Das Ports immer mal wieder abgeklopft werden kennt man ja, das es speziell 5090/tcp (u.a. 3CX Tunnel) trifft sticht dabei allerdings etwas heraus.
So haben wir im Laufe des Jahres 2024 bislang mehrere Versuche gesehen. Beispielsweise mal im März, April und Mai, allerdings immer nur 1-3 mal pro PBX. Seit Anfang Juli allerdings nahezu täglich, immer drei Versuche innerhalb weniger Sekunden. Durchgekommen ist wohl nichts, da das IDS/IPS der Firewall dies unterbunden hat. Die IP-Adressen sind/waren dabei immer bereits negativ vorbelastet.
Ob das nun ein gezielter Angriff auf 3CX-Telefonanlagen ist oder ob ein anderer Dienst hinter dem Port vermutet wird, haben wir nicht weiter geprüft. Folgende IPs haben bislang erfolglos versucht zuzugreifen:
- 45.227.254.48
- 88.214.25.62
- 88.214.25.63
- 88.214.25.64
- 88.214.25.65
- 91.238.181.16
- 91.238.181.20
- 91.238.181.21
- 91.238.181.22
- 91.238.181.23
- 91.238.181.24
- 91.238.181.71
Alle IP-Adressen stammen aus dem europäischen Ausland (von Deutschland aus gesehen) und der überwiegende Teil gehört zur Layer7 Networks GmbH, diese erbringt u.a. Hosting-Dienstleistungen. Gut möglich das da ein Kunden Schabernack treibt. Jedenfalls wurden die Kollegen kontaktiert.
Quellen
Wikipedia – List of TCP and UDP port numbers
iana – Service Name and Transport Protocol Port Number Registry
speedguide.net – Port 5090 Details
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.