Re: tentativa de D.o.S
Oi Marcos
On Wed, 3 Aug 2005, Marcos Dutra wrote:
> Vc está com um sério problema então, eu tb não sei muita coisa de windows
> apesar que eu mexo um pouco, a única coisa que eu posso te falar é o o o rodou
> rs...
> Brincadeira... É estranho essas coisas tentarem rodar na porta 135 mas tudo
> indica que suas máquinas estão infectadas, vc atualiza os bichinhos :-)?
> No google eu achei esse mensagem de 2003 e eu acho que é exatamente o que
> acontece com vc, dê uma pesquisada melhor.
>
> http://www.infohelp.org/article.php?sid=109
Todos os sintomas batem (20 IPs por segundo, port 135, etc..) !!!
Muito Obrigado pela informação... e olha que eu googlei mas nem tentei
em português :)
Verifiquei o tráfego na porta 4444 e as mesmas máquinas estão
lá. Ou este pessoal não atualiza o antivírus desde 2003 ou deve ser uma
variante mais nova...
Valeu, mais uma vez!!
>
> ----- Original Message ----- From: "Thadeu Penna" <tjpp@if.uff.br>
> To: <debian-user-portuguese@lists.debian.org>
> Cc: "Usuários Debian de língua portuguesa"
> <debian-user-portuguese@lists.debian.org>
> Sent: Wednesday, August 03, 2005 10:55 AM
> Subject: Re: tentativa de D.o.S
>
>
> Oi Marcos
>
>
> On Wed, 3 Aug 2005, Marcos Dutra wrote:
> > Como o seu gateway está mandando esses pacotes externamente e como vc disse
> > que são as suas máquinas windows, eu recomendo vc fechar a porta 135 para
> > saída da internet: iptables -I FORWARD -p tcp --dport 135 -j DROP e
> > investigar
> > as máquinas que estão gerando esses pacotes.
>
> Sim. Isto eu já fiz (foi assim que descobrimos o problema: o tráfego para
> fora estava insuportável e derrubou um roteador velhinho depois da gente).
> O estranho é esta varredura na rede 10.XX.XX.XX. Eu pensava que alguém já
> tivesse passado por isto...
>
>
> > Dá um netstat nas máquina, vire de cabeça p/ baixo pois isso pode ser virus
> > ou
> > algo similar.
> >
>
> O pior é que não sei nada de Windows (o que sabia, esqueci). Nem sei as
> ferramentas de diagnóstico destas máquinas...
>
>
> > ----- Original Message ----- From: "Thadeu Penna" <tjpp@if.uff.br>
> > To: <debian-user-portuguese@lists.debian.org>
> > Sent: Wednesday, August 03, 2005 10:32 AM
> > Subject: tentativa de D.o.S
> >
> >
> > > Senhores,
> > > estou com um problemão aqui. Tenho uma rede interna 10.0.0.0/24.
> > > Alguns micros com windows (cada vez mais deles agem assim), geram
> > > estes pacotes:
> > > tcpdump -i eth1 -p tcp port 135
> > > ....
> > > 10:09:33.904098 IP UFF.if.uff.br.3931 > 10.0.217.245.loc-srv: S
> > > 451509942:451509942(0) win 16384 <mss 1460,nop,nop,sackOK>
> > > 10:09:33.904167 IP UFF.if.uff.br.3932 > 10.0.92.72.loc-srv: S
> > > 451566247:451566247(0) win 16384 <mss 1460,nop,nop,sackOK>
> > > 10:09:33.904238 IP UFF.if.uff.br.3933 > 10.0.193.73.loc-srv: S
> > > 451620384:451620384(0) win 16384 <mss 1460,nop,nop,sackOK>
> > > 10:09:33.904304 IP UFF.if.uff.br.3934 > 10.0.107.121.loc-srv: S
> > > 451669702:451669702(0) win 16384 <mss 1460,nop,nop,sackOK>
> > > ...
> > >
> > > note que as máquinas são 10.0.XXX.XXX que não pertencem a minha
> > > subrede!
> > > Isto é vírus, trojan, etc ?? Alguém conhece ? Como barrar isto e não
> > > fechar o Samba ?? Em resumo: o que que eu faço ???
> > >
> > > --
> > > Thadeu Penna Linux User #50500
> > > Prof.Adjunto - Instituto de Física ---Debian-
> > > Universidade Federal Fluminense Alpha/i386
> > >
> > >
> > > --
> > > To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> > > with a subject of "unsubscribe". Trouble? Contact
> > > listmaster@lists.debian.org
> > >
> > >
> >
> >
> >
>
>
--
___ _ .''`.
| |_ _. _| _ |_) _ ._ ._ _. : :' :
| | |(_|(_|(/_|_| | (/_| || |(_| `. `'`
Linux User #50500 `-
Prof.Adjunto - Instituto de Física ---Debian-
Universidade Federal Fluminense Alpha/i386
Reply to: