Re: porta 26137

To: debian-italian@lists.debian.org
Subject: Re: porta 26137
From: Davide Prina <davide.prina@gmail.com>
Date: Thu, 24 Feb 2005 22:00:57 +0100
Message-id: <[🔎] 421E4089.4000805@gmail.com>
In-reply-to: <20050224195746.548664d7@reborn.dyndns.org>
References: <[🔎] 421CFA9B.8030808@gmail.com> <[🔎] 421D967A.1070106@gmx.net> <[🔎] 1109235942.421d98e6b5cc3@mail.sinetsrl.it> <[🔎] 20050224104349.6ca8263c@reborn.dyndns.org> <[🔎] c097048e05022408274505c163@mail.gmail.com> <20050224195746.548664d7@reborn.dyndns.org>

Fabio Nigi ha scritto:

questa cosa succede anche a me, su porte alte e randomiche..

ho provato a chiamare telecom(dopo aver chiuso tutte le porte sopra
la 1024 e tenendo aperte solo quelle che voglio)che mi ha detto che
sono dei loro test per il passaggio di banda..
bho


ma che tipo di test fanno ... fanno attacchi ai pc collegati in questo
modo, e senza neanche avvertire.




mha, la signorina del call center non lo sapeva..e a sentirla parlare
ho capito che parlare di adsl o di scarpe le ere totalmente
indifferente, leggeva dal terminale e basta

ho fatto un po' di analisi dei log ed ho trovato che negli ultimi tregiorni 21, 22, 23 febbraio 2005 ho avuto degli attacchi simili. Quelloche noto è che i log sono cresciuti a dismisura arrivando intorno ai 60MBytes (la rotazione la faccio circa una volta la settimana)

Guardando gli indirizzi ip, che mi hanno fatto l'attacco il 23, ce nesono vari (ne ho preso uno per quasi ogni primo numero diverso):

151.49.137.108  <- IUNET-BNET49
172.180.218.181 <- IANA-BLK
199.2.124.98 <- IANA-BLK
212.108.189.251 <- TRAVEKOM
213.140.22.64 <- FASTWEB-RESIDENTIAL-01
217.113.234.5 <- TOYA
62.101.126.208 <- FASTWEB-RESIDENTIAL-03
65.40.103.245 <- IANA-BLK
66.157.27.43 <- IANA-BLK
67.68.9.173 <- IANA-BLK
68.237.122.12 <- IANA-BLK
80.105.211.87 <- TIWS-NETECONOMY
81.208.60.207 <- FASTWEB-RESIDENTIAL-02
84.222.88.196 <- TISCALINET

come si vede quelli qui riportati sono di vari gestori e nessuno ditelecom ... come fa telecom a fare questi test ed usare indirizzi ip nonsuoi?


Bisognerebbe capire chi subisce questi attacchi e per quale motivo ...

Le cose notate sono:

1) sono fatti su porte alte che sembra nessuno usi e che non abbianovulnerabilità precise (questo potrebbe essere indizio di un nuovoworm/trojan che si aggancia ad una di queste porte alte, ma ogni voltala porta attaccata è dversa ... o che vogliono far cadere qualche servizio)2) l'attacco avviene da indirizzi ip di gestori differenti e quindisembra proprio un attacco di computer slave

3) l'attacco inizia in un dato momento ed è solo su una determinata porta

Ciao
Davide

--
Linux User: 302090: http://counter.li.org
Prodotti consigliati:
Sistema operativo: Debian: http://www.it.debian.org
Strumenti per l'ufficio: OpenOffice.org: http://it.openoffice.org
Database: PostgreSQL: http://www.postgres.org
Browser: FireFox: http://texturizer.net/firefox
Client di posta: Thunderbird: http://texturizer.net/thunderbird
Enciclopedia: wikipedia: http://it.wikipedia.org
--
Non autorizzo la memorizzazione del mio indirizzo di posta a chi usa
outlook: non voglio essere invaso da spam

Reply to:

Follow-Ups:
- Re: porta 26137
  - From: Fabio Nigi <nigifabio@gmx.it>

References:
- porta 26137
  - From: Davide Prina <davide.prina@gmail.com>
- Re: porta 26137
  - From: Legolas <legolas.info@gmx.net>
- Re: porta 26137
  - From: pipex_0604@users.gamebox.net
- Re: porta 26137
  - From: Fabio Nigi <nigifabio@gmx.it>
- Re: porta 26137
  - From: Davide Prina <davide.prina@gmail.com>

Prev by Date: Re: [OT] Considerazioni hard disk USB
Next by Date: Grub non ne vuole sapere
Previous by thread: Re: porta 26137
Next by thread: Re: porta 26137
Index(es):
- Date
- Thread