LINUX.ORG.RU

Вопрос по многократным сканированиям 53 порта.


0

0

Чуть ли не каждый день вытаскиваю из логов сообщения, подобные приведённому ниже:
--------------------
May 10 06:11:51 host portsentry[473]: attackalert: SYN/Normal scan from host:
210.96.69.254/210.96.69.254 to TCP port: 53
May 10 06:11:51 host portsentry[473]: attackalert: Host 210.96.69.254 has
been blocked via dropped route using command: "/sbin/ipchains -I input -s
210.96.69.254 -j DENY -l"
<..scipped..>
May 7 05:24:38 host kernel: Packet log: input DENY eth0 PROTO=6
207.231.72.16:4998 xxx.xxx.xx.72:53 L=60 S=0x00 I=20712 F=0x4000 T=46 SYN (#1)
May 7 05:24:42 host kernel: Packet log: input DENY eth0 PROTO=6
207.231.72.16:4998 xxx.xxx.xx.72:53 L=60 S=0x00 I=20772 F=0x4000 T=46 SYN (#1)
May 7 05:24:51 host kernel: Packet log: input DENY eth0 PROTO=6
207.231.72.16:4998 xxx.xxx.xx.72:53 L=60 S=0x00 I=21650 F=0x4000 T=46 SYN (#1)
---------------
География довольно обширна: Япония, Корея, Италия, Аргентина и т.д.
Интересует вот что. Это поиски уязвимого BIND или какой-нить из новоявленных
троянов (Lion и иже с ним) работают на машинах, которые пытаюся ломиться?
Если писать письма админам-то каждый день придётся по 5-8 писем писать.


Re: чПРТПУ РП НОПЗПЛТБФОЩН УЛБОЙТПЧБОЙСН 53 РПТФБ.

Prover svoi parametry demonov - i log kakoi -nit sdelay - polniy moget - iniciator - tvoy host

anonymous ()

Re: Вопрос по многократным сканированиям 53 порта.

Еще раз советую проверить конфиг файлы на сервере своем - и надо завести на неск часов полный лог коннектов - может инициатор - твой сервер (хотя сомневаюсьь что - SYN фигурировал бы)) оут - посылаешь - а ответ не принимаешь и думает что - скан))) (а еще интересно такие попытки коннекта читать на Фре ipfw)))

anonymous ()

Re: Вопрос по многократным сканированиям 53 порта.

Eshe moget kto-to v tvoei setke pitaetsya poslat' poddel'nie paketi s cel'u zabombit bind. Spoofing packetov mozno osushestvit' s pomoshu libpcap ili sootvetstvuushei progi aka 'apsend'.

fc ()

Re: Вопрос по многократным сканированиям 53 порта.

У меня вчера тоже подобное было. Подключили линукс к сети, чтобы скачать
новое ядро, так за то время, что шло перекачивание, зафлудили машину с 4 адресов
разных провайдеров.
Причем 80 порт, который у меня и не активирован.
Такие же сообщения, правда, у меня portsentry прикрыл эти адреса с/п host.deny, а не
ipchains.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.