This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Top hacker hn.kd.ny.adsl ??

Hi all,

This guy has tried many times to scan and attack directly to my server. After searching it online and I found many complains to this one, hn.kd.ny.adsl.

Is that possible for Astaro to block a guy based on his MAC address instead of IP address in web admin? Actually, I have my customized firewall before Astaro, and I know his MAC address 00:24:b2:03:b5:52 after receiving many email alerts from psad and iptables log.

Thanks,

Hsinan


This thread was automatically locked due to age.
  • That MAC address is your ISP!

    Barry
  • Barry, Do you think he has a Netgear in front of his Astaro?

    MAC_Find: Vendor/Ethernet/Bluetooth MAC Address Lookup and Search

    Cheers - Bob
    PS Hsinan, I think the MAC address is not "transported" in the datagram, that it's just the address from the last bounce before you got the packet.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob, Barry,

    Sorry I didn't update it after I found I was wrong. 

    Yes, it's my netgear router. I have a netgear router followed by my customized firewall, and then Astaro. Astaro has two WANs so my internal LAN and servers in DMZ can keep connected only if my ISP is down. 

    So, do you have any suggestion to block this guy? If you google "hn.kd.ny.adsl", you will see so many complains to it.

    Thanks,

    Hsinan
  •  If you google "hn.kd.ny.adsl", you will see so many complains to it.


    Seems like the script looks for open proxies etc and does port scan. Is your astaro even live on the internet or is it double natted or tripple natted. 

    All the proxies running on astaro are secure, i would be more concerned about the box that you put together by yourself in front of astaro. If you are not publishing any servers then I don't see what the paranoia is all about[:S]

    They are going to add geo ip blocking for mail security in v8 if that is the server you are worried about.
  • Hi Billybob,

    The reason I put my customized server in front of Astaro is because I can easily block some IP addresses permanently and automatically. For Astaro, I need to add them manually. However, Astaro is the best UTM I have tried so far and I want virus scan feature to protect my DMZ and LAN.

    For "hn.kd.ny.adsl", I think it's not so easy to block. First, it changed IP often. Putting IP address there is not efficient. Second, it tried not only port scan but also all kind of attacks for emails, spam, web and Brute force attack. I want to block it without providing any service. 

    Any better idea?

    Thanks,

    Hsinan

  • The reason I put my customized server in front of Astaro is because I can easily block some IP addresses permanently and automatically. 


    Don't know if it is feasible but you can always block all chinese IP ranges.

    http://www.ipdeny.com/ipblocks/data/countries/cn.zone

    But still I don't get the point. If your firewall and IPS are working as they are supposed to most of the trivial network scans and proxy scans are just part of being connected to the internet. You are just seeing it more closely because of your advanced gear. I guess one can always unplug the cord before going to bed j/k[:D]
  • The interesting part for me to study and implement firewall myself is that there are many solutions and control by yourself. Since this is a Astaro forum, I would not talk here how I do it. However, the current topic for me is how to block this guy in one shot! :-)