A2ホスティング環境の一部として、CentOS 7でホストされているWebサイトがあります。私のウェブサイト(http://68.66.205.103/)私の携帯電話とAT&T ISPはComcast ISPまたは私のRCN ISP(Comcastネットワークを使用)からアクセスできません。これが私の追跡パスです。
localhost:tmp davea$ traceroute 68.66.205.103
traceroute to 68.66.205.103 (68.66.205.103), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 15.293 ms 6.332 ms 1.234 ms
2 bdl1.lem-cbr2.chi-lem.il.cable.rcn.net (10.48.40.1) 9.922 ms 17.757 ms 12.261 ms
3 216.80.78.71 (216.80.78.71) 10.832 ms 10.550 ms 11.397 ms
4 bdle2.border1.eqnx.il.rcn.net (207.172.15.196) 13.622 ms 23.229 ms
bdle3.border1.eqnx.il.rcn.net (207.172.15.212) 11.654 ms
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
しかし、興味深いことに、Comcast ISPの同じシステムでTORブラウザを介してサイトにアクセスできるため、ISPがリモートIPアドレスをブロックしているのか、それとも他の作業が進行中であるのかはわかりません。どんな提案でも大変感謝します。 -
答え1
Comcastは実際にあなたのIPを自発的にブロックしていますか?まあ、答えは...複雑です。
これは完全にComcastの決定ではありません。
これで、IPアドレスがBOTNETの一部として報告されたサーバーがあります。
世界中の多くの組織、さらにはファイアウォールベンダー(最近ではCheckPoint Technologies)を使用している組織も、そのIPアドレスのサーバーへのフルアクセスまたは特定の種類のアクセスをブロックできます。サーバーがマルウェアのブラックリストにある場合(つまり、そのネットワーク上のクライアントはそれを開けません)。
Comcastは(透明な)プロキシを使用して少なくともHTTP要求を傍受することも知られています。
私たちがよく知っているのは、Comcastが特定のサービスへのアクセスをフィルタリングするために使用する特定のテクノロジに適用される1つ以上のブラックリストを使用していることです。これを行う唯一の組織ではないかもしれません。
代替リストのIPアドレスの統計/レポートの例については、(有効になっている場合)を参照してください。http://vxcube.com/tools/ip/68.66.205.103/threat
そして、彼らがあなたのIPアドレスで活動を見て報告したマルウェアは次のとおりです。
MMD-0052-2016 - "SkidDDoS" ELF++ IRCボットネットの概要
そこにもhttp://vxcube.com/tools/ip/68.66.205.103/graphでホストがスキャン/訪問したURLを表示するオプションを選択します。
http://68.66.205.103/bins.sh
http://80.211.225.35/'
http://80.211.225.35/apache2
http://80.211.225.35/banana124.sh
http://80.211.225.35/bash
http://80.211.225.35/cron
http://80.211.225.35/ftp
http://80.211.225.35/ntpd
http://80.211.225.35/openssh
http://80.211.225.35/pftp
また、あなたのIPアドレスをShodanに接続すると、あなたがインターネット上の危険なサービスにさらされているという警告が表示されます。
あなたはしないでください少なくとも rpcbind
インターネットに接続するにはファイアウォールで保護する必要があります。
$ nmap -sT 68.66.205.103
Starting Nmap 7.60 ( https://nmap.org ) at 2018-02-25 18:14 WET
Nmap scan report for 68.66.205.103.static.a2webhosting.com (68.66.205.103)
Host is up (0.14s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
80/tcp open http
111/tcp open rpcbind
(残念ながら私のISPのため、安定したUDPポートスキャン操作は不可能です。)
言うまでもなくサーバーを再インストールし、セキュリティポリシーを再評価する必要があります。
PSマルウェアの問題ラベルを変更しました。
答え2
Tracerouteを実行しても確実な答えは得られません。ポートがブロックされていることを確認するには、そのポートに直接接続する必要があります。 tcptraceroute または hping を使用して次にアクセスできます。
# tcptraceroute www.google.com 443
Running:
traceroute -T -O info -p 443 www.google.com
traceroute to www.google.com (216.58.198.164), 30 hops max, 60 byte packets
...
9 108.170.232.97 (108.170.232.97) 10.305 ms 10.775 ms 108.170.232.99 (108.170.232.99) 10.724 ms
10 lhr25s10-in-f164.1e100.net (216.58.198.164) <syn,ack> 9.316 ms 9.444 ms 11.003 ms
またはHPING3を使用してください。
# hping3 -V -S -p 443 www.google.co.uk
using wlp3s0, addr: <ipaddr>, MTU: 1500
HPING www.google.co.uk (wlp3s0 172.217.23.3): S set, 40 headers + 0 data bytes
len=46 ip=172.217.23.3 ttl=57 id=54832 sport=443 flags=SA seq=0 win=42780 rtt=31.8 ms
...
他のISPとTORを介してサービスにアクセスできるという事実は、Comcastが実際にポート80へのアクセスをブロックしていることを示します。マルウェアベースのフィルタリングを確認する簡単なテストは、ポートを非標準値(5580や9980など)に変更して再試行することです。