Onze technici hebben de afgelopen periode op diverse (oudere) serveromgevingen een duidelijke toename vastgesteld van IP-connecties afkomstig van servers binnen het Microsoft Azure-netwerk.

Volgens onze technici vertoont dit verkeer kenmerken van geautomatiseerde en malafide activiteiten, zoals scanners, bots, brute-forcepogingen en in sommige gevallen gedrag dat lijkt op (lichte) DDoS-achtige belasting. Dit type verkeer wijkt duidelijk af van normaal gebruik en kan servers onnodig belasten of verstoren.

Om mogelijke impact op de dienstverlening van onze klanten te voorkomen, hebben onze technici sinds vanochtend een aantal Microsoft Azure IP-ranges preventief geblokkeerd:

• 4.204.200.0/26
• 4.204.224.0/19
• 20.14.160.0/19
• 20.53.240.32/27
• 20.151.0.0/20
• 20.151.96.0/19
• 20.194.0.0/18
• 20.214.128.0/17
• 20.215.0.0/16
• 20.216.128.0/18
• 20.119.216.0/23
• 20.220.0.0/20
• 20.220.232.0/22
• 74.7.128.0/17

Bij aanvullende controles kan het voorkomen dat extra ranges tijdelijk worden geblokkeerd. De hierboven genoemde ranges bevatten meerdere IP-adressen (binnen dezelfde netwerken) die structureel verantwoordelijk waren voor aantoonbaar malafide webverkeer (zoals bots, brute-forcepogingen en overmatige scans). Het blokkeren van alleen individuele IP-adressen heeft in dit soort situaties doorgaans weinig effect. In de praktijk wijken kwaadwillende partijen dan eenvoudig uit naar een ander IP-adres binnen dezelfde range, waarna het probleem zich direct opnieuw voordoet. Daarom kiezen onze technici in voorkomende gevallen bewust voor blokkades op netwerkniveau.

Onze technici hebben deze ranges, voor zover mogelijk, gecontroleerd bij Microsoft. Voor zover bekend hebben deze specifieke IP-ranges geen directe functie binnen Microsoft Office 365- of Microsoft Exchange-maildiensten. Wij houden deze blokkades in ieder geval actief tot na het weekend. Daarna zal het verkeer opnieuw door onze technici worden geëvalueerd en bepalen wij of aanvullende aanpassingen nodig zijn.

Achtergrondinformatie (ter verduidelijking)
Door de jaren heen zien wij regelmatig malafide verkeer richting servers van onze klanten, waaronder brute-forcepogingen, bots en scans. In de praktijk blijkt een groot deel hiervan afkomstig te zijn van cloudplatforms zoals Microsoft Azure en Amazon AWS.

Dat betekent niet dat deze platformen zelf de oorzaak zijn. In werkelijkheid huren kwaadwillende partijen vaak tijdelijk servers binnen deze cloudomgevingen, omdat:

• servers snel beschikbaar zijn
• gebruik per uur of zelfs per minuut wordt afgerekend
• eenvoudig kan worden gewisseld van IP-adres

Wanneer een IP-adres wordt geblokkeerd, kan men eenvoudig een nieuwe server starten met een ander IP-adres. Dit maakt gerichte blokkades complex en is de reden dat soms complete ranges tijdelijk worden geblokkeerd wanneer misbruik structureel voorkomt.

Een éénvoudig te begrijpen voorbeeld: Vergelijk het met een snelweg waar herhaaldelijk voertuigen gevaarlijk rijgedrag vertonen. In plaats van telkens één auto te stoppen, kan tijdelijk een volledige rijstrook worden afgesloten om verdere problemen te voorkomen.

Tot slot
Hoewel wij deze cloudranges het liefst volledig zouden blokkeren bij herhaald misbruik, is dat in de praktijk niet mogelijk. Binnen deze netwerken bevindt zich namelijk ook legitiem verkeer (bijvoorbeeld diensten, API-koppelingen en zakelijke toepassingen van klanten). Onze technici blijven het verkeer actief monitoren en nemen waar nodig aanvullende maatregelen om de stabiliteit, veiligheid en beschikbaarheid van onze dienstverlening te waarborgen.

Update (13.03.206): het lijkt erop dat de meeste servers die doelwit zijn nog gebasseerd zijn op extreem gedateerde besturingssytemen, namelijk CentOS 6.x (al sinds november 2020 end-of-life en waar wij al helemaal geen support meer op leveren) en ook CentOS 7.x (sinds juni 2024 end-of-life). Wellicht toch een keer verstandig om deze gedateerde servers te laten migreren naar een nieuwer besturingssysteem. Zie hier (DirectAdmin) en hier (Plesk) voor meer informatie. Ook hebben technici een aantal servers op voorhand een reboot gegeven.

Update (20.03.2026): technici zien nog altijd dat de aanvallen van deze IP-ranges blijven aanhouden, dus voorlopig blijven deze ranges sowieso nog een week geblokkeerd. Wij hebben inmiddels ook al meerdere klachten verstuurd naar de abuse afdeling van Microsoft, maar men reageert hier totaal niet op.