/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Scanning af port3602
Fra : Claus S.


Dato : 21-03-04 11:01

Hej.

Den sidste tid har jeg oplevet en massiv scanning på port 3602 (UDP).
På nogle tidspunkter af døgnet er det mere ned 175 scanninger i timen!

Er der nogen der ved hvad det kan være? Er der p.t. nogle sårbare systemer
som bliver udnyttet på denne port eller hvad er det der sker.

Jeg har søgt på Google efter et svar, men er ikke rigtig blevet klogere på
det.

Mvh.
Claus



 
 
Christian E. Lysel (21-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 21-03-04 12:10


In article <405d67c0$0$280$edfadb0f@dread11.news.tele.dk>, Claus S. wrote:
> Den sidste tid har jeg oplevet en massiv scanning på port 3602 (UDP).
> På nogle tidspunkter af døgnet er det mere ned 175 scanninger i timen!

Og?

Du er ikke den eneste, http://www.dshield.org/port_report.php?port=3602

Den mest agressive er,
http://www.dshield.org/ipdetails_ascii.php?ip=068.071.186.195&v=

> Er der nogen der ved hvad det kan være? Er der p.t. nogle sårbare systemer
> som bliver udnyttet på denne port eller hvad er det der sker.

Nej.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Kasper Dupont (21-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 21-03-04 14:08

"Claus S." wrote:
>
> Hej.
>
> Den sidste tid har jeg oplevet en massiv scanning på port 3602 (UDP).
> På nogle tidspunkter af døgnet er det mere ned 175 scanninger i timen!
>
> Er der nogen der ved hvad det kan være? Er der p.t. nogle sårbare systemer
> som bliver udnyttet på denne port eller hvad er det der sker.
>
> Jeg har søgt på Google efter et svar, men er ikke rigtig blevet klogere på
> det.

Det kan måske være Witty. Hvad er pakkernes source
port, og hvor store er de?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Claus S. (21-03-2004)
Kommentar
Fra : Claus S.


Dato : 21-03-04 14:47


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:405D9392.B827CACE@daimi.au.dk...
>
> Det kan måske være Witty. Hvad er pakkernes source
> port, og hvor store er de?

Source porten skifter fra ip til ip. Desværre kan jeg ikke sige noget om
størrelsen på pakkerne, da det ikke fremgår af log'en.

>
> --
> Kasper Dupont -- der bruger for meget tid paa usenet.
> For sending spam use mailto:aaarep@daimi.au.dk
> /* Would you like fries with that? */

Mvh.
Claus Sørensen



Peter Kruse (21-03-2004)
Kommentar
Fra : Peter Kruse


Dato : 21-03-04 14:34

"Claus S." <***locutus_dk***@mailcity.com> skrev i en
meddelelse
news:405d67c0$0$280$edfadb0f@dread11.news.tele.dk...

Hej Claus,

> Den sidste tid har jeg oplevet en massiv scanning på port
3602 (UDP).
> På nogle tidspunkter af døgnet er det mere ned 175
scanninger i timen!

Hvis afsender porten er UDP 4000, så er det med stor
sandsynlighed Witty, eller en variant.

Venligst
Peter Kruse




Christian E. Lysel (21-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 21-03-04 14:49

In article <405d999c$0$257$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
> Hvis afsender porten er UDP 4000, så er det med stor
> sandsynlighed Witty, eller en variant.

Fra den node der scanner mest er der ikke nogle sammenhæng på
source porten,

http://www.dshield.org/ipdetails_ascii.php?ip=068.071.186.195&v=

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Peter Kruse (21-03-2004)
Kommentar
Fra : Peter Kruse


Dato : 21-03-04 15:01

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnc5r7ah.pdh.chel@weebo.dmz.spindelnet.dk...
> In article <405d999c$0$257$edfadb0f@dread16.news.tele.dk>,
Peter Kruse wrote:

Hej Christian,

> Fra den node der scanner mest er der ikke nogle sammenhæng

> source porten,

Nej, det er korrekt. Der er sidenhed udgivet flere
varianter. Bemærk iøvrigt at denne variant altid sender til
UDP 3602.

Venligst
Peter Kruse



Christian E. Lysel (21-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 21-03-04 15:08

In article <405d9fd0$0$225$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
>> Fra den node der scanner mest er der ikke nogle sammenhæng
> på
>> source porten,
>
> Nej, det er korrekt. Der er sidenhed udgivet flere

Hvad er da sammenhængen på source porten?,
http://www.dshield.org/ipdetails_ascii.php?ip=068.071.186.195&v=

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Peter Kruse (21-03-2004)
Kommentar
Fra : Peter Kruse


Dato : 21-03-04 15:33

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnc5r8dp.pdh.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Hvad er da sammenhængen på source porten?,
>
http://www.dshield.org/ipdetails_ascii.php?ip=068.071.186.195&v=

At den vælger en vilkårlig source port mellem 1025-5000 og
at den smider dem i tre klynger inden den skifter source
port?

Jeg er ikke helt sikker på hvad du mener.

Venligst
Peter Kruse



Christian E. Lysel (21-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 21-03-04 15:39

In article <405da73f$0$254$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
> Jeg er ikke helt sikker på hvad du mener.

Jeg troede du kunne se en sammenhæng mellem tallene.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Peter Kruse (21-03-2004)
Kommentar
Fra : Peter Kruse


Dato : 21-03-04 15:53

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnc5ra90.902.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Jeg troede du kunne se en sammenhæng mellem tallene.

Enlighten me
Måske fordi den inficerede maskine står bag en NAT router.

Venligst
Peter



Kasper Dupont (21-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 21-03-04 16:42

Peter Kruse wrote:
>
> Måske fordi den inficerede maskine står bag en NAT router.

Hvordan bliver en maskine bag en NAT router inficeret?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Christian E. Lysel (21-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 21-03-04 16:46

In article <405DB7DC.7BAA2F0D@daimi.au.dk>, Kasper Dupont wrote:
> Hvordan bliver en maskine bag en NAT router inficeret?

Af en bærbar?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Kasper Dupont (21-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 21-03-04 17:08

"Christian E. Lysel" wrote:
>
> In article <405DB7DC.7BAA2F0D@daimi.au.dk>, Kasper Dupont wrote:
> > Hvordan bliver en maskine bag en NAT router inficeret?
>
> Af en bærbar?

Altså en bærbar, der først er koblet på nettet
uden at være bag nogen firewall/NAT, og derefter
bliver flyttet og sluttet til netværket bagved
en NAT router uden at den bærbare har været
slukket/genstartet derimellem.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Peter Kruse (21-03-2004)
Kommentar
Fra : Peter Kruse


Dato : 21-03-04 17:55

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:405DBDCC.A1458BD3@daimi.au.dk...

Hej Kasper,

> Altså en bærbar, der først er koblet på nettet
> uden at være bag nogen firewall/NAT, og derefter
> bliver flyttet og sluttet til netværket bagved
> en NAT router uden at den bærbare har været
> slukket/genstartet derimellem.



Det kan selvfølgelig - og mere sandsynligt - ske via en
dårligt konfigureret hjemmearbejdsplads, som forbinder sig
til firmaets netværk via f.eks. IPsec.

Venligst
Peter Kruse



Søg
Reklame
Statistik
Spørgsmål : 177548
Tips : 31968
Nyheder : 719565
Indlæg : 6408799
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste