---

Siden 9. marts har jeg modtaget en strøm af UDP
pakker på 818 bytes hver. Pakkerne bliver sendt
fra tilfældige source IP og port adresser til
skiftevis port 1026 og port 1027. Pakkerne kommer
altid i par, først en til port 1026 derefter en
til port 1027 indenfor et par sekunder. De to
pakker bliver altid sendt med forskellige source
IP, så jeg formoder at mindst den ene må være
spoofet.

Hvad kan det være? Min første tanke var en eller
anden orm, men jeg kan ikke lige komme i tanke
om nogen orm, der startede den dag eller i øvrigt
opfører sig på den måde. Jeg kiggede på google
og fandt kun en enkelt tråd i en belgisk
nyhedsgruppe. Jeg kan ikke belgisk, men der var
nu alligevel ikke noget, der lignede et svar.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:40607977.A44D0ECA@daimi.au.dk...
> Siden 9. marts har jeg modtaget en strøm af UDP
> pakker på 818 bytes hver. Pakkerne bliver sendt
> fra tilfældige source IP og port adresser til
> skiftevis port 1026 og port 1027. Pakkerne kommer
> altid i par, først en til port 1026 derefter en
> til port 1027 indenfor et par sekunder. De to
> pakker bliver altid sendt med forskellige source
> IP, så jeg formoder at mindst den ene må være
> spoofet.

Jeg ved ikke om det hjælper dig, men fandt lidt om de porte i går da jeg sad
og rodede lidt med at stramme min egen sikkerhed...
http://www.iana.org/assignments/port-numbers

/ Michael...

---

Kasper Dupont wrote:

> Siden 9. marts har jeg modtaget en strøm af UDP
> pakker på 818 bytes hver. Pakkerne bliver sendt
> fra tilfældige source IP og port adresser til
> skiftevis port 1026 og port 1027. Pakkerne kommer
> altid i par, først en til port 1026 derefter en
> til port 1027 indenfor et par sekunder. De to
> pakker bliver altid sendt med forskellige source
> IP, så jeg formoder at mindst den ene må være
> spoofet.

Det ligner forsøg på pop-up spam via windows messenger servicen som
lytter på en port i det lave område startende på port 1025. Da der er
tale om en forbindelsesløs protokol er det ikke nødvendigt med en gyldig
afsenderadresse så begge adresser er sikkert spoofede og derfor meget
besværlige at spore. Der sendes til et par porte adgangen så
sandsynligheden for at ramme den rigtige port er højest.

--
Hroi

---

Hroi Sigurdsson wrote:
>
> Det ligner forsøg på pop-up spam via windows messenger servicen som
> lytter på en port i det lave område startende på port 1025. Da der er
> tale om en forbindelsesløs protokol er det ikke nødvendigt med en gyldig
> afsenderadresse så begge adresser er sikkert spoofede og derfor meget
> besværlige at spore. Der sendes til et par porte adgangen så
> sandsynligheden for at ramme den rigtige port er højest.

Du har ret. Jeg sniffede lidt med ethereal og fandt
beskeden nedenfor. Den skal der såmænd nok være nogen,
der hopper på. Men hvad for en slags malware mon man
får, hvis man faktisk henter deres "patch".


Microsoft Security Bulletin MS03-043

Buffer Overrun in Messenger Service Could Allow Code Execution (828035)

Affected Software:

Microsoft Windows NT Workstation
Microsoft Windows NT Server 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Win98
Microsoft Windows Server 2003

Non Affected Software:

Microsoft Windows Millennium Edition

Your system is affected, download the patch from the address below !
FIRST TYPE THE ADDRESS BELOW INTO YOUR INTERNET BROWSER, THEN CLICK 'OK'.
THE ADDRESS WILL DISAPPEAR ONCE YOU HIT 'OK'.

www.windows-patch.info

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper" == Kasper Dupont <kasperd@daimi.au.dk> writes:

> Hroi Sigurdsson wrote:
>>
>> Det ligner forsøg på pop-up spam via windows messenger servicen som
>> lytter på en port i det lave område startende på port 1025. Da der er
>> tale om en forbindelsesløs protokol er det ikke nødvendigt med en gyldig
>> afsenderadresse så begge adresser er sikkert spoofede og derfor meget
>> besværlige at spore. Der sendes til et par porte adgangen så
>> sandsynligheden for at ramme den rigtige port er højest.

> Du har ret. Jeg sniffede lidt med ethereal og fandt beskeden
> nedenfor. Den skal der såmænd nok være nogen, der hopper på. Men
> hvad for en slags malware mon man får, hvis man faktisk henter deres
> "patch".

Men ender hos et firma der vil sælge en IPBlocker:


<quote>
Welcome to SecureSoft.

Product to buy: Windows Software Patch - IPBlocker
License type: Single user license
Cost: $19.95 - One time charge
Description: Fixes the problems related to Microsoft Messenger
service.
Security issues and popup stop.

License Type

Single User License
@ $19.95 - One Time Charge
</quote>

Og så vil de ellers se kreditkortinformationer.

Ikke et firma jeg ville handle med.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>
echo mail: !#^."<>"|tr "<> mail:" dk@wegge

---

Kasper Dupont wrote:

> Siden 9. marts har jeg modtaget en strøm af UDP
> pakker på 818 bytes hver. Pakkerne bliver sendt
> fra tilfældige source IP og port adresser til
> skiftevis port 1026 og port 1027. Pakkerne kommer
> altid i par, først en til port 1026 derefter en
> til port 1027 indenfor et par sekunder. De to
> pakker bliver altid sendt med forskellige source
> IP, så jeg formoder at mindst den ene må være
> spoofet.

Har du kigget på indholdet?

--
M.V.H
Christian Iversen

---

Christian Iversen wrote:
>
> Har du kigget på indholdet?

Nej, men det vil jeg prøve. Så kan jeg også se om
Hroi har ret. det lød i hvert fald som en sandsynlig
forklaring.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont skrev:

> Siden 9. marts har jeg modtaget en strøm af UDP
> pakker på 818 bytes hver. Pakkerne bliver sendt
> fra tilfældige source IP og port adresser til
> skiftevis port 1026 og port 1027. Pakkerne kommer
> altid i par, først en til port 1026 derefter en
> til port 1027 indenfor et par sekunder. De to
> pakker bliver altid sendt med forskellige source
> IP, så jeg formoder at mindst den ene må være
> spoofet.

> Hvad kan det være?

Ifølge: http://isc.sans.org/ er det ICQ.

---

Peder Vendelbo Mikkelsen wrote:
>
> Kasper Dupont skrev:
>
> > Siden 9. marts har jeg modtaget en strøm af UDP
> > pakker på 818 bytes hver. Pakkerne bliver sendt
> > fra tilfældige source IP og port adresser til
> > skiftevis port 1026 og port 1027. Pakkerne kommer
> > altid i par, først en til port 1026 derefter en
> > til port 1027 indenfor et par sekunder. De to
> > pakker bliver altid sendt med forskellige source
> > IP, så jeg formoder at mindst den ene må være
> > spoofet.
>
> > Hvad kan det være?
>
> Ifølge: http://isc.sans.org/ er det ICQ.

De skelner ikke mellem TCP og UDP. Ifølge deres egen
liste bruger ICQ TCP. Den trafik jeg ser er UDP. Og
den trafik de ser er sandsynligvis også UDP. Så jeg
synes ikke det lyder som ICQ. Desuden bliver den
samme trafik sendt til hhv. 1026 og 1027. ICQ bruger
ifølge deres oplysninger kun den ene. Den anden
bruges af nterm, men det er også TCP. Forklaringen
om popupspam lyder mere sandsynlig.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont skrev:

> Forklaringen om popupspam lyder mere sandsynlig.

Det har du vist ret i:

http://www.mynetwatchman.com/kb/news/2004-msgspamfrag.htm