LINUX.ORG.RU

Входящие соединения на tcp 33816.

 , ,


0

3

В логе iptables ежедневно вижу сотни попыток подключения на порт tcp 33816. В основном это SYN пакеты, реже вообще без флагов, и очень редко - RST. Кто может ответить, что за популярнейшее приложение может слушать этот порт и почему именно к нему такой повышенный интерес? Может вирусня хозяина ищет? :)


Ответ на: комментарий от ii343hbka

Боты-не боты - вопрос не в этом.

Информации по этому порту в инете чуть больше нуля, а популярность, судя по логам, огромная. Мне на 22 порт гораздо реже стучат, нежели на этот. Вот и хочется знать, что именно может слушать этот порт.

mech ()
Ответ на: комментарий от mech

ну бот же
как вариант
поснифай траффик. tcpdump'ом там, например

ii343hbka ★★★ ()
Ответ на: комментарий от ii343hbka

Видать я неверно понимаю по поводу бота. Попробую более подробно объяснить суть вопроса. Сервер под CentOS с кучей сетевых интерфейсов, но... нет ни одного устройства под управление Windows, трафик которого бы проходил через сервер - только Linux и Android. Следующие строки в iptables:

-P FORWARD DROP

-A FORWARD -p tcp -m tcp --dport 33816 -j LOG --log-prefix «FORWARD 33816: »

-A FORWARD -p tcp -m tcp --sport 33816 -j LOG --log-prefix «FORWARD 33816: »

...

-P OUTPUT ACCEPT

...

-A OUTPUT -p tcp -m tcp --sport 33816 -j LOG --log-prefix «33816 OUTPUT: »

...

не показывают ничего. Т.е. ни транзитного, ни локально сгенерированного трафика с этого порта не уходит. Запросы приходят только с внешних адресов на внешний интерфейс, который смотрит в интернет. География адресов, с которых приходят запросы на этот порт - весь мир.

mech ()
Ответ на: комментарий от mech

Ботов разных в интернетах много. Возможно, твою машину просто спрашивают «А не являешься ли ты частью ботнета? Ещё нет?», а она молчит.

CYB3R ★★★★★ ()
Ответ на: комментарий от CYB3R

Собственно суть вопроса именно об этом - что за приложение/бот/etc. может слушать этот порт. Если у меня обычный «домашний» сервачек, на который даже в DNS нет записи, за сутки получает столько запросов, то и другие не должны быть обделены вниманием. Но почему-то при столь выраженной активности найти более одного упоминаня этого порта в гугле не удается.

mech ()
Ответ на: комментарий от mech

ну CYB3R же правильно объяснил
прость, может быть, это набирающий обороты ботнет, про которые еще толком никто не знает, и у которого клиентская часть слушает 33816
и просто уже зараженные тачки сканят весь диапазон адресов на предмет наличия новых ботов

ii343hbka ★★★ ()

В логе iptables ежедневно вижу сотни попыток подключения на порт tcp 33816

скорее всего твой сосед с торрента порнушку качает на порту 33816, а когда IP меняется, то клиенты дрочеров ломятся к тебе.

emulek ()
Ответ на: комментарий от ii343hbka

прость, может быть, это набирающий обороты ботнет, про которые еще толком никто не знает, и у которого клиентская часть слушает 33816

только вот он что-то не гуглится.

emulek ()
Ответ на: комментарий от emulek

Версия интересная, но не подходит (: IP раздаются провайдером статикой, без всяких NATов.

mech ()
Ответ на: комментарий от mech

IP раздаются провайдером статикой, без всяких NATов.

белый? Ну значит ты спалился, теперь какая-то хрень знает твой IP, и будет тебя долбить...

emulek ()

Повешай слушать этот порт nc, может вирусня что осмысленное напишет :-)

Возможно, что это кто-то опечатался в одном из правил, делающих DNAT для распределения тарфика по своим хостам и отправил часть коннектов на ваш ip-адрес или просто маршрутизатор глючит.

mky ★★★★★ ()

BitTorrent или что-нибудь подобное используете?

edigaryev ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.