine neue IP kriege, ist es SEHR unwahrscheinlich, daß da was verlinkt ist.
Dennoch, Apache-Log geguckt, vielleicht klebt ja ein Referer dran oder so.
Nada.
Dann das Netz bissel nach der aktuellen eigenen IP durchwühlt.
Nada.

Fängt Google jetzt an, selbständig IP’s abzugrasen…?

Any clues?