» »

obtožba DoS napada!?

obtožba DoS napada!?

«
1
2

treker ::

Pozdravljeni,

tole sem dobil danes na moj mail od mojega ISP-ja... a me lahko skrbi?
IP bom preveril ko pridem domov, sem pa na kabelskem internetu.

Naj povem, da hacker nisem in nikoli nisem bil. WiFi imam zaklenjen, na router pa priklopljen samo en (moj) računalnik.
Cel računalnik sem skeniral z Avastom, malwarebytsom, adaware...vse BP. A lahko še kaj pogledam??
To obvestilo sem prejel prvič!

Hvala za vsak nasvet!

___________________________________________________________________________

Spoštovani !

Prejeli smo naslednje opozorilo. Prosimo da si očistite računalnik , v
nasprotnem primeru vam bomo morali
blokirati dostop do interneta.

XXXXXX d.o.o.
tehnična podpora
--------------------------------------------
Hello,

a user/client of yours from IP 84.xx.xx.xx attacks one of our servers with
illegal portscans and/or floods of packets --> Denial-of-Service (DoS)
attacks.
See log evidence below.

Attacker IP : 84.xx.xx.xx
Attacker port(s) : 60124, 58323, 58086, 44091, 43852, 43731,
42540, 42409, 42278, 25060, ...

Attacked server IP(s) : 82.211.8.197 84.200.248.120 84.201.4.43
84.200.248.111 84.200.20.194 84.200.43.148
Attacked server port(s): 27015

Additionally, the hacker also seems to impersonate the hostname of
another host,
ie. uses the DNS and/or RDNS identity of someone else (
xxxxx.xxx.xxxxxxx.kabelnet.net ).

Please verify with your logs and take neccessary action(s) against
such illegal hacking activities originating from your IP pool.

This report can also be helpful for your team to locate probably
hijacked, compromised,
or otherwise misused computers in your network; for example zombie
computers which
have been infected with a trojan/virus and made part of a botnet by some
criminals.

Since we block (ban) such attackers for a dynamic/random number of seconds
(upto several hours), we do not log the dropped/rejected packets arriving
while the IP is banned; we log only when the ban is over and again new
attacking packets arrive. That means that the real number of attacking
packets
is even much higher than what we do log.

That also means that it eats up our limited firewall resources because we
have to ban (block) this culprit each time to prevent flood of packets.

We don't have any service at that port here, therefore we do not wish to
get
any such unsolicited packets be sent to our server.

We classify this cyber attack as a serious act of violent subversion, a
sabotage
to our infrastructure and our business.
We therefore reserve the right to forward this incident to the next
higher levels
(NCC/RIR/NCO/RIPE/ICANN), including contacting national/military Cyber
Defense,
and taking legal steps should the attacks from that IP not stop ASAP.

Regards,

U.Mutlu
SysAdm mutluit.com

RejZoR ::

Poženi gor Norton Eraser. Pomoje je tole generičen response na dinamični IP, ki pa ga nihče ni preveril kdo je bil na njem v danem trenutku...
RejZoR's Flock of Sheep @ www.rejzor.tk

treker ::

Če v routerju pogledam IP je ta, ki piše v mailu (84.xx.xx.xx). Če potem ta IP vpišem na ip-tracer, mi najde točno kdo uporamlja ta IP, v mojem primeru ISP.
Nadalje (tole mi ni čisto jasno)na tej strani potem za "Host of my IP: piše točno tko kot je v tem e-mailu (xxxxx.xxx.xxxxxxx.kabelnet.net)

Na kakšen način bi potem oni našli mene??

Na moje vprašanje, kako je z njihovimi logi "mojih" napadov pa sem dobil sledeči odgovor: Logov nimamo, ker napaden racunalnik ni pod nasim nadzorom. Se je pa to dogajalo v zadnjih nekaj dneh.

Norton Eraser ni našel nič sumljivega.

Mislim, da lahko mirno spim... ali pač?

Nextor ::

Kateri rotuter? Model, firmware, verzija firmwara? Firewall on ali off, na routerju mislim...? Je v omrežje priključen kakšen Xtremer, WD player, "AIO" printer? :D

Prenesi Kaspersky Rescue Disk 10, zapeči in spusti skozi... pol pa lahko mirno spiš, kar se tiče compa...

Zgodovina sprememb…

  • spremenilo: Nextor ()

treker ::

Router je netgear WPN824. Na routerju je vključen firewall (oz. Disable SPI Firewall ni obkljukan..saj to je to).
V win7 (64bit) imam še zonealarm vseskozi prižgan
Ja občasno je priključen na ta router še Xtreamer. Na računalniku imam filme in te potem gledamo v v dnevni sobi.

Bom še Kasperskega probal...

RejZoR ::

Glede na to da Norton Eraser ni našel ničesar ti pomoje prodajajo BS. Zadeva je precej paranoična, če uporabljaš router z vklopljenim SPI firewallom je verjetnost, da pride do kaj takega hm ne vem, zanemarljiva.
Naj Kabelnet raje preveri kdo je bil v času domnevnega napada dejansko povezan preko tega IP-ja.
RejZoR's Flock of Sheep @ www.rejzor.tk

Nextor ::

Boli me srce, ko vidim take poste! Mogoče, pa vam bo jasno za par let...

Factory reset na Xtreamer-ju...

tx-z ::

Illegal portscan? Portscan ni legalen? Od kdaj?
tx-z

retsom ::

treker je izjavil:

See log evidence below.

Attacker IP : 84.xx.xx.xx
Attacker port(s) : 60124, 58323, 58086, 44091, 43852, 43731,
42540, 42409, 42278, 25060, ...

Attacked server IP(s) : 82.211.8.197 84.200.248.120 84.201.4.43
84.200.248.111 84.200.20.194 84.200.43.148
Attacked server port(s): 27015


No če to smatrajo kot evidence potem pa naj grejo še malo v šolo. Posebej tiste tri pike so mi všeč. Metanje skeniranja in DDoS napada v isti koš pa je tudi zgodba zase.

Predlagam ti, da svojemu ISPju pošlješ odgovor, da na podlagi takih nepopolnih logov zadeve ne moreš temeljiteje preveriti, in da naj od prijavitelja zahtevajo loge, iz katerih bo točno razvidno, za kakšno vrsto škodljivega prometa je šlo (npr. TCP/UDP, koliko paketov je bilo poslanih ipd.), ter kdaj točno se je to zgodilo. Ponavadi zadostuje log požarnega zidu.

Hkrati jim seveda lahko še v bolj ponižnem tonu poveš, da si svoj sistem temeljito pregledal z antivirusnim programom in da ta ni našel nobene škodljive kode. Ponavadi jim to zadostuje.

tx-z je izjavil:

Illegal portscan? Portscan ni legalen? Od kdaj?


Predvidevam, da sprašuješ, ali je portscan legalen? Odvisno s kakšnim namenom ga izvajaš. Če bi rad vdrl v nek sistem in potem nekaj na njem počel (npr. pregledal vsebino diska, naložil kakšen program ipd.), potem je kazniv. Gl. čl. 221/3 KZ:

http://www.cert.si/zakonodaja/kazenski-...

treker ::

@Nextor
a lahko poveš malo več o Xtreamerju? Imam najnovejši update, drugega nisem nič dajal gor...

Mipe ::

Ne, ne, sigurno je kriv! Samo tega še ne ve. ISP-ji praviloma imajo prav.

retsom ::

Mipe je izjavil:

Ne, ne, sigurno je kriv! Samo tega še ne ve. ISP-ji praviloma imajo prav.


No, ISPji imajo dejansko praviloma prav :-)
Logi ponavadi ne lažejo, in če odgovoren ponudnik dobi obvestilo, ga posreduje svojemu uporabniku. Ne vem, zakaj bi si v tem primeru prijavitelj izmišljeval, da je prejel tiste pakete. In razen če ni šlo za spufan promet (malo verjetno), so ti paketi skoraj zagotovo prišli iz trekerjevega sistema. Zakaj je pošiljal pakete na vrata 27015, in ali je res šlo za škodljiv promet, pa se iz trenutno znanih podatkov ne da z gotovostjo ugotoviti. Port 27015 je drugače uporabljen tudi v Half Life igrici. Morda je imel prijavitelj kje postavljen kakšen Half Life strežnik, pa se v kakšnih konfiguracijah trekerjeve opreme še vedno pojavlja njegov naslov? Meni zadeva niti pod razno ne izgleda zlonamerna, zelo verjetno gre za neko napačno konfiguracijo.

Sta pa bili tu storjeni vsaj 2 napaki:
- prijavitelj je poslal neustrezne loge;
- ponudnik je slepo zaupal prijavitelju, da je res šlo za napad s strani trekerja, in ni preverjal prejetih logov. Zadeve bi se lahko malce drugače lotili. No vsaj prijavo so poslali naprej, to se jim vsekakor šteje v plus :-)

treker ::

A je možno (teorija), da je bil na njihovem serverju postavljen Counter Strike server (ga zelo občasno še igram), ki ga imam v Steam listi. Potem pa ga vedno ko dam refresh pinga... Mogoče je server postavil kdo "na črno" :-)
...kar se mreže tiče sem bolj laik...

SaXsIm ::

podpis pa u.mutlu? To mi nekako smrdi...
SaXsIm

Senitel ::

Niti nisem mislil komentirat, potem sem pa malo pogledal in skoraj crknil od smeha... >:D

treker je izjavil:


Attacker IP : 84.xx.xx.xx
Attacker port(s) : 60124, 58323, 58086, 44091, 43852, 43731,
42540, 42409, 42278, 25060, ...

Attacked server IP(s) : 82.211.8.197 84.200.248.120 84.201.4.43
84.200.248.111 84.200.20.194 84.200.43.148
Attacked server port(s): 27015

-Lepo generično te obtožijo port scana / dos napada. Kako za vraga je to port scan, če se je nek IP poskušal vedno povezat na port 27015? >:D
-Nikjer ne vidim kakšnega točnega časa kdaj je bilo to "kriminalno" dejanje storjeno.

Zdej pa zares smešne zadeve:
-Omenjeni "napadeni" IP-ji so od proPlay, hosting provider (pač je nekdo nekoč hostal Counter Strike/Half Life server tam)
-Avgusta/septembra si je nek nemški "ekspert" spravil odpret biznis Mutlu IT Services & Consulting in pri proPlay izgleda postavil svojo mašino in nanjo pokazal teh 6 "attacked server IP"-jev.
-Vprašanje kaj so pri tvojem ISP-ju sploh preverili: "Logov nimamo, ker napaden racunalnik ni pod nasim nadzorom. Se je pa to dogajalo v zadnjih nekaj dneh." kako vedo, da se je to dogajalo v zadnjih nekaj dneh, če nimajo logov? Če imajo loge, iz katerih so lahko ugotovili, da se je to dogajalo v zadnjih nekaj dneh, potem to tebi potencialno lahko zelo pomaga. In kot dodatno, če bi imeli take loge bi lahko takoj videli, da ta nemški "ekpsert" trosi bedarije.
-Kako lahko resno jemlješ nekoga, ki ima na svoji strani "Current hacker attacks to this system"? >:D

Skratka, če bi jaz dobil takle e-mail, bi mojega ISP-ja zelo lepo prosil, naj mi nemudoma neha pošiljat reklame za neke security eksperte. Še posebno, če ti security eksperti niso vredni pol kavne žličke mrzle vode. 8-O

Sims ::

Se pravi je ISP en velik papak, ki stranki grozi z:

"Spoštovani !

Prejeli smo naslednje opozorilo. Prosimo da si očistite računalnik , v
nasprotnem primeru vam bomo morali
blokirati dostop do interneta."

In sedaj se stranka na vse kriplje zajebava z računalnikom, ki je čist ...

HM.. ?
DELL + UBUNTU 12.10

treker ::

sem jim poslal prošnjo, da naj mi pošljejo loge... promet, da vidim kdaj se je to dogajalo. Dobil sem tale odgovor:
Spoštovani !

V primeru ustrezne prijave organom lahko na osnovi logov, ki nam jih
posreduje oskodovana organizacija preverimo, ali je takrat IP naslov res
pripadal tej stranki in tudi, ali so ti paketi ob danem casu dejansko
sli cez nase omrezje, kar je zadosten dokaz ne le za odklop, marvec tudi
odskodninsko ali kazensko tozbo.

Elstik d.o.o.
tehnična podpora

Runnagain ::

Meni se pa tale njegova attack lista zdi zelo statična :)

Lp, Runnagain!!

roscha ::

@ treker

Če imaš možnost zamenjaj ISPja. Takle lame odnos do strank je za kozlat. "Prijava" ki to ni, pri 2normalnih" ISPjih roma direkt v /dev/null.

Koliko ljudi tle gor je že dobilo take neumnosti od T-2 ali Siola ? Noben? Pa verjetno je 80% populacije tukajle ravno na teh dveh ISPjih. Podobno velja za neumnosti o piratiranju, ki jih pošiljajo butasti Američani. Koga klinac briga kaj njihovi zakoni pravjo v ZDA. Pri nas zaenkrat še nimajo jurisdikcije in normalni ISPji ne forwardirajo sranj da je RIAA poslala zahtevek za odklop, zapor, pregon v Gvantanamo, ker si piratiral Umri pokončno 142 del.

Uf!

V glavnem: če imaš možnost zamenjaj ponudnika.

treker ::

Sem jim en ORNK mail napisal. Sentinel hvala! Bom poročal, ko/če dobim odgovor.

ISP-ja bi pa z veseljem zamenjal a kaj, ko živimo v vukojebini kjer ima T-2 omejitev 1M DL, Amis je skoraj enkrat dražji, Siol prav tako.

treker ::

Epilog? Njihov odgovor...

Spostovani,

Port 27015 je res konsistenten z vasimi trditvami, tako da konec koncev
ocitno res ne gre za okuzbo. Po drugi strani ima lastnik teh IP-jev
nastavljen pozarni zid tako, da samodejno razposilja "prijave"
kakrsnihkoli poizkusov povezav na izkljucene porte/IP naslove. Prav tako
smo mu omenili vase spodnje trditve, vendar se mi iz prejsnjih izkusenj
dozdeva, da odgovora ne bomo prejeli.

V konkretnem primeru bi se vam radi opravicili, da smo vas po
nepotrebnem vznemirjali. Preostale "avtomaticne" prijave te stranke bomo
blokirali. Lep dan zelim.

Elstik
tehnična podpora

gslo ::

hehe kako so se posračkali. :)

nUUb ::

Zanimivo, da jaz nisem dobil še nobenega maila o DOS napadih, pa že vsaj 4 leta vsake toliko časa kakšen server dol butnem, ker admini enostavno abuse-ajo, oglašujejo svoj server na mojem itn.
i7 2600k@4.8GHz - nV 760 - 850 EVO 250GB - 4TB FreeNAS
ASUS 1920x1080@144Hz

Tribal ::

27015 je port uporabljen za Counter strike source serverje, tako da...

cyber_killer ::

No zdej jih pa ti sem prijavi...http://salabajzer.si/

Matthai ::

kabelnet.net?

Softnet d.o.o.?

OK, moje osebno mnenje, ampak teli kekci žal nimajo dosti pojma o varnosti. In je tudi povsem mogoče, da sploh niso preverili kdo je imel sporni IP v času domnevnega napada...
All those moments will be lost in time, like tears in rain...
Time to die.

treker ::

Softnet jp.. oz. najemniki elstik

treker ::

Se nadaljuje....danes dobil tole:

Kaj pomeni "GenTime=20111220-203305" oz. kako lahko vidim/razberem daj je to bilo? 20. december ob 20:33:05 uri?
Vesel bom vsakega pojasnila... preden jih osebno obiščem!




Spoštovani !

Pošiljamo vam pritožbo in tudi log vaših "napadov"

Elstik d.o.o.
tehnična podpora

-------- Prvotno sporočilo --------
Zadeva: [MIT-s2-5P049541] Net Abuse: portscan/flood/DoS (hacker activity) from IP 84.xx.xx.xx
Datum: Thu, 22 Dec 2011 20:37:05 +0100
Od: security@mutluit.com (U.Mutlu)
Odgovor-za: security@mutluit.com (U.Mutlu s2)
Za: elstik@kabelnet.net (Network Abuse Desk)
Kp: abuse@kabelnet.net, abuse@softnet.si, archive@mutluit.com


Hello,

a user/client of yours from IP 84.xx.xx.xx attacks one of our servers with
illegal portscans and/or floods of packets --> Denial-of-Service (DoS) attacks.
See log evidence below.

Attacker IP : 84.xx.xx.xx
Attacker port(s) : 65075, 64185, 62424, 55724, 53468, 52597, 52273, 50686, 50639, 50131

Attacked server IP(s) : 82.211.8.197 84.200.248.120 84.201.4.43 84.200.248.111 84.200.20.194 84.200.43.148
Attacked server port(s): 27015

This is the 5th Abuse Report that IP has caused on this server.
The last Abuse Report was sent to you 2.0 days ago ("GenTime=20111220-203305")

Please verify with your logs and take neccessary action(s) against
such illegal hacking activities originating from your IP pool.

This report can also be helpful for your team to locate probably hijacked, compromised,
or otherwise misused computers in your network; for example zombie computers which
have been infected with a trojan/virus and made part of a botnet by some criminals.

Since we block (ban) such attackers for a dynamic/random number of seconds
(upto several hours), we do not log the dropped/rejected packets arriving
while the IP is banned; we log only when the ban is over and again new
attacking packets arrive. That means that the real number of attacking packets
is even much higher than what we do log.

That also means that it eats up our limited firewall resources because we
have to ban (block) this culprit each time to prevent flood of packets.

We don't have any service at that port here, therefore we do not wish to get
any such unsolicited packets be sent to our server.

We classify this cyber attack as a serious act of violent subversion, a sabotage
to our infrastructure and our business.
We therefore reserve the right to forward this incident to the next higher levels
(NCC/RIR/NCO/RIPE/ICANN), including contacting national/military Cyber Defense,
and taking legal steps should the attacks from that IP not stop ASAP.

Regards,

U.Mutlu
SysAdm mutluit.com


--------------------------------------------------------------------------------

# Log evidence:
#
# AR BC=BC33b Logfile=/var/log/syslog GenTime=20111222-203704 ToAbuseEMA: elstik@kabelnet.net
# AttackerIP=84.xx.xx.xx Hostname=xxxxxxx.c3.hrastnik.kabelnet.net IPfromHN=84.xx.xx.xx cAR=5 CC=SI ASN=AS9119 Softnet d.o.o.
# AttackedServerIP(s)=82.211.8.197 84.200.248.120 84.201.4.43 84.200.248.111 84.200.20.194 84.200.43.148
# LogExcerpt (timezone: UTC+01 = GMT+01, syncd via NTP):
# Fields legend:
# SRC = Source IP
# DST = Destination IP
# PROTO= Protocol (TCP, UDP, ICMP etc.)
# SPT = Source port
# DPT = Destination port

2011-12-21 15:07:57 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=644 PROTO=UDP SPT=53468 DPT=27015 LEN=33
2011-12-21 15:43:31 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=2712 PROTO=UDP SPT=50639 DPT=27015 LEN=33
2011-12-21 17:38:06 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=9309 PROTO=UDP SPT=62424 DPT=27015 LEN=33
2011-12-21 21:57:11 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=884.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=1696 PROTO=UDP SPT=50131 DPT=27015 LEN=33
2011-12-21 21:58:45 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=2580 PROTO=UDP SPT=50686 DPT=27015 LEN=33
2011-12-21 22:19:21 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=4220 PROTO=UDP SPT=64185 DPT=27015 LEN=33
2011-12-22 11:22:45 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=1764 PROTO=UDP SPT=55724 DPT=27015 LEN=33
2011-12-22 15:34:38 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=430 PROTO=UDP SPT=52597 DPT=27015 LEN=33
2011-12-22 16:57:55 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=13455 PROTO=UDP SPT=52273 DPT=27015 LEN=33
2011-12-22 19:51:38 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=23400 PROTO=UDP SPT=65075 DPT=27015 LEN=33

--------------------------------------------------------------------------------

###################################################################
This eMail (and any attachment/s) contains confidential and/or
privileged information. Any unauthorized copying, disclosure or
distribution of the material in this eMail is strictly prohibited.
###################################################################


Internal : MIT-s2-5P049541 I CCI
Generating server: s2.mutluit.com

--
This report was automatically generated by ipb v1.40w (c) 2011 U.Mutlu


Advertisement:

This is Linux land. In silent nights you can hear the Windows machines rebooting... :-)
Visit www.mutluit.com

Zgodovina sprememb…

  • spremenilo: treker ()

Runnagain ::

Glede na priloženi log lahko vidiš, kdaj naj bi jim ti pošiljal pakete na 27015:
2011-12-21 15:07:57 s2 ke...

Pri sebi 2zakurbljaj" wireshark in spremljaj, ali res ti to pošiljaš ven iz svojega PC-ja. Glede na tandenco pošiljanja bi to težko rekli DoS napad :) (en paket na vsako kvatro enkrat).

Tisto prvo si pravilno uganil (datum in ura) generiranja reporta.

Lp, Runnagain!!

cyber_killer ::

We classify this cyber attack as a serious act of violent subversion, a sabotage
to our infrastructure and our business.
We therefore reserve the right to forward this incident to the next higher levels
(NCC/RIR/NCO/RIPE/ICANN), including contacting national/military Cyber Defense,
and taking legal steps should the attacks from that IP not stop ASAP.

Kaj točno si jim pa povzročil s temi "napadi"?

treker ::

psihične težave?

Tribal ::

Spet nekje nek "šolan" informatik mori naokol. Predvidevam da preko CSSa refresh-aš ta ip. Tudi "napadi" so tako redki, da bi rekel, da se takrat priklapljaš na CSS(counter strike source), saj so ure ustrezne dnevnemu igranju? ali pač?

treker ::

@ Tribal... niti ne, recimo 2011-12-22 11:22:45 me sploh ni bilo doma.

Nextor ::

Najlažje boš to rešil, da na router naložiš dd-wrt in dodaš v iptables, da logira ves promet, ki gre skozi te porte, tako se bo hitro videlo, katera naprava ti povzroča težave... do takrat pa je samo brcanje v temo oz. golo ugibanje...

Roadkill ::

Še en uporabnik Softneta tukaj.
Od sredine decembra opažam zelo slabo delovanje omrežja.
Po tem ko sem malo raziskoval vzroke za slabo delovanje sem v router logu opazil precej spama na podobnih portih, kot teli zgoraj.

Ko pridem domov kaj več napišem.

Ne bi bilo prvič, da bi bilo softnet omrežje polno zombijev.
Ü

zvery1 ::

DoS and potscan?!?

Take neumnosti pa še ne. Jest mu sredinca pokažem.
AMD X6 1090T, 16GB DDR3, GF 750Ti, Gigabyte 890XA-UD3,
1 x SSD, 4 x HDD, running Ubuntu 14.04 x64

Roadkill ::

Evo moj router pravi tole v logu:

[LAN access from remote] from 188.126.80.125:46307 to 192.168.1.10:49807, Tuesday, January 03,2012 17:37:49
[LAN access from remote] from 85.164.156.98:60872 to 192.168.1.10:50719, Tuesday, January 03,2012 17:34:49
[LAN access from remote] from 188.126.80.125:34864 to 192.168.1.10:49807, Tuesday, January 03,2012 17:33:20
[LAN access from remote] from 83.25.144.191:52439 to 192.168.1.10:50719, Tuesday, January 03,2012 17:32:48
[LAN access from remote] from 89.79.137.135:62361 to 192.168.1.10:50719, Tuesday, January 03,2012 17:27:17
[LAN access from remote] from 64.110.238.151:59315 to 192.168.1.10:22281, Tuesday, January 03,2012 17:23:50
[LAN access from remote] from 92.251.122.121:30971 to 192.168.1.10:50719, Tuesday, January 03,2012 17:20:51

... itd

Zna tole kdo komentirat?
A se samo meni zdi zadeva precej podobna (časovni intervali in pa porti)?

Tudi Softnet ponudnik.

Zgleda kot nek nenavaden portscan. *.10 je v DMZ, zato vse tja leti.
IPji, ki sem jih lookupal so pa večinoma poljski, korejski itd..

Bo treba namontirat en honeypot, da vidimo kaj hočejo od mene. :)
Ü

zvery1 ::

Ja tole je inbound traffic ne outbound. Tebe inbound niti ne zanima, tako da poišči odhodne povezave, oz. aplikacijo ki jih povzroča. Firewall v routerju ponavadi blokira samo dohodne povezave, tako da poglej če lahko v firewallu blokiraš odhodni port 27015. Če se v routerju ne da blokirat odhodnih povezav, si pa omisli softwerski firewall.
AMD X6 1090T, 16GB DDR3, GF 750Ti, Gigabyte 890XA-UD3,
1 x SSD, 4 x HDD, running Ubuntu 14.04 x64

Zgodovina sprememb…

  • spremenil: zvery1 ()

treker ::

Sentinel - imaš ZS

treker ::

@Runnagain, sem inštaliral Wireshark... kako filtriram ip-je? (destination ip) iščem, pa ne najdem

@Nextor, gor (zamenjal z WRT-54GL routerjem) imam tomato... lahko napišeš kako se to naredi?

Poslali so mi cel log, spodaj pa napisali:
Takrat je ta IP pripadal vam, kar se vidi iz logov na DHCP strezniku, kjer je MAC xx:xx:xx:xx:xx:xx dobil zgoraj omenjeni IP za modemom z MAC naslovom xx:xx:xx:xx:xx:xx, ki je voden pod vasim narocniskim paketom:

in pa:


Glede na to, da opozorila se vedno prejemamo tudi sedaj, ko imate drugacen IP naslov z drugacnim izvornim MAC naslovom (84.41.70.xxx / xx:xx:xx:xx:xx:xx), ter da smo zadeve ustrezno dokazali z logi z obeh strani, vas vljudno naprosamo, da zadevo pri sebi raziscete in zaustavite.


HELP!

boogie_xlr ::

Ja očitno maš zombija pri hiši.

Senitel ::

-Si imel v omenjenih časih (2011-12-21 15:07:57, 2011-12-21 15:43:31, 2011-12-21 17:38:06,...) pognan CS?
-Spucaj server listo.
-Menjaj ISP-ja.

treker ::

- bil je zagnan Steam, CS ziher ne, k so otroc okol
- Server listo sem spucal
- BI menjal ČE bi lahko

treker ::

dal netstat -an, da vidim, kateri porti so odprti.. nič od napisanih nisem našel

zvery1 ::

in ti se temu čudiš?
AMD X6 1090T, 16GB DDR3, GF 750Ti, Gigabyte 890XA-UD3,
1 x SSD, 4 x HDD, running Ubuntu 14.04 x64

treker ::

ja, ker po moji logiki, če so napadi prek teh portov, potem bi morali biti napisani... ali?

zvery1 ::

Če bi prebral moj post, bi mel problem že rešen. Ampak ne.
Dejmo še 1x.

LOG:

2011-12-21 15:07:57 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=644 PROTO=UDP SPT=53468 DPT=27015 LEN=33
2011-12-21 15:43:31 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=2712 PROTO=UDP SPT=50639 DPT=27015 LEN=33
2011-12-21 17:38:06 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=84.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=9309 PROTO=UDP SPT=62424 DPT=27015 LEN=33
2011-12-21 21:57:11 s2 kernel: REJECT UDP IN=venet0 OUT= MAC= SRC=884.xx.xx.xx DST=84.200.248.120 LEN=53 TOS=0x00 PREC=0x00 TTL=118 ID=1696 PROTO=UDP SPT=50131 DPT=27015 LEN=33

Tvoj DPT port je vedno 27015, sepravi se na tvojem kompu za sekundo odpre port 27015 in se proba povezati na njihove 50131, 53468 ... itd. Oni to zaznajo in ti morijo.
Gremo k tebi: ti imaš lahko vse porte zaprte, pa ti to en drek pomaga ker je povezava ustvarjena navzven, kar pa požarni zid ne blokira. Požarni zid blokira dohodne povezave, zato ponavadi razni torrenti ne delujejo, saj ne moreš seedat, ker se folk ne more povezat nate. Dej si gor en softverski firewall in blokiraj outbound port 27015. PO tem boš videl katera aplikacija se verjetno ne bo mogla prijavit na net, oz bi moral vsaj dobiti obvestilo, da se hoče povezati preko tega porta. Je pa en catch, aplikacija je verjetno spisana tako, da gre na drug port, če se preko tega ne more povezat, tako da v osnovi blokiraš vse porte za izhod in nato odpiraš.
AMD X6 1090T, 16GB DDR3, GF 750Ti, Gigabyte 890XA-UD3,
1 x SSD, 4 x HDD, running Ubuntu 14.04 x64

zvery1 ::

vidim da sem zafrnil dpt in spt.

Torej spt je vedno drugačen, dpt pa vedno enak, kar pomeni da ti z vedno drugim portom dostopaš do njihovega 27015. Še en razlog da za začetek blokiraš vse odhodne porte (softwersko) in spremljaš, katera aplikacija se hoče povezati ven na višjem portu. Obstaja pa tudi wireshark, v katerem vklopiš filter za port 27015, pustiš laufat par urc in vmes počneš vsakdanje stvari. Ni hudir, da ne najdeš procesa ki počne to.
AMD X6 1090T, 16GB DDR3, GF 750Ti, Gigabyte 890XA-UD3,
1 x SSD, 4 x HDD, running Ubuntu 14.04 x64

Zgodovina sprememb…

  • spremenil: zvery1 ()

zvery1 ::

Netstat ti pa nič ne pokaže zato, ker ti pokaže samo stanje v nekem trenutku. Glede na to, da se tebi to dogaja na par ur, je malo možnosti, da boš zadel ravno tisti trenutek in da bo napisalo established. Statusa listen pa tudi ne boš dobil, saj je to odhodni port in ne dohodni, na katereem bi aplikacija poslušala za novo povezavo.
Ponavadi take zadeve ne trajajo prav dolgo, zato potrebuješ dejansko logging, ki ga nato z filtri analiziraš.
AMD X6 1090T, 16GB DDR3, GF 750Ti, Gigabyte 890XA-UD3,
1 x SSD, 4 x HDD, running Ubuntu 14.04 x64

Zgodovina sprememb…

  • spremenil: zvery1 ()

Senitel ::

Saj ne bo dobil "established" statusa, če na drugi strani firewall takoj rejecta povezavo...
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

"Port scan" stanje na IPv4 omrežju (strani: 1 2 )

Oddelek: Omrežja in internet
551762 (682) AštiriL
»

asus router p/p ?

Oddelek: Omrežja in internet
8360 (184) T743
»

SIOL TV dela samo 5 minut (IGMP snooping)

Oddelek: Omrežja in internet
112094 (1830) bulekk
»

ebtables+linux+brctl+siol-tv

Oddelek: Omrežja in internet
121841 (1693) korenje_ver2
»

IPTABLES in TCP flags problem

Oddelek: Operacijski sistemi
171058 (887) Bojan xxxx

Več podobnih tem