|
|
 | Suspekte proxy-scans ?
Fra : Brian Ipsen |
Dato : 27-04-02 21:43 |
|
Hej!
Jeg har oobserveret en stak entries i min firewall log i stil med
disse:
Apr 27 20:26:08 worf kernel: IN=eth0 SRC=216.152.64.142
DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080
Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33337 DPT=8080
Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33338 DPT=8000
Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33339 DPT=3128
Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33340 DPT=1080
Apr 27 20:26:11 worf kernel: IN=eth0 SRC=216.152.64.142
DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080
Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33337 DPT=8080
Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33339 DPT=3128
Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33338 DPT=8000
Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33340 DPT=1080
Apr 27 20:26:18 worf kernel: IN=eth0 SRC=216.152.64.142
DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080
IP adresserne resolver til noget på domænet webchat.org - men hvorfor
prøver deres maskiner at finde en åben proxy hos mig ?? Den ene host
er endda angivet som proxycheck.webchat.org - er det ikke rimeligt
suspekt opførsel ???
/Brian
| |
 Peder Vendelbo Mikke~ (27-04-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 27-04-02 22:34 |
| | |
Brian Ipsen (28-04-2002)
| Kommentar
Fra : Brian Ipsen |
Dato : 28-04-02 06:47 |
|
On Sat, 27 Apr 2002 23:33:57 +0200, "Peder Vendelbo Mikkelsen"
<pedervm@myrealbox.com> wrote:
>> IP adresserne resolver til noget på domænet webchat.org - men hvorfor
>> prøver deres maskiner at finde en åben proxy hos mig ?
>
>Du har vel læst på denne side?
>
><URL: http://webchat.org/klproxy.shtml >
Nej - men det var lige den information, jeg søgte ! Mange tak 
/Brian
| |
Kasper Dupont (27-04-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 27-04-02 22:46 |
|
Brian Ipsen wrote:
>
> Hej!
>
> Jeg har oobserveret en stak entries i min firewall log i stil med
> disse:
>
> Apr 27 20:26:08 worf kernel: IN=eth0 SRC=216.152.64.142
> DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080
> Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33337 DPT=8080
> Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33338 DPT=8000
> Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33339 DPT=3128
> Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33340 DPT=1080
> Apr 27 20:26:11 worf kernel: IN=eth0 SRC=216.152.64.142
> DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080
> Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33337 DPT=8080
> Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33339 DPT=3128
> Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33338 DPT=8000
> Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33340 DPT=1080
> Apr 27 20:26:18 worf kernel: IN=eth0 SRC=216.152.64.142
> DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080
Dem har jeg også en masse af. Jeg ved ikke hvad det er.
(Din log har et lidt andet format end min. Er det ipchains
du bruger?)
>
> IP adresserne resolver til noget på domænet webchat.org - men hvorfor
> prøver deres maskiner at finde en åben proxy hos mig ?? Den ene host
> er endda angivet som proxycheck.webchat.org - er det ikke rimeligt
> suspekt opførsel ???
Det ser lidt mistænkeligt ud, gad vide om det er en eller
anden orm? Alle destinationsportene er upriviligerede, så
du kunne evt. oprette en dummybruger og sætte et program
til at lytte på porten og gemme et par forespørgsler i en
fil. (Det forudsætter naturligvis, at du lukker dem
gennem firewallen.)
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk
| |
Jesper Louis Anderse~ (27-04-2002)
| Kommentar
Fra : Jesper Louis Anderse~ |
Dato : 27-04-02 23:15 |
|
On Sat, 27 Apr 2002 23:46:19 +0200, Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Dem har jeg også en masse af. Jeg ved ikke hvad det er.
> (Din log har et lidt andet format end min. Er det ipchains
> du bruger?)
> Det ser lidt mistænkeligt ud, gad vide om det er en eller
> anden orm? Alle destinationsportene er upriviligerede, så
> du kunne evt. oprette en dummybruger og sætte et program
> til at lytte på porten og gemme et par forespørgsler i en
> fil. (Det forudsætter naturligvis, at du lukker dem
> gennem firewallen.)
Det er nok bare en irc-proxy-scanner i aktion. Det goer man normalt for at
undgaa at folk anvender miskonfigurerede proxies som indgang til irc
--
jesper
| |
 Kasper Dupont (28-04-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 28-04-02 08:36 |
|
Jesper Louis Andersen wrote:
>
> Det er nok bare en irc-proxy-scanner i aktion. Det goer man normalt for at
> undgaa at folk anvender miskonfigurerede proxies som indgang til irc
Hvorfor scanner de så alle mulige tilfældige maskiner?
Burde de ikke kun scanne deres klienter?
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk
| |
Christian E. Lysel (29-04-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 29-04-02 00:32 |
|
Kasper Dupont wrote:
>>Det er nok bare en irc-proxy-scanner i aktion. Det goer man normalt for at
>>undgaa at folk anvender miskonfigurerede proxies som indgang til irc
> Hvorfor scanner de så alle mulige tilfældige maskiner?
> Burde de ikke kun scanne deres klienter?
Jo.
Grunden til de scanner deres klienter er jo for at undgå at det er
"udnyttet" maskiner der bruger irc.
Dog er disse scanninger sandsynligvis fra nogle der vil finde en maskine
de kan "udnytte" til fx at deltage i irc, uden at efterlade sig alt for
tydelige spor.
| |
Klaus Ellegaard (28-04-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 28-04-02 19:08 |
|
Kasper Dupont <kasperd@daimi.au.dk> writes:
>> Det er nok bare en irc-proxy-scanner i aktion. Det goer man normalt for at
>> undgaa at folk anvender miskonfigurerede proxies som indgang til irc
>Hvorfor scanner de så alle mulige tilfældige maskiner?
>Burde de ikke kun scanne deres klienter?
Det er sikkert bare nogen, der vil finde en proxy at misbruge helt
generelt. Relativt meget (news) spam bliver i dag sendt via åbne
proxyer.
Mvh.
Klaus.
| |
Henrik Boegh (28-04-2002)
| Kommentar
Fra : Henrik Boegh |
Dato : 28-04-02 09:39 |
|
Brian Ipsen told the rest of dk.edb.sikkerhed:
[...]
> IP adresserne resolver til noget på domænet webchat.org - men hvorfor
> prøver deres maskiner at finde en åben proxy hos mig ?? Den ene host
> er endda angivet som proxycheck.webchat.org - er det ikke rimeligt
> suspekt opførsel ???
Jo - hvis du kan sige dig helt sikker for at der ikke er nogle bag dit
chains/tables-setup som benytter en webchat-service. Og husk det
behøver ikke nødvendigvis være umiddelbart tydeligt at det er en
webchat.org service.
> /Brian
--
H e n r i k B o e g h ^ http://henrik.boegh.net/?index=usenet
God is love, but get it in writing.
-- Gypsy Rose Lee
| |
|
|