/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Scan på port 111
Fra : Jørgen Larsen

Dato : 21-08-01 21:39
Jeg kan af min log fil konstatere følgende (xxx selvsagt indsat af
undertegnet af hensyn til en måske uskyldig person):

01:53:28 Unrecognized access from 202.109.75.xxx:3029 to TCP port 111
01:53:25 Unrecognized access from 202.109.75.xxx:3029 to TCP port 111

Denne port ser ud til at benyttes i forbindelse med Remote Procedure Call.
Jeg tror har lokaliseret den person som tilsyneladende har kørt en scan, men
er lidt usikker på hvad det efterstillet 3029 tal betyder. Er det en submask
eller ....?

med venlig, men usikker hilsen

Jørgen Larsen



 
 
Christian Andersen (21-08-2001)
Kommentar
Fra : Christian Andersen

Dato : 21-08-01 23:09
Jørgen Larsen wrote:

>01:53:25 Unrecognized access from 202.109.75.xxx:3029 to TCP port 111
>
>Jeg tror har lokaliseret den person som tilsyneladende har kørt en scan, men
>er lidt usikker på hvad det efterstillet 3029 tal betyder. Er det en submask
>eller ....?

Det betyder at forbindelsen er forsøgt etableret FRA port 3029 på den
anden computer.

--
Nescafe - because your pets deserve the best!


Henrik Bøgh (22-08-2001)
Kommentar
Fra : Henrik Bøgh

Dato : 22-08-01 14:55
Jørgen Larsen vreettee in meeseaagjee
<3b82c774$0$297$edfadb0f@dspool01.news.tele.dk>:

[...]

> 01:53:25 Unrecognized access from 202.109.75.xxx:3029 to TCP port 111

Fra en ende af:
'01:53:25' er tidspunktet
'Unrecognized access' angiver at din firewall ikke har genkendt den pakke
der kom.
'202.109.75.xxx' angiver hvilken IP-adresse der er afsender. Med den fulde
ip-adresse kan du gå ind på www.geektools.com, vælge whois-værktøjet og så
finde ud af hvem ip-adressen tilhører.
'3029' er den port der er brugt som afsender. En hver TCP pakke er
udstyrret med en afsender port lige som den er udstyret med en modtager
port. Dette for at modtagermaskinen ved hvilken port den skal svare på.
'TCP port 111' viser simpelthen det er en TCP-pakke på port 111.
Port 111 bruges som du korrekt skriver til Remote Procedure Calls. Det har
så vidt jeg ved ingen betydning i Windows.
Desuden bruges den nok af en ny trojan eller tilsvarende. Jeg har i
hverttilfælde kunne konstatere følgende fra min log i den seneste uges tid:

2001 aug 21 18:14:28 64.3.128.180:4233 -> nyboder.boegh.net : REJECT
2001 aug 21 18:14:31 64.3.128.180:4233 -> nyboder.boegh.net : REJECT
2001 aug 20 23:28:13 213.173.210.222:2463 -> nyboder.boegh.net : REJECT
2001 aug 20 01:56:20 204.116.220.5:4024 -> nyboder.boegh.net : REJECT
2001 aug 18 22:36:49 207.241.185.25:1564 -> nyboder.boegh.net : REJECT
2001 aug 18 22:36:51 207.241.185.25:1564 -> nyboder.boegh.net : REJECT
2001 aug 19 02:33:53 203.242.255.245:2447 -> nyboder.boegh.net : REJECT
2001 aug 19 10:44:29 212.205.62.194:4671 -> nyboder.boegh.net : REJECT
2001 aug 19 10:44:32 212.205.62.194:4671 -> nyboder.boegh.net : REJECT
2001 aug 18 00:04:26 203.107.192.122:1347 -> nyboder.boegh.net : REJECT
2001 aug 18 06:58:12 204.84.98.17:58506 -> nyboder.boegh.net : REJECT
2001 aug 18 06:58:15 204.84.98.17:58506 -> nyboder.boegh.net : REJECT
2001 aug 16 16:39:50 63.81.164.156:2867 -> nyboder.boegh.net : REJECT
2001 aug 17 02:59:58 211.119.135.148:2970 -> nyboder.boegh.net : REJECT
2001 aug 17 03:00:01 211.119.135.148:2970 -> nyboder.boegh.net : REJECT
2001 aug 17 03:26:33 212.222.93.27:1057 -> nyboder.boegh.net : REJECT

Normalt plejer der ikke være så _meget_ aktivitet på den port.

[...]

> Jørgen Larsen

--
` Med Venlig Hilsen | Regards
` H e n r i k B ø g h
` http://henrik.boegh.net/ ^ http://irc.linux.dk/
` - Don't trust a person who likes using SLRN
Søg
Reklame
Statistik
Spørgsmål : 177551
Tips : 31968
Nyheder : 719565
Indlæg : 6408825
Brugere : 218887
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.