Re: porta 26137
Fabio Nigi ha scritto:
questa cosa succede anche a me, su porte alte e randomiche..
ho provato a chiamare telecom(dopo aver chiuso tutte le porte sopra
la 1024 e tenendo aperte solo quelle che voglio)che mi ha detto che
sono dei loro test per il passaggio di banda..
bho
ma che tipo di test fanno ... fanno attacchi ai pc collegati in questo
modo, e senza neanche avvertire.
mha, la signorina del call center non lo sapeva..e a sentirla parlare
ho capito che parlare di adsl o di scarpe le ere totalmente
indifferente, leggeva dal terminale e basta
ho fatto un po' di analisi dei log ed ho trovato che negli ultimi tre
giorni 21, 22, 23 febbraio 2005 ho avuto degli attacchi simili. Quello
che noto è che i log sono cresciuti a dismisura arrivando intorno ai 60
MBytes (la rotazione la faccio circa una volta la settimana)
Guardando gli indirizzi ip, che mi hanno fatto l'attacco il 23, ce ne
sono vari (ne ho preso uno per quasi ogni primo numero diverso):
151.49.137.108 <- IUNET-BNET49
172.180.218.181 <- IANA-BLK
199.2.124.98 <- IANA-BLK
212.108.189.251 <- TRAVEKOM
213.140.22.64 <- FASTWEB-RESIDENTIAL-01
217.113.234.5 <- TOYA
62.101.126.208 <- FASTWEB-RESIDENTIAL-03
65.40.103.245 <- IANA-BLK
66.157.27.43 <- IANA-BLK
67.68.9.173 <- IANA-BLK
68.237.122.12 <- IANA-BLK
80.105.211.87 <- TIWS-NETECONOMY
81.208.60.207 <- FASTWEB-RESIDENTIAL-02
84.222.88.196 <- TISCALINET
come si vede quelli qui riportati sono di vari gestori e nessuno di
telecom ... come fa telecom a fare questi test ed usare indirizzi ip non
suoi?
Bisognerebbe capire chi subisce questi attacchi e per quale motivo ...
Le cose notate sono:
1) sono fatti su porte alte che sembra nessuno usi e che non abbiano
vulnerabilità precise (questo potrebbe essere indizio di un nuovo
worm/trojan che si aggancia ad una di queste porte alte, ma ogni volta
la porta attaccata è dversa ... o che vogliono far cadere qualche servizio)
2) l'attacco avviene da indirizzi ip di gestori differenti e quindi
sembra proprio un attacco di computer slave
3) l'attacco inizia in un dato momento ed è solo su una determinata porta
Ciao
Davide
--
Linux User: 302090: http://counter.li.org
Prodotti consigliati:
Sistema operativo: Debian: http://www.it.debian.org
Strumenti per l'ufficio: OpenOffice.org: http://it.openoffice.org
Database: PostgreSQL: http://www.postgres.org
Browser: FireFox: http://texturizer.net/firefox
Client di posta: Thunderbird: http://texturizer.net/thunderbird
Enciclopedia: wikipedia: http://it.wikipedia.org
--
Non autorizzo la memorizzazione del mio indirizzo di posta a chi usa
outlook: non voglio essere invaso da spam
Reply to: