/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
FireWall blocker over 1000 forsøg på port ~
Fra : DreamWave


Dato : 05-11-02 10:03

Hej .....

Jeg har TCD ADSL Bredbånd 1024/256, med min egen router ned NAT

Den anden dag kom jeg til at kikke i Loggen på routeren og der var 170
forsøg på at access port 137 + et par førsøg på få andre porte. (loggen er
ikke længere )
Dem jeg undre mig over er alle de forsøg på port 137, og hvordan jeg måske
kan få dem stoppet.
Jeg satte en maskine op til Logging og satte den på DMZ zone.
Nu har den logget 417 forsøg på port 137 på 9 timer og de bliver bare ved.

Jeg ved godt at de forsøg aldrig når min maskine, da de bliver stoppet i
routeren. Men jeg er lidt træt af at de står og hamre på min "hoveddør"

Link til Log-fil : http://www.mmoeller.dk/dreamwave/files/ZALog.txt


Med venlig hilsen

Simon Christensen



 
 
Rasmus Bøg Hansen (05-11-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 05-11-02 10:06

DreamWave wrote:

> Den anden dag kom jeg til at kikke i Loggen på routeren og der var 170
> forsøg på at access port 137 + et par førsøg på få andre porte. (loggen er
> ikke længere )
> Dem jeg undre mig over er alle de forsøg på port 137, og hvordan jeg måske
> kan få dem stoppet.
> Jeg satte en maskine op til Logging og satte den på DMZ zone.
> Nu har den logget 417 forsøg på port 137 på 9 timer og de bliver bare ved.

Det er fejlkonfigurerede Windows-maskiner. Glem alt om det.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Those who write "Optimized for Netscape" og "Best viewed with MSIE"
never figured out the difference between the WWW and a Word Perfect
4.2 Document.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

DreamWave (05-11-2002)
Kommentar
Fra : DreamWave


Dato : 05-11-02 10:13


> DreamWave wrote:
>
> > Den anden dag kom jeg til at kikke i Loggen på routeren og der var 170
> > forsøg på at access port 137 + et par førsøg på få andre porte. (loggen
er
> > ikke længere )
> > Dem jeg undre mig over er alle de forsøg på port 137, og hvordan jeg
måske
> > kan få dem stoppet.
> > Jeg satte en maskine op til Logging og satte den på DMZ zone.
> > Nu har den logget 417 forsøg på port 137 på 9 timer og de bliver bare
ved.
>
> Det er fejlkonfigurerede Windows-maskiner. Glem alt om det.
>
> /Rasmus
>

Ok, men kan de så for helv..... ikke få deres maskiner konfigurede rigtigt
eller skal vi give M$ skylden

Tak for svaret, men jeg følger nu loggen lidt endnu.

/ Simon Christensen



Rasmus Bøg Hansen (05-11-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 05-11-02 15:30

DreamWave wrote:

>> > Nu har den logget 417 forsøg på port 137 på 9 timer og de bliver bare
> ved.

>> Det er fejlkonfigurerede Windows-maskiner. Glem alt om det.

> Ok, men kan de så for helv..... ikke få deres maskiner konfigurede rigtigt
>

Erfaringsmæssigt: Nej. Jeg har selv haft 11.000 af dem siden sidste
indlæsning af firewallen (det er vist cirka en uge siden); jeg gider ikke
se dem i logfilen, så jeg logger dem ikke.

> Tak for svaret, men jeg følger nu loggen lidt endnu.

137 er blot unødig støj. Jeg ser ingen grund til at logge det.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
If you try to prove Murphy's law - will you fail?
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Kasper Pedersen (05-11-2002)
Kommentar
Fra : Kasper Pedersen


Dato : 05-11-02 17:15


"DreamWave" <dreamwave@kombi.dk> wrote in message news:3dc7895c$0$50011$edfadb0f@dread13.news.tele.dk...
.....
> Jeg satte en maskine op til Logging og satte den på DMZ zone.
> Nu har den logget 417 forsøg på port 137 på 9 timer og de bliver bare ved.
>

port 137 er i sagens natur også netbios nameservice.
Hvis du connecter til mit firmas webserver, der er en IIS,
så vil du sandsynligvis få endnu sådan en i loggen.
Jeg mener nemlig den laver reverse lookup, og windows,
hvis man ikke har fjernet krydset, vil forsøge at lave
windows-fileshare-reverse-lookup.

Hamrer på din hoveddør? De har pænt henvendt sig det
rette sted, i den tro at du kører windows, men har kun
fundet ud af at du ikke svarer.
Om et par af dem så kunne finde på at spørge på
suspekte måder, det ved du ikke.

Hvis du vil kigge på din firewalls output og have noget
som helst ud af det ud over en forskrækkelse, så bliver du
nødt til at læse lidt om hvad de forskellige ting er, så du,
i stedet for at blive forskrækket over små 14000 pakker,
løber ned gennem listen af støj og finder de få stykker
det rent faktisk gør nogen gavn at kigge på. Hvis de er
der overhovedet.


/Kasper



DreamWave (05-11-2002)
Kommentar
Fra : DreamWave


Dato : 05-11-02 20:31

> ....
> > Jeg satte en maskine op til Logging og satte den på DMZ zone.
> > Nu har den logget 417 forsøg på port 137 på 9 timer og de bliver bare
ved.
> >
>
> port 137 er i sagens natur også netbios nameservice.
> Hvis du connecter til mit firmas webserver, der er en IIS,
> så vil du sandsynligvis få endnu sådan en i loggen.
> Jeg mener nemlig den laver reverse lookup, og windows,
> hvis man ikke har fjernet krydset, vil forsøge at lave
> windows-fileshare-reverse-lookup.
>
> Hamrer på din hoveddør? De har pænt henvendt sig det
> rette sted, i den tro at du kører windows, men har kun
> fundet ud af at du ikke svarer.
> Om et par af dem så kunne finde på at spørge på
> suspekte måder, det ved du ikke.
>
> Hvis du vil kigge på din firewalls output og have noget
> som helst ud af det ud over en forskrækkelse, så bliver du
> nødt til at læse lidt om hvad de forskellige ting er, så du,
> i stedet for at blive forskrækket over små 14000 pakker,
> løber ned gennem listen af støj og finder de få stykker
> det rent faktisk gør nogen gavn at kigge på. Hvis de er
> der overhovedet.
>
>
> /Kasper
>

Jeg logger alt lige nu, og det er på en maskine jeg ikke bruger. den sidder
på DMZ
Jeg har siddet og kikket på loggen, og det der undre mig var alle de forsøg
på port 137 (nu over 1000, på under 21 timer) Hvis jeg soterer dem fra, er
der ikke meget tilbage.

4 forsøg på port 80
2 på 139
1 på 443
2 på 12345
3 på 13978
5 på 27374
2 på 34425
1 på 64836
1 ICMP

næsten alle forskellige IP'er , der er i hvert fald ingen logik i det, hvis
der var portscan.
Det er jo ikke meget på over 1000 forsøg

/Simon Christensen



Kasper Pedersen (06-11-2002)
Kommentar
Fra : Kasper Pedersen


Dato : 06-11-02 01:02


"DreamWave" <dreamwave@kombi.dk> wrote in message news:3dc81c69$0$27020$edfadb0f@dread11.news.tele.dk...
> > ....
>
> 4 forsøg på port 80
> 2 på 139
> 1 på 443
> 2 på 12345
> 3 på 13978
> 5 på 27374
> 2 på 34425
> 1 på 64836
> 1 ICMP
>
> næsten alle forskellige IP'er , der er i hvert fald ingen logik i det, hvis
> der var portscan.
> Det er jo ikke meget på over 1000 forsøg
>
Nej. Var det et scan skulle du se en haglbyge...
http://www.iana.org/assignments/port-numbers
http://www.sans.org/newlook/resources/IDFAQ/oddports.htm

Dernæst smider du 1 port 80'er væk, det mig. De resterende 3 er
sandsynligvis smittede webservere.
443 er https - OpenSSL orm?
12345 - knægt der har hentet NetBus
13978 - ingen anelse, kunne være en kandidat til fuld logging.
27374 - knægt der hentet SubSeven
64834 - ingen anelse, kunne være en kandidat til fuld logging
hvis den ses igen - er den i dit NAT range? Kunne være gammel
NAT'et traffik.
ICMP - kontroller at du ikke blokerer icmp traffik en router
har sendt dig for at være flink.

Nu sidder du med to pakker der kunne være interessante at kigge
på. Ingen af de pakker du har set har udgjort en risiko, det samme
gælder for de to pakker. Så skal du afgøre med dig selv om du orker
bruge tid på at skælde ud på de 2 trojaner-klient-brugere, eller om
du hellere vil gå i seng, sove, og lade der gå et par måneder hvorefter
de alligevel er blevet trætte af at lege "31337-h4x0rs" (cost/benefit
analyse).

Og ser du et 'manuelt 'scan på alm. serviceporte, så overvej om der
er en der ønsker at komme i kontakt med personen bag maskinen,
f.eks. fordi de har modtaget sære pakker fra adressen.
Der er stadig en overvægt af rare personer ude i nettet.

Så skal du bare have fundet en måde at se de pakker der slipper
igennem filteret. Det er de eneste der er risiko ved..

/Kasper



DreamWave (07-11-2002)
Kommentar
Fra : DreamWave


Dato : 07-11-02 21:29



> Dernæst smider du 1 port 80'er væk, det mig. De resterende 3 er
> sandsynligvis smittede webservere.
> 443 er https - OpenSSL orm?
> 12345 - knægt der har hentet NetBus
> 13978 - ingen anelse, kunne være en kandidat til fuld logging.
> 27374 - knægt der hentet SubSeven
> 64834 - ingen anelse, kunne være en kandidat til fuld logging
> hvis den ses igen - er den i dit NAT range? Kunne være gammel
> NAT'et traffik.
> ICMP - kontroller at du ikke blokerer icmp traffik en router
> har sendt dig for at være flink.
>
> Nu sidder du med to pakker der kunne være interessante at kigge
> på. Ingen af de pakker du har set har udgjort en risiko, det samme
> gælder for de to pakker. Så skal du afgøre med dig selv om du orker
> bruge tid på at skælde ud på de 2 trojaner-klient-brugere, eller om
> du hellere vil gå i seng, sove, og lade der gå et par måneder hvorefter
> de alligevel er blevet trætte af at lege "31337-h4x0rs" (cost/benefit
> analyse).
>
> Og ser du et 'manuelt 'scan på alm. serviceporte, så overvej om der
> er en der ønsker at komme i kontakt med personen bag maskinen,
> f.eks. fordi de har modtaget sære pakker fra adressen.
> Der er stadig en overvægt af rare personer ude i nettet.
>
> Så skal du bare have fundet en måde at se de pakker der slipper
> igennem filteret. Det er de eneste der er risiko ved..
>
> /Kasper
>

Jeg har fundet ud af hvad jeg vil. Jeg vil sove.
Mange tak for hjælpen. og jeg gider ikke gøre noget ved de par stykker som
måske var interessante at forfølge. så jeg stopper min intensive Logging og
bare kikker til den en gang i mellem som jeg altid har gjort.

/Simon Christensen



Bo Simonsen (09-11-2002)
Kommentar
Fra : Bo Simonsen


Dato : 09-11-02 14:15

In article <3dcacd24$0$52980$edfadb0f@dread11.news.tele.dk>, DreamWave wrote:

>
> Jeg har fundet ud af hvad jeg vil. Jeg vil sove.
> Mange tak for hjælpen. og jeg gider ikke gøre noget ved de par stykker som
> måske var interessante at forfølge. så jeg stopper min intensive Logging og
> bare kikker til den en gang i mellem som jeg altid har gjort.

Måske skulle du hellere koncentere dig om de data der ryger igennem til
de porte du har åbnet. Fremfor at spilde din tid på noget så illevant
som data der ikke kommer igennem.

--
Med venlig hilsen
Bo Simonsen

Jens G (06-11-2002)
Kommentar
Fra : Jens G


Dato : 06-11-02 16:08

On Tue, 5 Nov 2002 20:30:46 +0100, "DreamWave" <dreamwave@kombi.dk>
wrote:

>Jeg har siddet og kikket på loggen, og det der undre mig var alle de forsøg
>på port 137 (nu over 1000, på under 21 timer) Hvis jeg soterer dem fra, er
>der ikke meget tilbage.

Jeg får også enormt mange forespørgsler på port 137, alene de sidste
20 minutter 51 gange. Det startede for nogle uger siden, kort tid
efter Worm.Win32.Opasoft var dukket op på Internet.
Så mon ikke der er en del rundt omkring der har haft fil- og
printersharing slået til med fuld adgang fra Internet?

Info om Opasoft her:
http://www.avp.ch/avpve/worms/win32/opasoft.stm

--
Hilsen/Best Regards
Jens G
For at skrive til mig, fjern "not" fra adressen.
To e-mail me, remove "not" from address.

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste