Re: tentativa de D.o.S
Vc está com um sério problema então, eu tb não sei muita coisa de windows
apesar que eu mexo um pouco, a única coisa que eu posso te falar é o o o
rodou rs...
Brincadeira... É estranho essas coisas tentarem rodar na porta 135 mas tudo
indica que suas máquinas estão infectadas, vc atualiza os bichinhos :-)?
No google eu achei esse mensagem de 2003 e eu acho que é exatamente o que
acontece com vc, dê uma pesquisada melhor.
http://www.infohelp.org/article.php?sid=109
Abraços
Marcos
----- Original Message -----
From: "Thadeu Penna" <tjpp@if.uff.br>
To: <debian-user-portuguese@lists.debian.org>
Cc: "Usuários Debian de língua portuguesa"
<debian-user-portuguese@lists.debian.org>
Sent: Wednesday, August 03, 2005 10:55 AM
Subject: Re: tentativa de D.o.S
Oi Marcos
On Wed, 3 Aug 2005, Marcos Dutra wrote:
Como o seu gateway está mandando esses pacotes externamente e como vc
disse
que são as suas máquinas windows, eu recomendo vc fechar a porta 135 para
saída da internet: iptables -I FORWARD -p tcp --dport 135 -j DROP e
investigar
as máquinas que estão gerando esses pacotes.
Sim. Isto eu já fiz (foi assim que descobrimos o problema: o tráfego para
fora estava insuportável e derrubou um roteador velhinho depois da gente).
O estranho é esta varredura na rede 10.XX.XX.XX. Eu pensava que alguém já
tivesse passado por isto...
Dá um netstat nas máquina, vire de cabeça p/ baixo pois isso pode ser
virus ou
algo similar.
O pior é que não sei nada de Windows (o que sabia, esqueci). Nem sei as
ferramentas de diagnóstico destas máquinas...
----- Original Message ----- From: "Thadeu Penna" <tjpp@if.uff.br>
To: <debian-user-portuguese@lists.debian.org>
Sent: Wednesday, August 03, 2005 10:32 AM
Subject: tentativa de D.o.S
> Senhores,
> estou com um problemão aqui. Tenho uma rede interna 10.0.0.0/24.
> Alguns micros com windows (cada vez mais deles agem assim), geram
> estes pacotes:
> tcpdump -i eth1 -p tcp port 135
> ....
> 10:09:33.904098 IP UFF.if.uff.br.3931 > 10.0.217.245.loc-srv: S
> 451509942:451509942(0) win 16384 <mss 1460,nop,nop,sackOK>
> 10:09:33.904167 IP UFF.if.uff.br.3932 > 10.0.92.72.loc-srv: S
> 451566247:451566247(0) win 16384 <mss 1460,nop,nop,sackOK>
> 10:09:33.904238 IP UFF.if.uff.br.3933 > 10.0.193.73.loc-srv: S
> 451620384:451620384(0) win 16384 <mss 1460,nop,nop,sackOK>
> 10:09:33.904304 IP UFF.if.uff.br.3934 > 10.0.107.121.loc-srv: S
> 451669702:451669702(0) win 16384 <mss 1460,nop,nop,sackOK>
> ...
>
> note que as máquinas são 10.0.XXX.XXX que não pertencem a minha
> subrede!
> Isto é vírus, trojan, etc ?? Alguém conhece ? Como barrar isto e não
> fechar o Samba ?? Em resumo: o que que eu faço ???
>
> --
> Thadeu Penna Linux User #50500
> Prof.Adjunto - Instituto de Física ---Debian-
> Universidade Federal Fluminense Alpha/i386
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>
--
___ _ .''`.
| |_ _. _| _ |_) _ ._ ._ _. : :' :
| | |(_|(_|(/_|_| | (/_| || |(_| `. `'`
Linux User #50500 `-
Prof.Adjunto - Instituto de Física ---Debian-
Universidade Federal Fluminense Alpha/i386
Reply to: